Claude Code Security詳解——AI推論ベースの脆弱性検出と市場への波紋
2026年2月20日、AnthropicがClaude Code Securityを限定リサーチプレビューとして発表した。Claude Opus 4.6をベースに、Pacific Northwest National Laboratory(PNNL)とのパートナーシップで1年以上のレッドチームとCTF検証を経ての公開になる。
本番運用中のOSSコードベースから500件以上の脆弱性を発見し、その中には「数十年にわたって未検出だった」バグも含まれるとAnthropicは主張している。対象はEnterpriseとTeamプランのユーザーで、OSSメンテナーには無料の優先アクセス申請枠が用意されている。
なお、スキャン対象は自社が所有するコードに限定されており、サードパーティやOSSコードのスキャンは契約上禁止されている。
従来のSASTと何が違うか
これまでの静的解析ツールは、既知の脆弱性パターンをスキャンするルールベースの仕組みだった。「SQLクエリにユーザー入力が直接連結されている」といったパターンを事前定義し、マッチするコードを検出する。パターンに登録されていない脆弱性、複数コンポーネントにまたがるロジックの問題、データフローが複雑に絡むケースは見落としやすい。
Claude Code Securityはこの問題に別の角度から切り込む。Anthropicの説明では「既知のパターンをスキャンするのではなく、人間のセキュリティ研究者と同じようにコードを読み取り、分析する」とされている。コンポーネント間の相互作用を理解し、アプリケーション内のデータフローを追跡し、Git履歴まで分析することで、ルールベースツールが見落とす複雑な脆弱性を検出する。
検出できる脆弱性の種類
対象は幅広い。メモリ破壊、各種インジェクション(SQL、コマンド、LDAP、XPath、NoSQL、XXE)、認証バイパス、複雑なロジックエラー、アクセス制御不備、安全でないデシリアライゼーション、SSRF、シークレット漏洩、脆弱な暗号処理、XSS、レースコンディション(TOCTOU問題)と、従来のパターンマッチでは捕捉が難しいカテゴリも含まれている。
偽陽性をどう減らしているか
セキュリティツールの実用上最大の問題のひとつが偽陽性だ。脆弱性でないものを脆弱性として報告し続けると、開発者がアラートを無視するようになり、本物の問題を見落とすリスクが生まれる。
Claude Code Securityは多段階の検証プロセスを採用している。
- 敵対的検証パス: 脆弱性を発見した後、自身の発見に対して「これは本当に脆弱性か?」と敵対的に証明・反証するステップを踏む
- 重大度レーティングと信頼度スコア: 各発見に重大度と信頼度の両方を付与し、優先順位付けを支援する
- GitHub Actionでの自動除外: DoS脆弱性、レート制限の問題、メモリ・CPU枯渇、影響が未証明の入力バリデーション不備、オープンリダイレクトは自動的に除外される
ただし、具体的な偽陽性率は公表されていない。VentureBeatが質問したが、Anthropicは共有を拒否した。「偽陽性を減らす仕組みがある」と言いつつ数字を出さないのは、評価する側としてはやや気になるポイントだ。
GitHub Action
anthropics/claude-code-security-review としてオープンソース公開されている(MITライセンス)。PR単位のdiff-awareスキャンで、変更差分に対して自動でセキュリティレビューコメントを投稿する。言語非依存で動作する。
ただし公式リポジトリに「プロンプトインジェクション攻撃に対してハードニングされていない」との注意書きがある。PRの内容にプロンプトインジェクションが仕込まれた場合、レビュー結果が操作される可能性がある。セキュリティツール自体のセキュリティが未解決という皮肉な状態だ。
競合ツールとの比較
Claude Code Securityは既存のセキュリティツール群と競合するが、アプローチが根本的に異なる。
| ツール | アプローチ | 修正提案 | 特徴 |
|---|---|---|---|
