Anthropic が Claude Code Security を限定リサーチプレビューとして公開しました。AI がコードベース全体をスキャンして脆弱性を検出し、修正パッチまで提案してくれる機能です。
Claude Code Security とは
従来の静的分析ツール(SAST)はルールベースでパターンマッチングを行うため、ビジネスロジックの欠陥やアクセス制御の不備など、文脈依存の脆弱性を見落としがちでした。
Claude Code Security は、人間のセキュリティ研究者のようにコードを「理解」するアプローチを採用しています。
- コンポーネント間の相互作用を把握する
- アプリケーション全体のデータフローを追跡する
- ルールベースツールでは検出困難な脆弱性を発見する
主な特徴
多段階検証プロセス
検出した脆弱性は多段階の検証プロセスにかけられ、誤検知(false positive)がフィルタリングされます。各脆弱性には重大度評価と信頼度スコアが付与されます。
ヒューマン・イン・ザ・ループ
修正パッチは自動適用されません。Claude Code Security は問題の特定と解決策の提案を行い、最終的な判断は開発者が行います。
実績
Anthropic のレッドチーム活動では、Claude Opus 4.6 を使用して本番環境のオープンソースプロジェクトから 500 以上の脆弱性 を発見しました。これらは数十年にわたり専門家のレビューを経ても検出されなかったバグです。
利用方法
| プラン | 利用可否 |
|---|---|
| Enterprise | 即時利用可能 |
| Team | 即時利用可能 |
| オープンソースメンテナー | 無料で迅速なアクセスを提供(申請制) |
詳細は Anthropic 公式の Claude Code Security ページ を参照してください。
従来のツールとの違い
従来の SAST ツールは既知のパターンを検索する仕組みのため、新しいタイプの脆弱性や複雑なロジックの欠陥には対応しきれませんでした。Claude Code Security は LLM の推論能力を活用して、コードの意味を理解した上で脆弱性を検出するという点で、セキュリティスキャンの新しいアプローチといえます。
まとめ
Claude Code Security は「脆弱性は多いが対応する人員が少ない」というセキュリティチームの課題に対し、AI による自動検出と修正提案で支援するツールです。現時点では限定リサーチプレビューですが、今後のセキュリティ開発ワークフローに大きな影響を与える可能性があります。