AnthropicがClaude SecurityをClaude Enterprise向けにパブリックベータ公開しました。旧称Claude Code Security。Opus 4.7をベースに、コードベース全体をスキャンして脆弱性を見つけ、パッチまで生成します。API統合もカスタムエージェント構築も不要で、claude.ai/securityにアクセスするだけです。
従来のスキャナーと何が違うのか
従来のセキュリティスキャナーは既知のパターンを検索します。シグネチャマッチング、ルールベースの静的解析——「過去に見たことのあるバグ」を探す手法です。
Claude Securityのアプローチは根本的に異なります。
スキャン中、Claudeはセキュリティ研究者と同じようにコードについて推論します。既知のパターンを検索するのではなく、コンポーネントがファイルやモジュールをまたいでどのように相互作用するかを理解し、データフローを追跡し、ソースコードを読みます。
つまり「このパターンは危険」という辞書式アプローチではなく、コードの意味を理解した上で脆弱性を発見するのです。
主な機能
- 多段階検証パイプライン — 各検出結果を独立して再確認。誤検知を減らし信頼度スコアを付与
- スケジュールスキャン — 定期的なレビューを設定可能
- ディレクトリ単位のターゲットスキャン
- 却下の理由記録 — 過去のトリアージ判断を未来のレビュアーが参照可能
- CSV/Markdown エクスポート
- Slack、Jira等へのWebhook連携
各検出結果には信頼度、重大度、影響範囲、再現手順、パッチ手順が付きます。
なぜ重要か
- 参入障壁が下がる — セキュリティ専門知識がなくても本格的な脆弱性スキャンが可能に
- 意味的理解 = 未知の脆弱性も発見 — パターンマッチングは既知のものしか見つけられない
- エコシステム統合 — CrowdStrike、Microsoft Security、Palo Alto Networks等が既にOpus 4.7の能力を自社ツールに統合中
Project Glasswingとの関係
この公開はProject Glasswingの延長線上にあります。2026年4月に発表された、AWS、Apple、Google、Microsoft等45以上の組織が参加するセキュリティイニシアチブで、背景にはClaude Mythos Previewというフロンティアモデルが主要OS・ブラウザすべてでゼロデイ脆弱性を自律発見したという事実があります。
- Mythos Previewはテスト中に数千件の高危険度脆弱性を発見
- 中には27年前から存在したOpenBSDのバグも
- Opus 4.6はエクスプロイト開発成功わずか2回 → Mythos Previewは181回成功
- Anthropicはセキュリティ目的で1億ドル分の使用クレジットをコミット
Claude Securityはこの技術の「防御側」への展開です。Mythos級の発見能力をエンタープライズ向けに安全に使える形にしたものと言えます。
まとめ
- Claude Security = Opus 4.7ベースのコード脆弱性スキャナー(パブリックベータ)
- 従来のパターンマッチングではなく、コードの意味を理解して脆弱性を発見
- 多段階検証、スケジュールスキャン、Jira/Slack統合など実用的な機能が揃う
- Project Glasswing / Mythosの技術を防御向けに展開
- セキュリティ専門家でなくても本格的な脆弱性スキャンが可能に
参考: