2026 年 4 月 30 日、Anthropic は企業向けの脆弱性スキャン製品「Claude Security」をパブリックベータで公開しました。2026 年 2 月にリサーチプレビューとして始まった「Claude Code Security」を、より広い顧客が業務で使える形に整え直したものです。中核には最新モデル Claude Opus 4.7 が据えられており、ファイル単位ではなくコードベース全体を読み解いて、脆弱性の確信度・深刻度・再現手順・推奨パッチまで自動でまとめます。CrowdStrike や Wiz などのセキュリティ事業者との連携も同時に発表されており、ベンダー製品に AI のセキュリティレビュー能力を組み込む流れが本格化しています。
Claude Security とは何か
Claude Security は、Anthropic が企業向けに提供する「AI による脆弱性スキャン」専用の製品です。社内のソースコードリポジトリに接続すると、Claude Opus 4.7 がコードを読み解き、SQL インジェクションや認可漏れ、機密情報のハードコードといった脆弱性を見つけ出し、深刻度と推奨される修正コードまでまとめてレポート化します。
従来のチャット型 AI に「このコードに脆弱性はありますか」と聞いていた使い方とは性質が違います。Claude Security はリポジトリ全体を継続的にスキャンする「常駐型のセキュリティレビュアー」として動き、検出結果は専用のダッシュボード、CSV / Markdown でのエクスポート、Webhook 通知などで開発者・セキュリティ担当者へ届きます。
ベータ提供は 2026 年 4 月 30 日に開始されました。Anthropic 直販に加え、後述するセキュリティ事業者・コンサルティング事業者経由でも利用可能です。
リサーチプレビューからパブリックベータへの変化
Claude Security の前身は、2026 年 2 月に「Claude Code Security」という名前でリサーチプレビューとして公開されていました。リサーチプレビューは早期顧客と一緒に挙動を検証していくフェーズで、利用できる機能・スケール・サポート範囲が限定されていたのが特徴です。
今回のパブリックベータでは「Code」が外れて「Claude Security」となり、対象がアプリケーションセキュリティ全般に広がりました。ベータといっても、エンタープライズ運用を前提にしたセキュリティ・SLA・課金が整い、本番ワークロードに乗せて評価できる段階に入っています。
- 対象顧客が「招待制の早期パートナー」から「Anthropic と契約できる企業全般」に拡大
- 機能セットがコードレビュー特化から、定期スキャン・通知・連携を含む運用機能まで拡張
- セキュリティ事業者・サービス事業者との公式パートナーシップが同時に発表
Claude Opus 4.7 が「コードベース全体」を読む
Claude Security の中身は、Anthropic の最新フラッグシップモデルである Claude Opus 4.7 です。従来の SAST(静的解析)ツールがファイル単位・関数単位でパターン照合に依存していたのに対し、Opus 4.7 は人間のセキュリティエンジニアに近い読み方をします。
データフローを追いかける
たとえば「このリクエストパラメータは、最終的にどのSQL文で使われ、どこで検証されているのか」を、複数ファイルにまたがって追跡します。検証が抜けたままクエリに渡っているなら、それが SQL インジェクションの入口だと判断します。
ライブラリの内部実装まで読む
呼び出している外部ライブラリの中身を読み込み、脆弱なバージョンが使われていないか、危険なオプションが有効になっていないかをチェックします。「依存ファイルに名前があるか」だけで判断する従来のソフトウェア構成解析(SCA)とは粒度が違います。
アプリ固有のルールを学習する
各社のコード規約や既存の認可・認証パターンをドキュメントとして渡しておくと、それに沿った観点でレビューを行います。汎用ルールベースの SAST と違い「あなたの会社で何が"OK"とされているか」を踏まえて指摘します。
Claude Opus 4.7 が「コードベース全体」を読むについてさらに詳しく知りたい方は、Claude Opus 4.7が解禁|ビジネスサイドが押さえるべき新機能と活用ユースケースもあわせてご覧ください。
出力されるレポートの中身
Claude Security が指摘してくれるのは、単なる「ここが怪しい」というアラートではありません。1 件の検出ごとに以下の情報が揃います。
| 項目 | 内容 |
|---|---|
| 確信度(Confidence) | 本当に悪用できる脆弱性か、それとも誤検知の可能性が高いかをモデルが評価。レビューの優先順位付けに使う |
| 深刻度(Severity) | Critical / High / Medium / Low の 4 段階。CVSS の考え方に近い |
| 攻撃シナリオ | どのリクエストが、どの順番で来ると、どのデータが漏れるかという「悪用の流れ」を文章で説明 |
| 再現手順 | テスト環境で再現するための具体的なリクエスト例・curl コマンド例まで提示 |
| 推奨パッチ | 該当箇所をどう書き換えれば直るかの修正コード案。そのままレビュー依頼に投げ込める粒度 |
