株式会社TIMEWELLの濱本隆太です。
2026年4月30日、Anthropicは「Claude Security」を公開ベータとして全Enterprise顧客に開放しました[^1]。同じ日にClaude Opus 4.7も発表され、エンタープライズ向けの推論性能とセキュリティ周辺機能が同時に厚くなった格好です[^2]。
私たちのチームでも、Claude Codeをすでに業務に組み込んでいるお客様から「同じAnthropicの推論基盤で、書いたコードのセキュリティレビューまで通せるのか」という質問が届くようになりました。結論から書くと、答えはイエスで、しかも今までSnykやSemgrepが担っていた領域の一部を置き換える勢いがあります。一方で、誤検知の運用や監査ログの設計を最初に詰めておかないと、現場のレビュー疲れを増やすだけで終わるリスクもあると考えています。
本稿では、Claude Securityの公開ベータで何が変わったのかを一次情報ベースで整理しつつ、Claude CodeのAgent Teams構成との組み合わせ方、既存ツールとの棲み分け、そして日本企業が導入する際の落とし穴までをまとめます。Claude Codeを使い倒している読者を前提に、「次のステップとして何を仕込んでおくか」を具体的に書いていきます。
Claude Security とは何か——4月30日発表の中身
Claude SecurityはAnthropicが2026年4月30日に公開ベータとしてリリースした、Claude Opus 4.7を使ったコードベース全体の脆弱性スキャナーです[^1]。SiliconANGLEの報道によると、Anthropicは「サイバーセキュリティ研究者の思考プロセスを模倣する」設計思想を掲げており、データフローをトレースし、ソースコードを読解し、コンポーネント間の相互作用を解析した上で、検出した脆弱性に対するパッチまで自動で生成します[^2]。
従来のSAST(静的解析)ツールがパターンマッチングを主軸に置いていたのに対し、Claude Securityは推論モデルを通してコードベース全体の文脈を踏まえた指摘ができる点が一番の違いです[^3]。たとえば、認証処理が3つのモジュールにまたがっていて、そのうち1つだけが検証ロジックを省略している、といった構造的な抜けは、これまでのパターンマッチでは検知が難しい領域でした。Claude Opus 4.7はその種の「コードベース横断の推論」が得意な設計になっており、Anthropicも公式ブログでセキュリティレビューのユースケースを最初に挙げています[^4]。
公開ベータと同時に追加された運用機能も見ておきます。Anthropicの2026年5月リリースノートによれば、Claude SecurityはスケジュールスキャンとCSVやMarkdown形式のエクスポート、Slack通知やJira連携、汎用Webhookに対応しています[^7]。スキャンを夜間バッチで回し、結果をSlackチャンネルに流し、重大度の高いものだけJiraチケット化する、という運用がすぐに組めるようになりました。
ここまで読むと「結局はSAST + 通知連携の延長では」と感じる方もいると思いますが、実態はもう少し踏み込んでいます。Inc.の取材記事ではAnthropic幹部が「AIによる攻撃の高速化に対し、防御側もAIで応戦する必要がある」と述べており[^4]、Claude Securityはその「応戦側のAI」の中核として位置づけられています。OWASPの2026年Q1レポートでも、生成AIアプリへの攻撃手法は四半期ごとに新種が追加されており、人手主体の脆弱性管理プロセスは追い付かないという分析が示されています[^8]。Claude Securityはこの構造変化への一つの回答です。
統合パートナーとProject Glasswing
Claude Securityが「単独のスキャナー」ではなく「エンタープライズ運用に組み込まれる推論レイヤー」であることは、発表当日に並んだ統合パートナーの顔ぶれを見るとよく分かります。
セキュリティ製品ベンダーでは、CrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、TrendAI、Wizが既存製品へのClaude Security統合を発表しました[^1][^3]。SOC(セキュリティオペレーションセンター)のアラート起点でClaude Securityにコード解析を依頼し、関連するリポジトリの該当箇所を特定してパッチ案を返す、という連携を各社が想定しています。Wizのようなクラウドセキュリティポスチャ管理製品との接続では、IaC(Infrastructure as Code)の問題箇所をコードベースに紐付けて修正提案まで持っていける、という具体的なユースケースがDevOps.comで紹介されていました[^3]。
サービス側ではAccenture、BCG、Deloitte、Infosys、PwCが脆弱性管理プログラム、secure code review、インシデント対応の各サービスにClaude Securityを組み込むと宣言しています[^5][^6]。日本国内でもこれらのファームを通じた導入提案がそろそろ動き出すと考えています。コンサル経由の場合、運用設計とSoCとの接続まで一括で巻き取れるのが魅力ですが、内製の運用力を育てたい企業には別の伴走形態が向いています。この点は最後の章でまとめます。
