Anthropic、コードの脆弱性を自動検出する「Claude Security」を発表

投稿日: 投稿者: Takahashi_Akihiro

AnthropicがClaude Securityを発表。コードベースの脆弱性を自動スキャンし、修正の優先順位を提示するAIツールです。Opus 4.7モデルを使用し、危険な欠陥を悪用される前に修正できます。

Anthropic、コードの脆弱性を自動検出する「Claude Security」を発表

AI開発企業のAnthropicは2026年4月30日、新しいサイバーセキュリティ製品「Claude Security」を発表しました。このツールは、ソフトウェアのコードベース全体をスキャンして脆弱性を発見し、修正すべき箇所の優先順位を自動的に判断します。現在、Enterprise版のClaudeユーザー向けにパブリックベータ版として提供されており、近日中にTeam版とMax版のユーザーにも提供される予定です。

Claude Securityは、Anthropicの最新AIモデル「Opus 4.7」を活用しています。このツールは、セキュリティ研究者が行うような方法でコードを分析し、データの流れを追跡したり、複数のファイルやモジュール間の相互作用を理解したりできます。単に脆弱性を見つけるだけでなく、それぞれの問題について信頼度、深刻度、影響範囲を評価し、修正方法まで提案します。

このツールの登場は、サイバー攻撃の多くが既知の脆弱性を悪用することから始まるという現実を反映しています。攻撃者が脆弱性を見つける前に、開発者側が先に発見して修正できれば、攻撃の成功率を大幅に下げることができます。Claude Securityは、この「脆弱性発見競争」において、防御側に強力な武器を提供するものです。

Claude Securityの主な機能

Claude Securityは、リポジトリ全体または特定のディレクトリをスキャンできます。従来のAIツールは、一度に処理できるコードの量に限界がありましたが、Opus 4.7モデルは大規模なコードベースを包括的に分析できます。

スキャン結果は、複数段階の検証パイプラインを通過します。これにより、誤検知を減らし、実際に対処が必要な問題だけが開発者に報告されます。各発見事項には信頼度評価が付けられ、開発者は重要度の高い問題から優先的に対処できます。

各脆弱性について、Claude Securityは詳細な説明を提供します。具体的には、信頼度スコア、深刻度レベル、予想される影響、問題を再現する手順、推奨される修正方法などが含まれます。これにより、開発者は問題の本質を素早く理解し、効率的に修正作業を進められます。

さらに、発見された問題のコードをClaude Codeで直接開くことができます。コンテキストを保ったまま該当箇所を確認・修正できるため、作業の流れが中断されません。定期スキャンのスケジュール設定、発見事項の却下理由の記録、CSV形式やMarkdown形式でのエクスポート機能なども備えています。

背景と経緯

Claude Securityは、Anthropicのサイバー防御戦略の一環として開発されました。同社は2026年4月初旬に「Project Glasswing」を発表しています。これは、世界中のオープンソースソフトウェアインフラの脆弱性を発見することを目的とした大規模プロジェクトです。

Project Glasswingには、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、Nvidia、Palo Alto Networksなど、通常は競合関係にある大手企業が参加しています。このプロジェクトでは「Mythos」という特別なAIモデルが使用されていますが、その能力が非常に強力であるため、一般には公開されていません。

AIによる脆弱性スキャンの試みは以前から行われてきました。2024年9月には、OpenAIのCodexを使った実験が行われましたが、当時はプロジェクト全体のコンテキストを処理できず、失敗に終わりました。しかし、その後AIの能力は大きく向上し、2026年3月にはOpenAIが「Codex Security」を発表しています。Claude Securityは、この分野における最新の進展です。

AIツールの二面性と安全対策

脆弱性スキャンツールには重要な問題があります。それは、防御側を助けるツールが、同時に攻撃側にも利用される可能性があるということです。映画「スター・ウォーズ」で反乱軍がデス・スターの設計図を入手し、排気口という脆弱性を発見して攻撃に成功したように、脆弱性の情報は攻撃の手がかりになります。

実際、MicrosoftとOpenAIは、中国、イラン、ロシア、北朝鮮の国家関連組織が大規模言語モデルを使用して、企業やサイバーセキュリティツールの調査、コードのデバッグ、スクリプトの生成、フィッシング攻撃用のコンテンツ作成などを行っていると報告しています。

この問題に対処するため、AnthropicはOpus 4.7に新しいサイバーセーフガードを組み込みました。このシステムは、禁止されている活動や高リスクのサイバーセキュリティ用途を示唆するリクエストを自動的に検出してブロックします。

具体的には、大量データの不正抽出やランサムウェアコードの開発など、ほぼ常に悪意を持って使用される活動はブロックされます。一方、脆弱性の悪用実験や攻撃的セキュリティツールの開発など、正当な防御目的でも使用される可能性のある活動については、Anthropicの「Cyber Verification Program」に承認されたセキュリティ研究者のみが利用できるようになっています。

できること・できないこと

Claude Securityにより、開発チームは大規模なコードベース全体を自動的にスキャンし、セキュリティ上の問題を包括的に発見できるようになります。例えば、複数のファイルやモジュールにまたがる複雑なデータフローの中に潜む脆弱性や、単独では問題にならないが組み合わせることで危険になる要素などを検出できます。

発見された問題は、信頼度と深刻度によって自動的に優先順位付けされます。これにより、開発者は重要度の低い警告に時間を浪費することなく、本当に危険な脆弱性から順に対処できます。また、各問題について詳細な説明と修正方法の提案が提供されるため、セキュリティの専門知識が限られている開発者でも適切に対応できます。

一方で、このツールにも限界があります。現在はEnterprise版ユーザーのみが利用でき、Team版やMax版ユーザーへの提供は「近日中」とされていますが、具体的な時期は明らかにされていません。また、AIによる分析には誤検知や見逃しの可能性もあり、人間のセキュリティ専門家による最終確認は依然として重要です。

さらに、最も強力な機能の一部は、Anthropicの審査を通過した認証済みのセキュリティ研究者のみが利用できます。一般の開発者は、悪意のある攻撃者による悪用を防ぐため、一部の高度な機能にアクセスできない制限があります。

私たちへの影響

このニュースは、ソフトウェア開発に携わる企業や開発者に大きな影響を与えます。セキュリティ脆弱性の発見と修正は、従来は専門的な知識と多大な時間を必要とする作業でしたが、Claude Securityのようなツールにより、この作業が大幅に効率化されます。

短期的な影響としては、Enterprise版Claudeを契約している企業が、既存のコードベースの包括的なセキュリティ監査を実施できるようになります。これまで見逃されていた脆弱性が発見され、修正される可能性が高まります。また、定期スキャン機能により、新しいコードが追加されるたびに継続的なセキュリティチェックが可能になります。

中長期的な影響としては、ソフトウェア開発におけるセキュリティの標準が向上することが予想されます。AIによる自動脆弱性検出が一般化すれば、セキュリティ上の欠陥を含むソフトウェアをリリースすることが、技術的にも社会的にも許容されにくくなるでしょう。これは、インターネット全体のセキュリティレベルの向上につながります。

ただし、注意すべき点もあります。このようなツールは攻撃者にも利用される可能性があるため、Anthropicは厳格なアクセス制限を設けています。また、AIの判断を盲目的に信頼するのではなく、人間の専門家による確認と判断が引き続き重要です。セキュリティは技術だけでなく、適切な運用プロセスと人材育成を含む総合的な取り組みが必要です。

出典:Anthropic’s new Claude Security tool scans your codebase for flaws – and helps you decide what to fix first(www.zdnet.com)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です