| Claude Code Security | AI推論ベース(コード全体を人間の研究者のように読解) | パッチ提案(人間承認必須) | データフロー追跡、Git履歴分析、多段階自己検証 |
| Snyk Code | AI+パターンマッチのハイブリッド | IDEでリアルタイム修正提案 | SAST+SCA+コンテナ+IaC統合 |
| GitHub CodeQL | セマンティッククエリ言語(テイント分析特化) | Security Alertsで提案 | テイント分析に強い |
| Semgrep | セマンティックパターンマッチ(YAMLルール) | ルールによる自動修正 | 高速、OSSベース |
| SonarQube | ルールベース静的解析 | コード品質+セキュリティ一体 | 品質チェックとセキュリティの統合 |
実務での使い方としては、Semgrepで既知パターンを弾き、Claude Code Securityでビジネスロジック系を追加チェックする組み合わせが現実的だ。全ツールを単独で代替するものではなく、既存ツールのカバレッジの穴を埋める位置づけになる。
AI-ネイティブSAST市場の動向
Claude Code Securityだけが参入しているわけではない。AI-ネイティブなセキュリティ解析は急速に市場が立ち上がりつつある。
- Endor Labs: 2025年4月に $93M 調達。偽陽性を92%削減したと主張
- Qwiet AI: 3段階のAIエージェント構成(分析、修正、検証)で脆弱性対応を自動化
- Pixee: AIプロダクトセキュリティエンジニアとして修正まで自動生成
- DryRun Security: PR単位でセキュリティポリシーを強制する仕組み
Anthropicの参入はこの市場にLLM大手が直接乗り込んだ形で、専業スタートアップにとっては無視できない動きだ。
市場の反応:サイバーセキュリティ株から $15B が消えた
発表直後、サイバーセキュリティ関連銘柄から約 $15B(約150億ドル)の時価総額が吹き飛んだ。
- JFrog: -25%
- Okta: -9.2%
- CrowdStrike: -8%
- Cloudflare: -8.1%
ただし、アナリストの大半は「過剰反応」と見ている。Barclaysは「売りは非論理的」、Morningstarは「悪いニュースではない」、Viola Venturesは「セキュリティは簡単になるのではなく、より難しくなる」と評した。
Claude Code SecurityはSASTの一部を代替しうるツールであって、CrowdStrikeのEDRやOktaのIAMとは競合領域が異なる。「AIがセキュリティを全部やる」という雑な連想で売られた側面が強い。冷静に見れば、AIの脆弱性検出能力が上がるほどセキュリティ製品・サービスの需要は増える方向に働く。
懸念と批判
デュアルユース問題
脆弱性を発見する推論力は、攻撃者の偵察にも転用できる。この種のツールが高度化すればするほど「防御者が先に見つけるか、攻撃者が先に見つけるか」の競争が激化する。Anthropicは自社コード限定のスキャン制限を設けているが、同等の推論能力を持つモデルは他にも存在する。
AIアプリケーション自体のセキュリティ
Repello AIは「AIアプリケーション自体のセキュリティは守らない」と指摘している。LLMベースのアプリが抱えるプロンプトインジェクション、間接的なプロンプト攻撃、モデル出力の信頼性といった問題は、Claude Code Securityのスコープ外だ。
GitHub Actionのプロンプトインジェクション未対応
前述の通り、GitHub Action自体がプロンプトインジェクションに対してハードニングされていない。セキュリティレビューツールがセキュリティ攻撃に脆弱という状態は、本番導入前に認識しておく必要がある。
関連記事:
- AIで侵害し、AIで守り、人間が穴を開ける(500件検出の文脈、ツール比較表)
- AI攻防の最前線(AIが攻撃の標的にも武器にもなる構造)
- Web Components再考とgovulncheck(govulncheckとの偽陽性削減比較)
- 開発ツールが攻撃面に(Chrome DevTools、VSCode、Copilotのリスク)