もう一つ無視できないのが「Project Glasswing」です。AnthropicはClaude Mythos Previewと精鋭のセキュリティ研究者の協業プロジェクトとして発表しており、攻撃者視点でのプロンプトインジェクションや、エージェント連鎖を悪用した脱獄攻撃の事前検証を目的としています[^1][^2]。Claude Security本体がBlue Team側の防御を担い、Project GlasswingがRed Team側の攻撃シナリオを蓄積するという二段構えで、両者の知見が相互にフィードバックされる設計です。Anthropicの発表後すぐに、Techzineが「Anthropicは攻撃と防御の両側を自社モデルでカバーする道に進んだ」と評していました[^6]。
Claude Code Agent Teamsとの併用設計
ここからは実装側の話に入ります。Claude Codeをすでに導入している現場では、Claude Securityをどう組み合わせるのが現実的か、という点が一番気になるところです。
私たちが推奨しているのは、「コードを書くチーム」と「セキュリティをレビューするチーム」を物理的に分離する構成です。Claude CodeのAgent Teamsで複数のチームメイトを定義する仕組みについては別記事のClaude Code Agent Teams 完全ガイドで詳しく書きましたが、その応用として、書く側のチームメイト(Implementer)と、レビューする側のチームメイト(Reviewer + Claude Security)を別ロールで動かします。
書く側のチームメイトには Bash(git push *) を deny で塞いでおきます。書くだけ書いて、push権限は持たない。レビュー側のチームメイトはClaude Securityのスキャン結果をフックしてGOかNO-GOを判定し、GOが出たときだけpushする。この設計にしておくと、Claude Securityが見ていない変更がリモートに乗ってしまう事故を構造的に防げます。permissions設計の基本はClaude Code 環境変数とセキュリティ完全ガイドにまとめてあるので、deny設定の詳細はそちらを参照してください。
最終的にはHuman-in-the-Loop、つまり人間のレビュアーが最後の関門になります。ここを抜くと、AI事業者ガイドラインv1.2が求める外部アクションへの人間関与の要件を満たせません[^11]。ただし、人間に届くまでの「AI同士のレビュー往復」は完結させられるので、レビュアーの負荷は明らかに下がります。これまで人間が見るしかなかった一次レビューを、Claude Codeの実装担当が書き、Claude Securityが脆弱性をレビューし、最後に人間が承認する、という三段に組み替えるイメージです。
ここに関連して、Claude CodeのSkills機能を使えば、レビュー観点をプロジェクト固有のSkillとして再利用できます。たとえば「認証ミドルウェアの変更時はSession Fixation観点を必ずレビューする」といったプロジェクト固有のルールをSkillに切り出しておき、Claude Securityのスキャン結果と組み合わせてチェックする。この種の「会社固有の脆弱性パターン辞書」を社内に貯めていけるかどうかが、6ヶ月後のセキュアコーディング水準を分けると考えています。
なお、現場で起きやすい事故として、Meta社内で2026年3月にAIエージェントが本番DBにアクセスしてしまった件が報告されています[^11]。原因はpermissions設計の漏れと、エージェントが起動するセッションのスコープ管理の甘さでした。Claude Security導入とセットで、Claude Code側のpermissions・環境変数管理も棚卸ししておくのが安全です。
既存ツール(Snyk、Semgrep、gitleaks、trufflehog)との比較と置き換え方
「Snykを既に契約しているのですが、Claude Securityは置き換え対象になりますか」という質問を、発表後の1週間で何度も受けました。私の見立てを整理します。
| ツール | 主な役割 | Claude Securityとの関係 |
|---|---|---|
| Snyk | 依存関係の脆弱性スキャン、ライセンス管理 | 補完。SBOM起点の依存関係はSnyk、コード本体の文脈推論はClaude Securityで分担 |
| Semgrep | パターンマッチベースのSAST | 部分的に置き換え可能。ルールが充実している領域はSemgrep継続、文脈依存が強い領域はClaude Securityへ |
| gitleaks | リポジトリ内のシークレット検出 | 補完。シークレットスキャン自体は専用ツールが速い。Claude SecurityはCI/CDで段階的に併走 |
| trufflehog | 機微情報の履歴スキャン | 補完。漏洩検知は専用ツールに任せ、修正提案や影響範囲解析でClaude Securityを使う |
