Claude Media
アルバータ州政府がClaude Codeで4.66億行のコードを20時間走査 — 政府システム脆弱性の一括修復事例

アルバータ州政府がClaude Codeで4.66億行のコードを20時間走査 — 政府システム脆弱性の一括修復事例

カナダ・アルバータ州政府がClaude CodeのOpus / Sonnetで政府システム4.66億行を20時間で走査し、脆弱性を修正した事例。約50エージェントの並列稼働、red team / blue teamエージェント、旧Javaシステムの数日での再構築まで。

Anthropicは2026年7月6日、カナダ・アルバータ州政府がClaude CodeでシステムセキュリティレビューをおこなったケーススタディをNewsとして公開しました。州政府のMinistry of Technology and Innovation(技術・イノベーション省)は2025年からClaude CodeのOpusとSonnetを使い、州が保有する4.66億行のコードを20時間で走査し、脆弱性の発見と修正、そして継続的なセキュリティ点検基盤の構築まで実施しています。従来手法での見積もりは約6.5年でした。

政府システムのセキュリティは、税務・社会サービス・公共安全といった機微情報を扱う一方、コードベースが老朽化・非公開のまま放置されがちで、体系的なレビューが後回しになりやすい領域です。Anthropicはこの事例を「Case study for governments」と位置付け、白書(technical white papers)も併せて公表しました。エンタープライズやSaaSベンダーによる大規模Claude Code導入事例は増えていましたが、州レベルの政府が保有する膨大な既存資産に対してエージェントを大量並列投入した公表事例としては、規模と対象領域の広さで先行のAnthropic × KPMG提携金融向けエージェント10種ともつながる流れの一部と読めます。

要点

  • 走査規模:4.66億行のコードを20時間で走査。従来手法では約6.5年相当と試算
  • 対象範囲:州の27省庁が使う約1,280アプリケーション / 3,400リポジトリを全数対象
  • 投入体制:約50体のエージェントが自律的かつ並列に稼働し、Claude CodeのOpusおよびSonnetモデルを使用
  • 2段階走査ルーチン:第1段でルールエンジンによる既知パターン検知、第2段でフラグを再検証しファイル・行番号を明示して開発者が検証しやすくする
  • red / blue teamエージェント:Claude Agent SDK上に構築、1アプリあたり約95のセキュリティ統制を毎回チェック
  • 旧システム再構築:25年前にJavaで手書きした助成金ポータルを、Claudeが4〜5日で再構築(初回開発は5か月)
  • 人材育成:Alberta AI Academyで政府職員数千人と一般市民10,000人以上が受講
  • 発表主体はAnthropicで、Nate Glubish氏(Alberta州技術・イノベーション大臣)が声明を寄せている

Anthropicは白書公開に加え、2026年7月にエドモントンで「industry day」を、秋には州政府全体への展開プログラム開始を予告しました。政府向けの実装ノウハウをそのまま他自治体・他国が参照できる形で公開している点が、この事例の際立った側面です。

あなたの利用フローはどう変わるか

政府・自治体のIT部門にとって

政府システムの多くは、コードが古く、ドキュメントが不完全で、体系的なセキュリティレビューが後回しにされてきた領域です。アルバータ州のケースは、こうした「既存資産に対するリスク一括棚卸し」を、レガシー刷新プロジェクトとしてではなくエージェントによる走査タスクとして立ち上げた点が特徴です。約50体のエージェントを並列で走らせ、対象を「レガシーの一部」ではなく「州が保有するすべてのリポジトリ」に置いたことが、実施期間を大幅に縮めています。

Anthropicが並行公開する白書は、他の州・省庁が同じ設計を再利用しやすくすることを狙ったもので、単発の宣伝よりも参照実装に近い出し方です。政府IT部門にとっては、内製エージェント構築の目的を「新機能開発」から「既存資産のセキュリティ点検の常時化」に置き直すヒントになりそうです。

エンタープライズの情シス / セキュリティ責任者にとって

エンタープライズでも、コードベースが数百リポジトリ規模で、体系的な脆弱性走査がSAST / DAST製品の枠内に留まっている組織は少なくありません。アルバータ州の2段階走査ルーチン(ルールエンジンでのフラグ付け → エージェントによる再検証と行番号付き証跡)は、既存SASTの誤検知を運用でどう飲み込むかという課題への1つの回答です。

red team / blue teamのエージェント分業も、CI / CDに組み込みやすい構成として参考になります。開発時にblue teamが遵守事項を通し、リリース前にred teamが攻撃観点で再点検する二段構えは、Claude Codeのセキュリティ・権限ガイドで扱う人手のレビュープロセスを自動側にシフトする方向性と重なります。

開発者・アーキテクトにとって

「25年前のJavaコードを4〜5日で再構築」の記述は誇張に見えますが、Anthropicの原文では「エンジニアのレビューと承認を通した上で」との条件が明記されています。すなわち、コード生成そのものではなく「レガシー資産の意図を読み取り、モダンな言語・構造で書き直すたたき台を短期間で用意する」段階でエージェントが効いている構図と読めます。旧Javaが手書き初期の5か月から4〜5日に縮んだという対比は、書き直しのボトルネックが「言語習得」でも「実装工数」でもなく「業務仕様の読み解き」だった、という古典的な仮説を裏付けます。

Alberta州のアプローチ詳細

対象範囲と体制

Alberta州のMinistry of Technology and Innovationは、州の27省庁が使うシステム全体を保守する組織で、社会サービスから公共安全、山火事対応まで対象領域が広く分布します。保有資産は約1,280アプリケーション、3,400リポジトリに及び、税務記録・調達情報・社会福祉ケースファイルなど機微情報が集約されています。累積技術的負債(insecure code、未対応バグ、旧式ソフトウェア)は数十億ドル規模と紹介されました。

