Anthropicが、AIを活用してコードベース全体のセキュリティ脆弱性を検出し、修正パッチを提案する新機能「Claude Code Security」を限定リサーチプレビューとして発表しました。従来のルールベースのセキュリティツールでは見逃されてきた、コンテキスト依存の複雑な脆弱性をAIの力で発見できる画期的なツールです。
この記事のポイント
- Claude Code Security は、ルールベースではなく人間のセキュリティ研究者のようにコードを分析し、コンポーネント間の相互作用やデータフローを追跡して脆弱性を特定する
- Claude Opus 4.6を使用したテストでは、数十年間にわたり専門家のレビューをすり抜けてきた500件以上の脆弱性を本番のオープンソースコードベースから発見
- Enterprise・Teamプランの顧客に限定提供開始。オープンソースリポジトリのメンテナーには無料で優先アクセスを提供
Claude Code Security とは何か
Claude Code Securityは、Claude Codeのウェブ版に統合された新しいセキュリティ分析機能です。セキュリティチームが直面している「脆弱性が多すぎるのに対応する人材が足りない」という根本的な課題を解決するために開発されました。
従来のセキュリティ分析ツールは、既知のパターンマッチングに依存しており、攻撃者が悪用する微妙でコンテキスト依存の脆弱性を見逃しがちでした。Claude Code Securityはこのアプローチを根本から変え、人間のセキュリティ研究者と同様の方法でコードを分析します。具体的には、ソフトウェアコンポーネント間の相互作用を理解し、アプリケーション全体のデータフローを追跡することで、ルールベースのツールでは検出できない複雑な脆弱性を発見します。
多段階検証と人間の承認
Claude Code Securityの大きな特徴は、多段階検証プロセスを採用している点です。Claudeが最初に脆弱性を検出した後、再度検証を行い誤検出をフィルタリングし、重大度の評価を行います。結果はダッシュボードに表示され、開発者は検出された脆弱性を確認し、提案された修正パッチを検査した上で、修正を承認するかどうかを判断できます。
各検出結果には信頼度評価が付与されます。これは、ソースコードだけでは判断が難しい微妙な問題があるためです。重要な原則として「人間の承認なしには何も適用されない」という方針が貫かれています。Claude Code Securityは問題を特定し解決策を提案しますが、最終的な判断は常に開発者が行います。
1年以上のサイバーセキュリティ研究が基盤
この機能は、AnthropicのFrontier Red Team(約15名の研究者で構成)による1年以上のサイバーセキュリティ研究の成果に基づいています。研究チームは以下のような活動を通じてClaudeの能力を体系的にテストしてきました。
- 競技形式のCapture-the-Flag(CTF)イベント
- 太平洋北西国立研究所(Pacific Northwest National Laboratory)との重要インフラ防御パートナーシップ
- 実際の脆弱性パッチ適用作業
Claude Opus 4.6を使用したテストでは、本番環境のオープンソースコードベースから500件以上の脆弱性を発見しました。これらは数十年にわたる広範な専門家レビューにもかかわらず検出されなかったバグであり、「タスク固有のツール、カスタムスキャフォールディング、専門的なプロンプト」を使用せずに発見されたとのことです。発見された脆弱性については、メンテナーへの責任ある開示が進行中です。
利用方法と対象ユーザー
現時点では限定リサーチプレビューとして以下のユーザーに提供されています。
- Enterprise・Teamプランの顧客: 申し込みにより利用可能
- オープンソースリポジトリのメンテナー: 無料で優先アクセスを提供
申し込みは https://claude.com/contact-sales/security から行えます。
Frontier Red TeamリーダーのLogan Graham氏は「セキュリティチームにとっての力の倍増装置」であり、「サイバーセキュリティの防御を支える」というコミットメントを示すものだと述べています。
セキュリティにおけるAIの両刃の剣
Anthropicは、防御者の脆弱性発見を助けるAI能力は、同時に攻撃者による悪用にも使われうるという二面性を認識しています。しかし、防御者にこれらのツールを先に提供することで、全体としてセキュリティ上のメリットが生まれるという立場を取っています。悪意ある利用を検出するセーフガードも組み込まれており、人間の監視を中心に据えた展開方針により、防御側の優位性と潜在的な悪用リスクのバランスを取っています。
知っておくと便利なTips
- オープンソースプロジェクトのメンテナーは無料で優先アクセスを申請できるため、該当する方は早めの申し込みがおすすめ
- Claude Code Securityはルールベースの既存ツール(SAST等)を置き換えるものではなく、補完する位置づけ。従来ツールでは検出できないコンテキスト依存の脆弱性に特に強みを発揮する
- サイバーセキュリティ関連株(PANW、FTNT、ZS等)が発表後に下落しており、AI native なセキュリティツールが既存のセキュリティスタック市場に影響を与える可能性が注目されている
まとめ
Claude Code Securityは、AIによるコードセキュリティ分析の新たな地平を開く製品です。従来のパターンマッチング型ツールとは一線を画し、人間のセキュリティ研究者のようにコード全体を理解した上で脆弱性を検出するアプローチは、慢性的な人材不足に悩むセキュリティチームにとって大きな武器となりえます。500件以上の実績ある脆弱性発見と、人間の承認を必須とする安全設計により、実用性と安全性のバランスが取られています。現在は限定プレビュー段階ですが、今後の一般提供に向けて注目すべき機能と言えるでしょう。
📎 元記事: https://www.reddit.com/r/ClaudeAI/comments/1ra2nnh/introducing_claude_code_security_now_in_limited/
コメント