結論としては「依存関係スキャンとシークレットスキャンは専用ツール、コード本体の文脈推論はClaude Security」という棲み分けが、当面の現実解だと考えています。Semgrepは中間に位置していて、ルールセットの整備状況によって置き換えの度合いが変わるはずです。
OWASPのレポートが指摘している通り、2026年に入ってからの脆弱性は「単一ファイルの単一行を直せば終わる」性質のものが減っており、複数モジュールにまたがる論理的な抜けや、エージェントの実行権限を悪用するタイプの攻撃が増えています[^8]。Microsoft 365 Copilotで報告されたEchoLeakのようなゼロクリック攻撃も、複数のサービス境界を跨いだプロンプトインジェクションが起点でした[^9]。GitHub CopilotのRCE(CVE-2025-53773)も同種で、エージェントの実行コンテキストにユーザー入力が直接流れ込む経路を突いた攻撃です[^10]。
この種の脆弱性は、パターンマッチでは見えません。「どのデータがどの権限境界を越えているか」を追えないと検知できないわけで、ここは推論モデルの土俵です。Claude Securityがエンタープライズで歓迎されている背景には、こうした攻撃トレンドの変化があります。
企業導入の落とし穴とWARPでの伴走支援
ここからは、実際に導入する企業が運用開始前に決めておくべき5つの観点を整理します。FAQでも触れた内容ですが、一段深く書いておきます。
第一に、スキャン対象範囲の明確化です。ソースコードだけでなく、TerraformやCloudFormationなどのIaC、kubernetesマニフェスト、CI/CDパイプライン定義、依存関係マニフェストまでを含めるのか、初期は絞るのかを最初に決めます。範囲を広げすぎると初回スキャンの結果が膨大になり、レビュー疲れが起きます。最初は本番影響度が高い1リポジトリに絞り、2〜4週間で運用フローを固めてから範囲を広げるのが現実的です。
第二に、通知とワークフロー連携です。Slackで全員に流すのか、Jiraチケット化してアサインするのか、PagerDutyに繋いで重大度に応じて起こすのか。通知設計を曖昧にしたまま運用を始めると、SlackのClaude Securityチャンネルが誰も見ない墓場になります。ここは最初の2週間で「重大度ごとのルーティング」「対応SLA」「エスカレーション先」を決めておくのが鉄則です。
第三に、誤検知の運用フローです。Claude Securityといえども偽陽性は避けられません。検知された脆弱性に対して「True Positive(本当の脆弱性)」「False Positive(誤検知)」「Accepted Risk(リスク受容)」のいずれかを記録する仕組みを作り、True Positive Rateを継続的に計測することをお勧めします。この数字が改善していかないと、現場の信頼が育ちません。
第四に、ログと監査の保管期限です。エンタープライズ向け製品である以上、誰がいつ何のスキャンを回し、どの結果をどう扱ったかは監査対象になります。Claude Securityの監査ログをSIEMに流し込む設計を、PoC段階で組んでおくのが安全です。
第五に、AI事業者ガイドラインv1.2との整合です。外部アクションを伴うAIエージェントには「人間による関与の確保」「説明責任」「ログ保存」が求められます[^11]。Claude Securityがパッチを自動生成し、それをそのままmergeする運用は、ガイドラインの趣旨から外れます。生成されたパッチは必ず人間がレビューしてからmergeする、というフローを最初から組み込んでおく必要があります。Claude Codeのpermissions設計と合わせて棚卸しするタイミングです。
ここまで書いた5つの論点を、社内の力だけで詰めきるのは想像以上に重い作業です。私たちが提供しているWARPコンサルティングでは、Claude SecurityとClaude Codeを組み合わせたDevSecOps運用設計を、現場のエンジニアと並走しながら整えています。具体的には、(1)スキャン範囲の優先順位付け、(2)通知ルーティングとSLA設計、(3)誤検知運用とTrue Positive Rateの可視化、(4)監査ログの保管設計、(5)AI事業者ガイドラインv1.2との整合チェック、までを最初の3ヶ月で型にします。WARPの位置づけや料金体系は/warpに詳しく載せていますし、プロジェクトの相談は/contact?product=warpから30分のオンライン相談を受け付けています。
「Claude Codeを入れて2〜3ヶ月経ったが、セキュリティ側の運用が追い付いていない」という段階の企業にとって、Claude Securityは次の一手として強力です。ただし、ツールを入れるだけでは事故の可能性をむしろ広げます。設計と運用を同時に整えることが、結局は一番の近道だと考えています。
まとめ
Claude SecurityはAnthropicがエンタープライズ向けに踏み込んだ「防御側AI」の中核です。Claude Opus 4.7の推論能力で、これまでのパターンマッチでは見えなかった複数モジュール横断の脆弱性が拾えるようになりました。Claude Codeとの併用で「書くAI」と「レビューするAI」を分離し、人間を最終関門に置く三段構えが、現時点での最適解だと考えています。導入する企業は、ツール選定よりも先に運用設計の5論点を詰めることを強くお勧めします。
