Kiroで書いた 設計書 が AI レビューの 採点基準 になる

Transcript

1. J A W S - U G 名古屋 LT Kiroで書いた

   設計書 が AI レビューの 採点基準 になる 書くほど、レビューが賢くなる。 #jawsug_nagoya #Kiro

2. 江崎 真二 KDDIアイレット ・ MSP監視セクション リーダー 普段は監視・運用のマネージメントを担当。最近は Kiro で社内ツールを自作。 実は

   “元ソムリエ”。名古屋の美味しいワイン、あとで教えてください 🍷 02 PROFILE

3. “作る”は速くなった。でも“確かめる”は？ → 書く（AI） 加速する AIで実装が進み、コードは増え続ける。 確かめる（レビュー） 追いつかない 人手では追いつかない。見落としが、こわい。 03 “作る”が加速したぶん、“確かめる”が置いていかれる

   PROBLEM

4. Kiroで作ったツールを、 AWS Security Agent にかけてみた 作ったのは、社内の障害対応を助ける AIツール 23 個の “攻撃面”

   を 自動で洗い出した Kiroで作ると requirements / design / tasks が最初から “書いてある”。 だからレビュー が噛み合い、構成から攻撃面まで自動で洗い出せた。 04 設計書が “書いてある” こと自体が、AIレビューの精度に効く WHAT I TRIED

5. そもそも AWS Security Agent って？ 1 リポジトリを渡す 設計書 ＋ コード

   → 2 攻撃面を自動で洗い出す 面ごとに並列レビュー → 3 脆弱性を指摘 重大度つき レビューは2種類ある Code Review ＝ コードを見る Design Review ＝ “設計書”を読む どちらも AWS Security Agent の機能（いまプレビュー） 05 今日の主役は Design Review —— コードだけでなく “設計書” を読むレビュー WHAT IS IT?

6. コードは “今” を見る。 設計書は “意図” を残す。 Code Review いまの コード

   の脆弱性を指摘。 “書いた結果” を見る。 Design Review 書いた 要件 で “採点”。 “書いた意図” を評価軸にする。 06 “設計書を読む” Design Review だから ―― 書くほど、レビューが育つ WHY DESIGN REVIEW

7. Design Review が、書いた設計書を要件ごとに “採点” する Kiroの設計書が、そのまま AIレビューの“採点基準”になる G R O

   W I N G R E V I E W 育つレビュー 1 design.md に 書く 2 Design Review が採点 3 指摘 ＋ 評価軸 4 設計書へ書き戻 す 07 書く → レビュー → 書き戻す を回すほど、レビューの “目” が育っていく CORE IDEA

8. 設計書に書いたら、“評価できない” が “合格” に変わった → 書く前 INSUFFICIENT_DATA 情報不足で “評価できない” …

   5領域 ログ保護 権限管理 監査ログ 情報保護 シークレット保護 設計書に書いた後 COMPLIANT 5領域すべてが “評価対象” に 指摘に [Requirement N: XXX] が出現 例：[Requirement 6: Authorization] … 08 書いた要件で採点しはじめた —— “評価軸”の指摘が 0 → 9 件 EVIDENCE

9. “情報不足” は、 “設計書に書け” のサイン 書いてないことは、 AIに “評価すらされない” 具体例 design.md に「ログは暗号化して保存」と書く

   → AIが毎回 “暗号化されているか” を採点してくれる INSUFFICIENT_DATA 情報不足で “評価できない” ↓ design.md に書き足す COMPLIANT 評価できる領域が増える 09 ドキュメントは “作るための紙” じゃない —— AIの “評価軸” そのもの TIP 01

10. 指摘は、直すだけじゃなく spec / steering に “書き戻す” 指摘が一回きりで終わらず、 “恒久ルール” になる 具体例

    指摘「PII をログに残さない」を steering に追記 → 次回以降、すべてのレビューで自動チェック 指摘が出る ↓ 直すだけにしない spec / steering に書き戻す design.md ・ spec ・ steering ↻ 次のレビューから “評価軸” になる 10 指摘を “資産” に変える —— Kiroのファイルが、回すほど賢くなる TIP 02

11. “直したつもり” が、実は “素通り” だった これ、起きませんか？ → Security Agent ＋ Kiro

    なら コードは直したのに、呼び出す設定（別ファイル） が未接続で PII 素通り 目視では気づけない —— AIで量産するほど “繋ぎ 忘れ” が紛れる 設計書とコードを突き合わせ、“未接続” を指摘 steering に書き戻せば、次から自動でチェック 11 目視じゃ追えない “繋ぎ忘れ” も、AIレビュー × Kiro なら気づける・防げる あるある ① ・ PII

12. 直したファイルは、本番で動いていなかった これ、起きませんか？ → Security Agent ＋ Kiro なら AIが修正版を別ファイルで生成 →

    “直した側” と “動く側” がズレる 基礎の問題でなく、AI協働ならではの新しい落と し穴 コードの実体を読み、“動いているのはこっち” と 示す spec で構成を固定 → “正” が一意に 12 “直したつもり” の思い込みを、AIレビューが現実に引き戻してくれる あるある ②

13. “育つレビュー”を回した結果 12 1 回目 21 2 回目 18 3 回目

    High Medium Low 2回目に増えたのは、設計書を補強して “見える範囲” が広がった から。 3回目はスコープ4.8倍でも、密度はむしろ下がった。 15件 次のレビューで消失（21件中） 0 Regress（劣化なし） 1/6 指摘密度（スコープ4.8倍でも） 13 回すほど、品質は “自動で” 締まっていく ── 一度きりのレビューでは、ここに届かない RESULTS

14. 設計書は、“置物” から “相棒” へ AS-IS ／ Kiro のいない時代 → TO-BE

    ／ Kiro がいる世界 zzz 書いたら “終わり”。棚で眠る レビューは人手 — 追いつかず、二度は読まれない 実装とすぐズレる（“書いたつもり”） 書いた設計書が、AIレビューの “採点基準” に 指摘を書き戻すと、次から自動で効く（育つレビュー） 書くほど、“確かめる力” が育つ 14 設計書は “作るための紙” から、“AIと確かめ合う相棒” へ BEFORE / AFTER

15. 今日の持ち帰りは、3つ 1 “情報不足” は、“設計書に書け” のサイン 2 指摘は “直して終わり” にせず、spec /

    steering に “書き戻す” 3 Kiroで “設計書” を書く ＝ AIレビューの “採点基準” を渡すこと 15 この3つだけ持ち帰ってください ―― 書くほど、確かめる力が育つ TAKEAWAYS

16. Kiroで“書く”は、 AIに“採点基準”を 渡すこと その設計書、 “作る”だけで 終わらせてませんか？

17. 詳しくは、 ブログで！ Kiro：spec / steering / hook 編 iret.media/198281 Kiro：Powers

    偏 iret.media/198311 Kiro：AWS Security Agent 編 iret.media/197744 詳細な内容はブログにまとめています 17 MORE