| 影響範囲 | 関連するファイル・関数・呼び出し元の一覧。横展開の影響を確認しやすい |
「検知して終わり」ではなく「直すまでの距離をできる限り縮める」という思想が出ているのがポイントです。社内のセキュリティチームと開発チームの間で「攻撃シナリオが書いていないからどう優先順位を付けるか分からない」「修正コードが推測なので合意が取れない」といった会話が起こりやすい現場では、レポートの粒度がそのまま生産性に直結します。
パブリックベータで追加された 5 つの機能
リサーチプレビューでは「リポジトリを指定してスキャンする」という単発の使い方が中心でしたが、パブリックベータではエンタープライズの運用に乗せやすくする機能が追加されています。
1. スケジュール実行
毎晩・毎週など、決まった時間に自動でスキャンを走らせる機能です。CI に組み込めない大規模リポジトリや、夜間に重い解析を回したいケースで使います。
2. ディレクトリ単位のターゲティング
リポジトリ全体ではなく、特定のディレクトリだけをスキャン対象にできます。レガシーコードや外部ベンダーが管理する領域を一旦除外して、自社が責任を持っている範囲だけ深く見るといった使い分けが可能です。
3. CSV / Markdown のエクスポート
検出結果を CSV や Markdown 形式で出力できます。社内のチケットシステム(Jira など)への取り込み、月次のセキュリティレビュー資料への貼り付け、CISO 向けレポート作成に直接使えます。
4. Webhook 通知
新しい脆弱性が検出されたときに、指定した Webhook へ通知を飛ばせます。Slack や Microsoft Teams、社内の SOC(セキュリティ運用センター)システムへ橋渡しすれば、検知から対応開始までの時間を短くできます。
5. 永続的な却下(Persistent Dismissals)
「これは仕様上問題ない」と判断した検出を、理由付きで却下できます。次回以降のスキャンでは同じ箇所を再通知しません。誤検知や受容済みリスクをノイズとして抱え続けないための仕組みで、運用が長くなるほど効いてきます。
既存のセキュリティ製品とどう違うのか
Claude Security の立ち位置を理解するには、既存のアプリケーションセキュリティ製品との比較が分かりやすいです。
| カテゴリ | 代表例 | 仕組み | Claude Security との違い |
|---|---|---|---|
| SAST(静的解析) | Snyk Code, Checkmarx, Veracode | 既知の危険パターンをルールとして持ち、コードを照合 | Claude Security はパターン照合ではなく意味理解。誤検知が出にくく、修正コードまで提案する |
| SCA(依存ライブラリ解析) | Dependabot, Snyk Open Source | 使用ライブラリのバージョンと脆弱性 DB を照合 | Claude Security はライブラリの内部実装まで読み、危険なオプションが有効かを判断する |
| DAST(動的解析) | Burp Suite Enterprise, OWASP ZAP | 稼働中アプリに実際にリクエストを投げて検証 | Claude Security は静的だが、再現手順を提示して DAST 的な検証を後押しする |
| 手動コードレビュー | セキュリティエンジニアによる人手レビュー | 人がコードを読む | Claude Security は人の負荷を 1 次レビューから外し、人は判断と意思決定に集中できる |
SAST / SCA を完全に置き換えるというより、「人手でしかできなかった精緻な読み取りを AI が肩代わりし、既存ツールが取りこぼしていた指摘を埋める」位置づけと考えると整理しやすいでしょう。
セキュリティ事業者との提携 ― CrowdStrike / Wiz など
Anthropic は Claude Security と同時に、主要なセキュリティ事業者との連携も発表しています。連携先として名前が出ているのは次の各社です。
- CrowdStrike ― エンドポイント保護で知られる。XDR 基盤と Claude Security の検出を結びつける構想
- Palo Alto Networks ― ネットワーク・クラウドセキュリティの大手
- SentinelOne ― AI 駆動型 EDR の代表格
- Trend Micro ― 日本国内でも導入が多いエンドポイント・サーバ保護
- Wiz ― クラウド資産の脆弱性可視化(CSPM/CNAPP)の主要プレイヤー
これらの連携が意味するのは、「Claude Security 単体で完結する」というより、「既存のセキュリティ運用基盤に AI のレビュー能力を差し込む」発想です。たとえば Wiz でクラウド側のリスクを把握し、Claude Security でアプリケーション側の脆弱性を把握し、両方の検知を CrowdStrike / SentinelOne 側のインシデント管理に集約していく、という構成が想定されます。
Anthropic は Claude Security を「単独製品」ではなく「セキュリティスタックの一部品」として位置づけています。すでに各社のセキュリティ製品を導入している企業ほど、追加導入の話がしやすい構造です。
サービス事業者との提携 ― Accenture / Deloitte など
