AIを活用した開発におけるポリシーについて述べる。
セーフティファーストとリスクコントロール
AIは安全を確保した上で利用する。ただしここでいう安全の確保とはリスクゼロのことではなく、リスクを許容できる範囲内に収めることである。
たとえAIが有用と思われる業務であっても、許容できないリスクがある場合は利用してはならない。例えば下記のようなことは行わないこと。
- 例)機密情報を読ませる、重要データの削除権限を与える
リスクが許容範囲内に収まっている場合、リスクの度合いに応じた防御策を講じた上で利用する(リスクコントロール)。
- 例) データの流用リスクに対して利用が許可されるデータの明示と流用禁止の契約で対応
なお上記を実現するための防御策は、AI自体の機能に頼ってはならない(例えば.gitignoreを用いた閲覧禁止設定)。
積極的な活用
AIを積極的に活用する。
セキュリティ上許容できる範囲内で、必要な情報やツールへのアクセスを十分に提供すること。
精度を上げ、かつコストを減らすため、AIには成果物の生成に必要な情報を十分渡し、一方でノイズ情報を極力減らすこと。
精度に応じたプロンプトの作りこみ
プロンプトは要求精度に応じて調整すること。
- さほどの精度が必要ない内容はワンショットプロンプトでよい
- 高い精度が必要な作業はコンテキストエンジニアリングやプロンプトエンジニアリングを考える
- プロンプトの作り込み自体に工数がかかるため、可能なら使いまわしや共有できるようにする
なおプロンプトを書くより手で行ったほうが早いことは、手で行うこと。
コンテキストエンジニアリング(プロンプトエンジニアリング含む)
- 気づきづらいノイズ源は最小限にすること。
- 例えば自動挿入コンテキスト。より具体的にはClaude CodeのCLAUDE.mdと履歴
- 巨大すぎるプロンプトが必要になるなら、タスクを分割して小さくすること
- スクリプトやツールで済むものはそちらを使うこと
- そのためのスクリプトやツールをAIに作らせればよい
- 指示を出す前に調査・確認させること
- 公式MCP, 公式プラグインなどは積極的に利用すること
- 重要な指示はどのような指示を出したか後から追跡できるようにすること
- 繰り返し行う指示は再現可能にしておくこと
品質安定化
- 再現性の確保と品質安定化のため、ポリシーやルール、手順を整えること。
- また、なるべく自動化すること
- ただし、プロセスの整備や自動化にかかるコストがメリットに見合わない場合は避けること
- 「プロジェクトの頭で整え、末で保証する」。すなわち最初に要求と実現方式を整えた上でAIに実行させる。品質を保証するのはテストである。
- AI駆動開発も「システムの品質はテストの品質によって決まる」
- AIの生成はランダム。品質もランダム。AIにチェックさせても、チェック品質自体がランダム。 -> どれほどプロセス構築を頑張ってもこの品質のばらつきの壁を越えられず、プロダクト品質に届かない
コスト管理
- AI利用額は監視するか、あるいは上限を設定すること
AIファースト
- AIが管理しやすい設計を行う。
- 凝集やモジュール化などにより、長大なプロンプトや広範なコンテキストがなくとも高い精度がだせるようにする
- コンテキストに用いれるよう、意図を保存して振り返れるようにしておく
- 人手を介さずともコンテキストを取得できるようにする
- 仕様駆動開発(Spec Driven Development)を積極的に利用する