2025年に内部チームを立ち上げ、Claudeとの協働でこれらのシステムをより安全かつ保守しやすい状態に持ち込む方針が明確化されました。Claude Codeで動く約50体のエージェントを、red team / blue team / コード品質 / 文書明快性など役割別に配置し、CIに組み込む形で継続稼働させています。

走査から修正までの2段階ルーチン

Claude Codeの走査は2段階で構成されます。第1段は各リポジトリに対しルールエンジンで既知パターン(SQLインジェクション、認証漏れ等の典型的欠陥)を機械検出し、第2段でエージェントがフラグを1件ずつ再検証してファイルパスと行番号を添えて残す設計です。

行番号付きの証跡が付くことで、開発者は指摘の妥当性をコード側で直接確認でき、AIが出した検知を人間側が却下・承認する判断コストが下がります。結果として、従来の自動走査ツールが取りこぼしていた欠陥も検出できたと紹介されています。

修正フェーズでは、脆弱性が検出されると同じClaude Codeが修正パッチの生成、テスト、ビルドまで一貫して回します。既存の自動テストがない箇所ではまずテストを書き、パッチの安全性を担保する順序も採用されています。パッチが古すぎて修正コストが高い場合には、より新しい言語で書き直す選択肢も取られ、25年前のJava製助成金ポータルは4〜5日で再構築されました。すべてのパッチは省エンジニアのレビューと承認を経てから本番投入されます。

red team / blue team / コード品質エージェント

Claude Agent SDK上に構築された専用エージェントが、開発プロセス全体を通じて継続的に走ります。red teamエージェントは外部からアプリケーションを探査し、攻撃者視点で脆弱性の悪用パスをマップします。blue teamエージェントは国際的なセキュリティ標準に照らして防御力を評価し、修正すべきファイルを明示した修復プランを書き出します。加えて、コード品質と一般利用者向け文書の明快性を検査するエージェントも配置され、1アプリあたり約95の統制項目が毎回チェックされます。

このエージェント群は個別に呼び出されるのではなく、Claude Codeのサブエージェント並列パターンに近い形で連携動作する構成と読めます。並列稼働で走査時間を圧縮しつつ、役割を明確化することで検知の混線を防ぐ設計です。

Alberta AI Academyでの人材育成

Alberta州は、システム側の刷新だけでなく州職員・一般市民の育成にも投資しています。Alberta AI Academyは政府職員数千人と一般市民10,000人以上が利用済みで、プロンプト作成からエンタープライズ・アプリケーション出荷までの基礎を提供しています。技術・イノベーション省は、このAcademyを軸に、単一チーム・単一プロジェクトの成功を全27省庁へ広げる意図を示しています。

事例の位置付けと今後

白書公開の意義

Alberta州は、実装で得た知見を「他の政府が参照できる白書」として公開しました。ケーススタディを対外PRとして出すのではなく、参照実装として置く出し方は、政府ITでの再利用性を高める方向にはたらきます。同じ課題を抱える他の州・国が、Alberta州のパイプライン設計を叩き台に自組織の走査ルーチンを設計しやすくなる位置付けです。

Anthropic側から見ると、政府領域でのClaude Code採用の説得材料が1本増えたことになります。政府IT市場は導入ハードルが高く、単発の実証実験だけでは横展開しにくい領域ですが、州レベルで数億行を実運用処理した実績と参照ドキュメントがそろうと、他の自治体からの評価がしやすくなります。

秋の州全体展開と185アプリの統合計画

Alberta州は今秋、このアプローチを州政府全体に広げるプログラムを開始する予定です。合わせて、ある省では本番運用中の185本のレガシーアプリケーションをClaude Codeで解析し、16本の再利用可能アプリケーションへ統合する計画も紹介されました。目的は複雑性と保守コストの低減、および近代化スピードの向上です。

「185本 → 16本」という圧縮比は、政府ITでの重複システム整理を「業務要件の再定義」ではなく「AIによる意味解析と再構成」で進める試みとも読めます。過去に複数省庁で個別に構築したシステムを1本に束ねる動きは、SaaS移行やモノリス集約とは別の、AIエージェントを前提とした新しい整理手法として注目されそうです。

今後の見通しと読者にとっての示唆

現時点でClaudeは省庁のコード作成・レビュー・デプロイを支援する位置付けですが、今後は「エンジニアと並走して新規ソフトウェアを構築するAIエージェント」へと役割を拡張する計画です。Anthropicは、この事例を他政府向けの雛形として提示し続けると明言しています。

政府IT関係者以外にとっても、大規模組織で既存資産の脆弱性走査を「継続的な運用タスク」に置き直すという発想は参考にしやすい取り組みです。特に、監査要件が厳しい業界では、blue teamエージェントが吐き出す修復プランを監査証跡としてそのまま利用する運用は現実的な選択肢になりそうです。

まとめ

  • 政府IT部門は、既存アプリの全数レビューと自動修正パイプラインの参照実装として、Alberta州の白書とセキュリティエージェント構成が有用です
  • エンタープライズの情シス・セキュリティ責任者は、2段階走査ルーチンとred / blue teamエージェント分業を、既存SAST / DASTの補完策として参考にできます
  • 開発者・アーキテクトは、レガシー再構築の主眼が「業務仕様の読み解き」に移ったという示唆と、Claude Agent SDKで役割別エージェントを組む設計例に注目する余地があります
  • Alberta州の次のマイルストーンは、2026年7月のエドモントンでのindustry day、そして2026年秋の州政府全体展開プログラムです
この記事を共有:XはてブLinkedIn