Anthropic社が、Claude Codeの新機能「Claude Code Security」を発表した。この機能は、ユーザーのコードベースをAIがセキュリティ研究者のように分析し、脆弱性を検出してパッチを提案するというものだ。現在、EnterpriseおよびTeamプランの顧客向けに限定リサーチプレビューとして提供されている。
この記事のポイント
- Claude Code Securityは静的解析を超え、AIがセキュリティ研究者のようにコードを推論して脆弱性を発見する
- 多段階検証プロセスにより誤検知を排除し、重要度と信頼度の評価を付与する
- 人間の承認なしには何も適用されない「Human-in-the-Loop」設計を採用している
AIによる次世代コードセキュリティスキャン
Claude Code Securityの最大の特徴は、従来の静的解析ツールとは根本的に異なるアプローチを取っている点だ。Anthropic社によれば、この機能は「既知のパターンをスキャンする静的解析を超え、人間のセキュリティ研究者のようにコードベースを推論する」という。具体的には、アプリケーション全体のデータフローを追跡し、ルールベースのツールでは通常見逃されるような脆弱性を特定する能力を持つ。
さらに、多段階の検証プロセスを採用することで、誤検知(false positive)をフィルタリングする仕組みも備えている。検出された各脆弱性には重要度(severity)の評価が付与され、チームが対応の優先順位を判断しやすくなっている。加えて、評価の不確実性を反映する信頼度(confidence rating)も提供されるため、開発者はAIの判断をどの程度信頼すべきか把握できる。
人間中心の設計思想「Human-in-the-Loop」
Claude Code Securityが特に注目すべきは、その「Human-in-the-Loop(人間参加型)」設計だ。Anthropic社は「人間の承認なしには何も適用されません。Claude Code Securityは問題を特定し解決策を提案しますが、最終的な判断は常に開発者が行います」と明言している。
チームは専用のダッシュボードを通じて、検出された脆弱性の確認、提案されたパッチのレビュー、そして実装の承認を行う。これにより、AIが勝手にコードを変更してしまうリスクを排除しつつ、セキュリティ対応のスピードと精度を大幅に向上させることができる。この設計は、AIセキュリティツールに対する「勝手に修正されてしまうのでは」という開発者の懸念に正面から応えるものだ。
攻撃と防御のAI軍拡競争
Anthropic社はこの機能を、進化するAI能力に対する「防御的な対応」と位置づけている。AIエージェントがこれまで隠れていた脆弱性を検出する能力を高めていく中で、攻撃者がAIを武器化してより高速に脆弱性を発見する事態に対抗するため、防御側にも同等のツールが必要だという論理だ。
この発表は、AI支援によるセキュリティ開発という業界全体のトレンドと、攻撃側と防御側のセキュリティ能力の軍拡競争という文脈に沿ったものである。Claude Codeがコーディング支援だけでなく、セキュリティ領域にも本格的に踏み込んできたことで、開発ワークフロー全体をAIがカバーする時代が近づいている。
知っておくと便利なTips
- Claude Code Securityは現在EnterpriseおよびTeamプランの限定プレビュー段階。利用したい場合はAnthropic社に問い合わせが必要
- 従来の静的解析ツール(SonarQube、Semgrepなど)とは異なり、データフロー全体を追跡するため、複雑な脆弱性の検出に強みがある
- 誤検知対策として多段階検証と信頼度スコアが導入されているため、アラート疲れを軽減できる
まとめ
Claude Code Securityは、AIがセキュリティ研究者のようにコードを分析し、脆弱性の検出からパッチ提案までを一貫して行う新機能だ。静的解析を超えたデータフロー追跡、多段階検証による誤検知排除、そして人間の承認を前提とした設計により、実用性と安全性を両立している。現時点では限定プレビューだが、Claude Codeユーザーにとってはセキュリティ対応の大幅な効率化が期待できる機能である。AIによるセキュリティツールの進化は今後も加速していくと見られ、開発者は最新動向を注視しておくべきだろう。
📎 元記事: https://thehackernews.com/2026/02/anthropic-launches-claude-code-security.html
コメント