MF Blogs
便利ツール
鍵穴のシルエットを抽象的に描いた手書きタッチのイラスト

記事

Anthropicが「Claude Security」をパブリックベータ公開、Opus 4.7でデータフロー追跡型のコード脆弱性検査

Anthropicは2026年4月30日、Claude Opus 4.7を基盤としたコード脆弱性検査ツール「Claude Security」のパブリックベータを公開しました。パターン一致型のスキャナと違い、ファイル横断のデータフロー追跡で文脈依存の脆弱性を検出する設計で、Claude Enterpriseで先行提供。CrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、TrendAI、Wizなどへの組み込みも案内されています。

0:00 0:00

Opus 4.7にコードを読ませて脆弱性を見つけさせるパブリックベータ

Anthropicは2026年4月30日、コード脆弱性検査ツールClaude Securityのパブリックベータを公開したと発表しました。基盤モデルはClaude Opus 4.7で、従来のパターン一致型スキャナを超えて、コード構造の意味とファイル横断のデータフローを理解した上での脆弱性検出を狙うとされています。

公式ブログは初期検証の声として、Snowflakeの研究者の次のコメントを引用しています。

Claude Security surfaced novel, high-quality findings during our early testing that helped us identify and address potential security issues before they could affect our environment.

「パターンマッチでは引っかからない、文脈依存の脆弱性」を見つけたという主張です。AIが大規模コードベースを読みながら推論することで、シグネチャとして登録されていないバグを含む新しい所見が出やすくなる、というのが設計の核です。

鍵穴を象徴する手書きタッチのシンボル画像

画像引用元: Anthropic Blog

仕組み:データフロー追跡で「文脈依存」の脆弱性に踏み込む

The GitHub Bloggit pushパイプラインのRCEを開示した記事のような**「めったに通らないコードパス」**は、伝統的な静的解析ツールでは抜けやすい領域です。Claude Securityは公式の説明によれば、次の3つの軸で検出を行います。

  • コード構造の意味理解:単なるトークン一致ではなく、関数・型・データ構造の役割を踏まえた解析
  • ファイル横断のデータフロー追跡:信頼できない入力がどこを経由して危険な操作に到達するかを追う
  • 文脈依存の脆弱性検出:認証フロー、シリアライザ、生成系SQLなど、設定とコードの組み合わせで露出する問題

OWASP Top 10的な定番カテゴリ(インジェクション、認証認可、シリアライゼーション、機微情報露出)に対し、プロジェクト固有の文脈を踏まえた指摘ができるかが、価値を測るうえでの分岐点になります。

提供範囲とアクセス:まずはClaude Enterpriseから

Anthropicは提供チャネルを次のように整理しています。

利用経路状態
Claude.aiサイドバーパブリックベータ(Enterprise向け先行)
Claude Team/Maxプラン「Coming soon」
管理者コンソールでの有効化Enterprise管理者がToggle

AnthropicのPricingページに沿うと、Claude Enterpriseは大規模組織向けの専用プランで、SOC 2や監査ログなどの企業要件を満たす運用が前提です。Claude SecurityはこのEnterprise文脈に置かれており、コードを外部に送ることへの法務・コンプライアンス確認は前段の必須ステップになります。

エコシステム:CrowdStrike/Microsoft Security/Palo Alto Networks/SentinelOne/Wizへの組み込み

公式リリースは、Claude Securityを埋め込む側のセキュリティベンダーとして次の名前を挙げています。

合わせて、導入支援パートナーとしてAccentureBCGDeloitteInfosysPwCが挙がっています。AIによる脆弱性発見そのものを売る単独プロダクトというよりも、既存のセキュリティ運用基盤に「文脈読み」を足すレイヤーとして位置付けようとしているのが見て取れます。

期待値の置き方:誤検知と「直すまでの距離」

AIによる脆弱性検出は、**Recall(漏れの少なさ)Precision(誤検知の少なさ)**の両方を実装で評価する必要があります。Snowflakeのコメントは「Novel findings」を強調していますが、ノイズ率や深刻度ラベルの精度は導入企業ごとに測るしかありません。期待値を置くときの観点は次の3つです。

  • 指摘の再現可能性:同じコードに同じ指摘が安定して出るか(評価コストの議論と直結)
  • 修正案の使えるかどうか:指摘だけでなく、直す距離(PR・パッチ案・テスト案)を縮められるか
  • 既存ツールとのオーバーラップCodeQLSemgrepなどの既存スキャナと、重複ではない指摘をどれだけ出せるか

開発者個人の視点では、Claude Securityを外部のスキャン用にだけ使うよりも、Claude Code/security-review/review書きながら一次フィルタを回す運用と組み合わせるのが効率的です。本番のセキュリティ判断は人間が責任を持つ前提で、AIは「読める量を増やす」役割として導入する、というのが当面の現実解になりそうです。

Claude Security is now in public beta | Claude
出典 Claude
Claude Security is now in public beta | Claude

Scan code for vulnerabilities and generate proposed fixes with Opus 4.7, on the Claude Platform, or through technology and services partners building with Claude.

記事

関連する記事

AIが自分自身を作り替える循環の矢印と、疑問符を組み合わせた抽象イラスト
AI

『RSI(再帰的自己改善)』はAGIに代わる新キーワードか——TechCrunchが報じるAI自己進化の現在地

2026年5月30日 13:10 4分

TechCrunchは2026年5月28日、AIが自ら弱点を見つけて自分を作り替える『RSI(再帰的自己改善)』が、AGIに代わる新たなキーワードとして広がっていると報じました。複数のスタートアップや研究者が掲げる一方、その定義や実現性には慎重論も根強いと伝えています。

都市部と地方のAI利用率の差を棒グラフと地図のドット濃淡で表した抽象イラスト
AI

Microsoft、米国のAI普及レポートを公開——働く世代の3割超が利用、都市と地方で2倍の格差

2026年5月30日 13:00 5分

Microsoftは2026年5月28日、米国のAI普及状況をまとめた『US AI Diffusion Report』を公開しました。働く世代の30%超がAIを使う一方、都市部32.9%に対し地方は16.2%と約2倍の差があり、米国は世界の普及率では21位にとどまるとしています。

歯車とカレンダー・メールのアイコンを束ねる24時間稼働のエージェントを表す抽象イラスト
AI

Google、24時間稼働の個人エージェント『Gemini Spark』を米国提供——AI Ultra向けに最大15タスク同時実行

2026年5月30日 12:10 4分

9to5Googleは2026年5月29日、Googleが個人向けエージェント『Gemini Spark』を米国のGoogle AI Ultra加入者へ提供開始したと報じました。Workspaceや各種連携アプリ、リモートブラウザと連動してタスクを自動化し、最大15件まで同時実行できるとされています。