コードベースに潜む脆弱性を、従来のツールより高い精度で見つけ出すAIセキュリティ機能が登場しました。

Anthropicが2026年4月30日に公開ベータとしてリリースした「Claude Security」は、コードベース全体をスキャンして脆弱性を検出し、修正パッチまで提案するツールです。

この記事でわかること:

  • Claude Securityの仕組みと従来ツールとの違い
  • 主な機能と使い方
  • 対応パートナーと利用条件

コードの脆弱性検出が追いつかない問題

https://www.anthropic.com/news/claude-code-security

セキュリティチームは慢性的な人手不足に直面しています。ソフトウェアの脆弱性は増え続ける一方、対処できるスペシャリストの数は限られています。既存の静的解析ツール(SAST)はルールベースで動作し、パスワードの露出や古い暗号化方式といった既知のパターンは検出できます。しかし、ビジネスロジックの欠陥やアクセス制御の不備など、コンテキストを理解しないと見つけられない脆弱性には対応しきれません。

さらに、AIの進化によって攻撃側の手法も高度化しています。脆弱性が公開されてから悪用されるまでの時間が急速に短縮されており、防御側には同等以上のスピードが求められています。

Claude Securityの仕組み

https://claude.com/product/claude-security

Claude SecurityはAnthropicの最新モデル「Claude Opus 4.7」を基盤としています。従来の静的解析がパターンマッチングで脆弱性を探すのに対し、Claude Securityはコード全体を読み込み、人間のセキュリティ研究者と同じように推論します。

具体的には、データの流れを追跡し、コンポーネント間の相互作用を分析し、ファイルをまたぐ依存関係を把握します。単一ファイルのスキャンでは見落とす複雑な脆弱性を、コードベース全体の文脈から検出できる点が特徴です。

検出結果はすべて多段階の検証プロセスを経ます。Claude自身が発見内容を再検証し、誤検知を除外した上で、信頼度スコアを付与します。アナリストに届くのは検証済みの結果だけです。

主な機能

Claude Securityは、Claude.aiのサイドバーまたはclaude.ai/securityからアクセスできます。APIの統合やカスタムエージェントの構築は不要です。

スキャンと修正提案:リポジトリ、特定のディレクトリ、ブランチを選択してスキャンを開始します。検出された脆弱性には、影響範囲、再現手順、推奨される修正方法が付きます。修正はClaude Codeのセッションを開いてそのまま適用でき、セキュリティチームとエンジニア間で何日もやり取りする必要がなくなります。

スケジュールスキャン:2月のリサーチプレビュー後のフィードバックを反映し、定期スキャンの設定が追加されました。一度きりの監査ではなく、継続的な監視体制を構築できます。

検出結果の管理:検出結果をドキュメント付きで却下する機能があり、将来のレビュアーがトリアージの経緯を把握できます。CSVやMarkdown形式でのエクスポートにも対応しており、既存の監査システムやチケット管理ツールへの取り込みも容易です。

背景にあるAnthropicのセキュリティ研究

Claude Securityは突然登場したわけではありません。Anthropicは1年以上にわたってAIのサイバーセキュリティ能力を研究してきました。

2026年2月に「Claude Code Security」としてリサーチプレビューを公開し、数百の組織が本番コードの脆弱性を発見・修正に活用しました。その中には、既存ツールが何年も見逃していた脆弱性も含まれています。Claude Opus 4.6を使った社内テストでは、本番環境のオープンソースコードベースから500件以上の脆弱性を検出した実績があります(参考)。

また、Anthropicは高度な脆弱性発見能力を持つ「Mythos」モデルを用いた「Project Glasswing」も推進しています。Claude Securityはこうした研究成果を防御側に提供する製品化の一環です。

セキュリティ企業との連携

Claude SecurityのリリースにあわせてAnthropicはセキュリティ企業とのパートナーシップを発表しました。CrowdStrike、Palo Alto Networks、SentinelOne、Trend MicroのTrendAI、WizがOpus 4.7を自社のセキュリティプラットフォームに統合します(参考)。

これにより、企業は既に使っているセキュリティ製品の中でClaudeの脆弱性検出能力を活用できます。また、Accenture、BCG、Deloitte、Infosys、PwCといったコンサルティング企業も、Claudeを組み込んだセキュリティソリューションの導入支援を進めています。

利用条件と今後の展開

Claude Securityは現在、Claude Enterpriseプランの契約者が利用できます。Claude TeamおよびMaxプランへの提供も予定されていますが、時期は未定です。Opus 4.7のAPI料金は入力100万トークンあたり5ドル、出力100万トークンあたり25ドルで、Opus 4.6と同額です。ただし、新しいトークナイザーの影響で同じテキストでも最大35%多くのトークンを消費する点には注意が必要です。

従来のSASTツールとの違い

静的解析ツール(Snyk、SonarQube、Semgrepなど)は、既知の脆弱性パターンを高速に検出する点で有効です。一方、Claude Securityはコードベース全体の文脈を理解した上で推論するため、パターンに当てはまらない脆弱性の検出に強みがあります。

両者は競合するというより補完関係にあります。ルールベースのツールで既知パターンを網羅しつつ、Claude Securityで文脈依存の脆弱性を検出するという使い分けが現実的です。

AIによる防御は選択肢ではなく前提になる

AI攻撃ツールの進化により、脆弱性が発見されてから悪用されるまでの時間は急速に短くなっています。AIを使った防御は「あると便利」ではなく、攻撃側とのスピード差を埋めるための前提条件になりつつあります。Claude Securityは、その防御側のAI活用を実用段階に引き上げた製品です。まずはEnterprise契約で試し、自社コードベースでの検出精度を確認してみてください。