製品提携と並行して、グローバルなコンサルティング・SI 事業者との提携も発表されています。
- Accenture
- Boston Consulting Group(BCG)
- Deloitte
- Infosys
- PwC
これらのファームは Claude Security を組み込んだセキュリティ評価・移行支援サービスを顧客に提供できる体制を整えるとされています。「ツールを買って終わり」ではなく、「自社の既存コードベースに当てて、出てきた指摘を整理し、修正計画に落とし込む」までを伴走してもらえる選択肢が用意された形です。
大規模なエンタープライズが Claude Security を採用する場合、ライセンス契約は Anthropic と直接結ぶか、これらのパートナー経由で結ぶかの判断が初期論点になります。社内のセキュリティチームの厚みに応じて選び分けるのが現実的です。
日本企業がベータを試す前に押さえたいこと
日本企業が Claude Security のベータを評価するときに、最初に整理しておきたいポイントを 4 つ挙げます。
1. 対象コードベースの選定
いきなり全社のコードを当てるより、影響範囲が大きい一つのプロダクト(受発注システム、顧客向けポータルなど)から試すのが定石です。「どのリポジトリを評価するか」を先に決めておかないと、ベータ期間が終わってしまいます。
2. 学習・解析の前提となるデータの取り扱い
Claude Security はソースコードをモデルが読み込む構造です。Anthropic の利用規約・データ取り扱いポリシー(ベータ提供時のオプトアウト条件、リージョン、データ滞在)を、契約前に法務・情報セキュリティ部門と一緒に確認しておくべきポイントになります。
3. 既存の SAST / SCA との役割分担
「Claude Security に置き換える」のか「既存ツールに上乗せする」のかを最初に決めておかないと、運用が二重化します。多くの組織は当面、既存ツール+ Claude Security の二段構えになります。
4. 検出結果の取り扱いフロー
誰が検出を確認し、誰が却下を承認し、誰が修正にアサインされるか、運用フローを決めずに導入すると検出のキューが滞留しがちです。Webhook / CSV エクスポートを使って既存のチケットシステムと結ぶのが、最も無理のない接続方法です。
パブリックベータは GA(一般提供)ではないため、SLA・サポート条件・課金モデルが今後変更される可能性があります。「ベータの間は本番のセキュリティ判定を Claude Security 単体に依存しない」スタンスで評価を進めるのが安全です。
まとめ
Claude Security のパブリックベータ公開は、生成 AI の用途が「コードを書く」から「コードを審査する」まで広がってきたことを象徴する発表です。Claude Opus 4.7 がコードベース全体を読み解き、確信度・再現手順・推奨パッチまでまとめてくれるということは、これまでセキュリティエンジニアが片手間で進めていた一次レビューの負荷が大きく下がることを意味します。
一方で、AI が出した検出結果をどう取り扱うか、どこまでを自動修正に回し、どこから人の判断を入れるかの設計は、各社の運用ルールに委ねられたままです。ベータ期間は「製品を試す」というよりも、「自社のセキュリティ運用フローに、AI のレビュー結果をどう組み込むか」を試行錯誤する貴重な期間として活用すると、GA 後に一気に展開しやすくなります。
はてなベース株式会社では、Claude / Claude Code を活用した社内システムのセキュリティレビュー、AI を組み込んだ DevSecOps 体制づくりのご相談を承っています。ベータ評価のスコーピングや、検出結果を扱うフロー設計など、立ち上げの最初の一歩からご支援可能です。
- Claude のチーム設定を GitHub で管理する入門ガイド|非エンジニアにもわかる「どこに何を置くか」 — Claude Code のカスタマイズファイル(CLAUDE.md / Skills 等)をチームで GitHub 管理するときの基本を、非エンジニアでもわか…
- DESIGN.mdを実践してみた|自社ブランドのデザインシステムをAIに伝えてUI生成を比較 — GoogleがオープンソースにしたDESIGN.mdを実際に自社プロジェクトで使ってみました
- Claude Codeの4大コンテキスト管理術|CLAUDE.md・Skills・Subagents・Agent Teams完全ガイド — Claude Codeを使いこなすカギは「コンテキスト管理」
- 【2026年最新】Claude全モデル比較ガイド|Opus・Sonnet・Haikuの使い分け — Claude 4.6世代のOpus・Sonnet・Haikuを徹底比較
- 【GitHub非エンジニア入門 4/5】AI用コンテキストをGitHubで管理する実践|CLAUDE.md・Skills・社内ナレッジを集約 — Claude CodeのCLAUDE.md、ChatGPTのカスタムプロンプト集、社内用語集・FAQ・意思決定ログをGitHubに集約する設計
- 社内のソースコード資産を AI で継続的にレビューし、セキュリティ品質を底上げしたい
- 散在する業務データを整理し、AI エージェントが安全に参照できる基盤を整えたい
- 機密性の高い情報を扱うため、オンプレミス環境で生成 AI を運用したい