[^1]: SecurityWeek「Anthropic Unveils Claude Security to Counter AI-Powered Exploit Surge」(2026-04-30) https://www.securityweek.com/anthropic-unveils-claude-security-to-counter-ai-powered-exploit-surge/ [^2]: SiliconANGLE「Anthropic announces Claude Security public beta to find and fix software vulnerabilities」(2026-04-30) https://siliconangle.com/2026/04/30/anthropic-announces-claude-security-public-beta-find-fix-software-vulnerabilities/ [^3]: DevOps.com「Anthropic Brings AI-Powered Security Scanning to Enterprise Teams With Claude Security」 https://devops.com/anthropic-brings-ai-powered-security-scanning-to-enterprise-teams-with-claude-security/ [^4]: Inc.「Anthropic's Powerful New Cybersecurity Tool Is Designed to Find Vulnerabilities in Your Code—and Patch Them」 https://www.inc.com/chloe-aiello/anthropics-powerful-new-cybersecurity-tool-is-designed-to-find-vulnerabilities-in-your-code-and-patch-them/91338485 [^5]: SecurityAffairs「Anthropic launches Claude Security to counter rapid AI-powered exploits」 https://securityaffairs.com/191532/ai/anthropic-launches-claude-security-to-counter-rapid-ai-powered-exploits [^6]: Techzine「Anthropic Claude Security available to all Enterprise customers」 https://www.techzine.eu/news/security/140944/anthropic-claude-security-available-to-all-enterprise-customers/ [^7]: Anthropic Release Notes May 2026(Releasebot.io) https://releasebot.io/updates/anthropic [^8]: OWASP GenAI Exploit Round-up Report Q1 2026 https://genai.owasp.org/2026/04/14/owasp-genai-exploit-round-up-report-q1-2026/ [^9]: Airia「AI Security in 2026: Prompt Injection, the Lethal Trifecta, and How to Defend」(EchoLeak解説含む) https://airia.com/ai-security-in-2026-prompt-injection-the-lethal-trifecta-and-how-to-defend/ [^10]: Medium / Stawils「Prompt Injection Is Still the #1 AI Vulnerability in 2026」(CVE-2025-53773 GitHub Copilot RCE解説) https://medium.com/@stawils/prompt-injection-is-still-the-1-ai-vulnerability-in-2026-and-were-running-out-of-excuses-288e3e5cb303 [^11]: VentureBeat「AI agent runtime security: system card, audit, comment, and control 2026」(Meta社内AI事故報道含む) https://venturebeat.com/security/ai-agent-runtime-security-system-card-audit-comment-and-control-2026