この製品は、もともとClaude Code Securityとして登場しました。Anthropicは2026年2月20日、Claude Code Securityの限定リサーチプレビューを発表し、コードベース内のセキュリティ脆弱性をスキャンし、人間のレビューに向けた的を絞ったソフトウェアパッチを提案できると説明していました。 その後の報道では、現在のClaude Security公開ベータは以前Claude Code Securityと呼ばれており、リサーチプレビュー段階でテストされていたとされています。
Claude Securityの流れは、大きく4段階で考えると分かりやすいでしょう。
claude.ai/securityからアクセスでき、リポジトリ、特定のディレクトリ、ブランチを選んでスキャンを開始できます。同じ報道では、企業側でAPI連携や独自エージェントを構築する必要はないともされています。つまり、Claude Securityは「見つける」「説明する」「直し方のたたき台を出す」までを1つの流れにまとめる製品です。一方で、実際に修正を受け入れるかどうかは、開発者とセキュリティチームが判断すべき領域として残ります。
Claude Securityが強調している違いは、個別の警告を出すだけでなく、より広いコードの文脈を読もうとする点です。OpenToolsは、コードベース全体にわたってデータフローを追跡し、従来ツールが見落とし得る脆弱性を検出すると報じています。 Economic Timesも、Claude Opus 4.7がデータフローを追跡し、コンポーネント間の相互作用をマッピングし、人間のセキュリティ研究者に近い形でコードを推論すると説明しています。
ただし、ここは慎重に見るべきです。今回確認できる公開資料の範囲では、独立した第三者による正確率、再現率、誤検知率などのベンチマークは示されていません。公表されているのは、発見事項を検証して誤検知を減らすこと、そして人間がレビューできるパッチ案を生成することが中心です。
企業のセキュリティチームや開発組織にとって、Claude Securityの価値は主に3つあります。
導入の手間を抑えやすい。 Cybersecurity Newsは、Claude SecurityがAIによる脆弱性検出を本番コードベースに直接持ち込み、カスタムツールやAPI連携を不要にすると報じています。 SecurityWeekも、API連携や独自エージェントの構築は不要だとしています。
複雑な文脈を扱おうとする。 関連報道は、Claude Securityがデータフローを追跡し、コンポーネント間の関係を理解し、従来の手法が見落とす可能性のある問題を見つけようとすると説明しています。 Economic Timesは、リサーチプレビュー段階で数百の組織がこのツールを使い、既存ツールでは長年見つからなかったバグを発見したとも報じています。ただし、これは製品利用に関する報道であり、独立した性能評価そのものではありません。
公開報道の時点では、Claude Securityの公開ベータは主にClaude Enterprise顧客向けです。 Economic Timesは、Claude Enterprise顧客にグローバル展開されており、TeamおよびMaxサブスクライバー向けのアクセスは今後提供される予定だと報じています。
試験導入する場合は、少なくとも次の3点を先に決めておくべきです。コードリポジトリへのアクセス権をどう付与するのか、スキャン範囲をリポジトリ全体・特定ディレクトリ・特定ブランチのどこまでにするのか、AIが生成した修正案を誰がレビューし承認するのか。Claude Securityではスキャン対象を選べる一方、パッチ案は開発者のレビューと承認を前提としているためです。
Claude Securityは、DevSecOpsの流れに組み込むAI支援のアプリケーションセキュリティ監査レイヤーとして考えるのが現実的です。候補となる脆弱性、発見内容の説明、修正パッチ案を出すことはできますが、公開資料からは、人間によるコードレビュー、既存のセキュリティスキャン、リリース承認プロセスを置き換えられることまでは示されていません。
安全に始めるなら、重要なリポジトリや特定ブランチから小さく試し、誤検知、見落とし、パッチ品質を記録し、既存ツールや人間のレビュー結果と照合するのがよいでしょう。Anthropicや関連報道の説明は、あくまで防御側が従来手法では見落とし得る問題を見つけやすくするというもので、従来のセキュリティプロセスを全面的に置き換えるという主張ではありません。
Claude Security公開ベータの意味は、大規模言語モデルのコード理解能力を、企業のセキュリティチームが使える実務ツールとしてパッケージ化し始めたことにあります。脆弱性調査と修正案作成を開発フローにより早く持ち込める可能性はありますが、独立した性能ベンチマークが十分に見えない段階では、人間主導のセキュリティレビューを支える補助役として使うのが最も堅実です。