Anthropic、企業向けにClaude Securityをベータ提供

2026年5月8日

AIがコードを守る側に回り始めた

Anthropicが、企業顧客向けにセキュリティ特化ツール「Claude Security」のパブリックベータ提供を開始しました。ざっくり言えば、Claudeがコードベースを読み込み、脆弱性を探し、修正パッチの作成まで支援する仕組みです。

生成AIというと、文章作成やコーディング支援のイメージが強いですが、今回の発表は少し意味合いが違います。開発を速くするAIではなく、開発したものを安全に保つAIとして、企業のセキュリティ実務に踏み込んできたからです。

CNET JapanやZDNET Japanの報道によると、対象はまずClaude Enterpriseの顧客で、TeamやMaxプランへの展開も予定されています。セキュリティ担当者にとっては、AIエージェントが単なる相談相手から、レビュー工程に参加する実務ツールへ変わりつつあるサインと言えます。

Claude Securityとは何か

Claude Securityは、企業のリポジトリや指定ディレクトリを解析し、ソフトウェアに潜む脆弱性を検出するためのAIセキュリティツールです。基盤には高性能モデルのClaude Opus 4.7が使われていると報じられており、単純なキーワード検索ではなく、コードの文脈やデータの流れを読みながら問題を探す点が特徴です。

従来の静的解析ツールは、既知のルールやパターンに沿って危険な書き方を見つけるのが得意です。一方で、認可ロジックの抜けや、複数のファイルをまたぐデータフローの問題、ビジネスロジックに近い脆弱性は見逃されやすい領域でした。

Claude Securityが狙っているのは、まさにその隙間です。コードを「行」ではなく「システム全体の動き」として理解し、セキュリティ研究者のように推論する。ここに、生成AIらしい強みがあります。

コードベース全体のスキャン
脆弱性の検出と検証
深刻度や対応優先度の整理
Claude Codeを通じた修正パッチ案の作成

検出から修正まで、何が自動化されるのか

Claude Securityの面白いところは、脆弱性を見つけて終わりではない点です。検出した問題について、関連するコードの位置、原因、想定されるリスクを示し、さらに修正案の作成まで進められます。

ZDNET Japanでは、リポジトリ全体または対象ディレクトリを絞ったスキャンに対応し、検出結果からClaude Codeで問題箇所を開いて修正に進める流れが紹介されています。つまり、セキュリティチームがチケットを起票し、開発チームが読み解き、再現確認し、修正方針を考えるという往復を短くできる可能性があります。

ただし、ここで大切なのは「完全自動で本番適用するツール」ではないという点です。AIが提案した修正は、開発者やセキュリティ担当者がレビューし、テストし、承認する前提で使うべきです。特に認証、決済、個人情報まわりの修正では、パッチが別の不具合を生まないかを慎重に確認する必要があります。

便利さの本質は、人間を外すことではありません。人間が見るべきポイントを絞り込み、調査と修正の初動を速くすることにあります。

企業での使い方はどう変わるか

企業がClaude Securityを導入するなら、いきなり全社の全リポジトリにかけるより、まずは影響範囲の管理しやすいプロジェクトから始めるのが現実的です。たとえば、外部公開API、認証機能、管理画面、決済処理など、リスクの高い領域を優先してスキャンします。

使い方のイメージはシンプルです。GitHubなどのコードホスティング環境と連携し、スキャン対象を指定し、結果を確認する。重要な検出結果はClaude Codeで開き、修正案をレビューし、通常のプルリクエストやチケット管理の流れに乗せます。

まず重要度の高いリポジトリを選ぶ
本番に近いブランチではなく、検証用の範囲で試す
既存のSASTや依存関係スキャンの結果と見比べる
誤検知、見逃し、修正案の品質を記録する
人間の承認ルールを明文化してから運用に組み込む

特に日本企業では、開発チームとセキュリティチームの距離が遠いケースがあります。Claude Securityは、その間にある「調査コスト」と「説明コスト」を下げる道具として価値を発揮しそうです。

既存のセキュリティツールを置き換えるのか

現時点では、Claude Securityが既存のセキュリティ製品を丸ごと置き換えると見るのは早すぎます。むしろ、SAST、DAST、依存関係スキャン、シークレット検出、コンテナスキャンなどと組み合わせて使うのが自然です。

ルールベースのツールには、再現性が高く、CI/CDのゲートに組み込みやすい強みがあります。たとえば、既知の危険な関数、古いライブラリ、ハードコードされた秘密情報の検出は、従来ツールが得意な領域です。

一方でClaude Securityは、複雑な文脈を読む力に期待が集まります。ある入力値が複数のサービスを通り、最終的に権限チェックの抜けにつながる。設定ファイルとアプリケーションコードの組み合わせで意図しない公開範囲が生まれる。こうした「単体では分かりにくい問題」に強みが出る可能性があります。

つまり、位置づけとしてはセキュリティレビューの副操縦士です。既存ツールで広く拾い、Claude Securityで深く読む。この組み合わせが、当面の現実解になりそうです。

Project Glasswingと防御側AIの流れ

今回のClaude Securityは、Anthropicが進める防御側サイバーセキュリティへの取り組みとつながっています。ITmedia AI+では、Claude Securityが2月にリサーチプレビューとして公開されたClaude Code Securityの流れを汲み、AIによる脆弱性発見・悪用リスクを踏まえた取り組みの一部として紹介されています。

ここで重要なのは、AIは攻撃者にも防御者にも使えるという事実です。高度なAIが脆弱性を見つける力を持つなら、悪用される前に防御側がその力を取り込む必要があります。Anthropicが企業向けに段階的に提供しているのは、強力な機能を無制限に開放するのではなく、防御側の実務に安全に組み込むための判断とも読めます。

また、報道ではCrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、Wizなど、主要セキュリティベンダーとの連携も挙げられています。Claude Security単体のニュースに見えますが、実際にはセキュリティ業界全体にAI推論を埋め込んでいく動きの一部です。