Claude Security とは
「コードベースを Claude にスキャンさせ、見つけた脆弱性ごとに修正案を出させ、人間が承認する」ことに特化した製品です。Anthropic 自身が社内で使ってきたものを、外部の Enterprise 顧客向けに出した形になります。
非エンジニアの目線で言うと「シニアセキュリティエンジニアが GitHub のプルリクに毎回張り付いて『ここ危ない、こう直すべき』と書いてくれる」イメージに近く、これまで人手 + 専門 SAST 製品で回していた仕事の一部を AI に寄せにいく狙いの製品です。
何が変わった / 出た
公式の X 投稿と、製品ページ(claude.com/product/claude-security)から拾えた事実は以下の通り。
1. Enterprise 限定 public beta として公開 — 「Available today in
public beta for Claude Enterprise customers.」(@claudeai)。Enterprise 契約の admin がコンソールから機能を有効化する形。Team / Max プランへの対応は 「coming soon」。
2. 検出方式は「推論ベース」 — 公式説明では、ルール / パターンに
ヒットさせるのではなく、Claude がコードを読み込んで脆弱性を 推論で判定 する設計、と紹介されている(製品ページより)。
3. 並列スキャン + データフロー追跡 — 文脈を踏まえて複数ファイルに
またがる脆弱性も拾う想定。「multi-file vulnerability detection for complex patterns」と明記。
4. adversarial verification(自己反証)で誤検知を削る — 検出した
issue に対して、自分自身で「これは本当に成立する攻撃か」を検証してから返す設計。SAST で長年問題だった「false positive 多すぎ」への正面打開策として打ち出している。
5. 修正パッチ案まで提示 — 「scans your codebase, validates findings,
and suggests patches you can review and approve.」(製品ページ)。人間は 承認するかどうかをレビューする側 に回れる。
6. 想定する脆弱性カテゴリ — メモリ破壊系 / インジェクション系 /
認証バイパス / 複雑なロジック欠陥といった 重大度の高いもの を主対象に置いている。
7. 既存ワークフローに刺さる出力 — Slack / Jira 連携(Webhook 経由)と、
監査やチケッティング向けの CSV / Markdown エクスポートをサポート。
誰にどう効くか
・Enterprise でコードベースを抱える開発組織: 既存の SAST / SCA 製品の「ノイズが多い」「指摘の意味が抽象的」問題に、AI による推論ベース判定 + 修正パッチ案で具体性を上乗せできる。
・セキュリティ担当者が少ない / 兼任のチーム: 専門レビュアーが毎 PR に張り付かなくても、Claude Security が一次トリアージ + 修正案まで作ってくれるので、人間は「承認するか / 直すか / 無視するか」を決める側に回る。
・コンプラ・監査要件が重い業界: CSV / Markdown のエクスポートとチケットシステム連携が前提に組み込まれているので、監査ログを残しつつ運用に乗せやすい。