466M行を20時間で点検、Claude Codeが政府サイバー運用へ
Original: Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems View original →
政府システムのセキュリティ点検が、人手で何年もかける作業から、複数のagentを並列に走らせる運用へ移り始めている。カナダ・アルバータ州はClaude CodeとOpus、Sonnetモデルを使い、州政府27省庁を支えるコード466 million行を約20時間で調査した。
Anthropicの事例によると、対象は約1,280のアプリケーションと3,400のリポジトリだった。社会サービス、公共安全、山火事対応、税務記録、調達データ、ケースファイルなど、住民の機微情報を扱うシステムも含まれる。古い公共ソフトウェアが抱える未点検の脆弱性と技術的負債に、coding agentを直接当てた格好だ。
実行方法は並列処理に近い。約50のagentがまずルールベースで既知の脆弱性パターンを拾い、次にClaudeがその指摘を確認し、開発者が検証できるファイル名と行番号を示した。アルバータ州は、この規模のレビューを従来型で進めれば約6.5年かかったと見積もっている。推計値ではあるが、政府がagent導入をどの単位で評価し始めたかが見える。
作業は検出だけではない。脆弱性が見つかった場合、Claude Codeは修正案、テスト、ビルドを生成し、最終的には州のエンジニアが確認した。古すぎる、または複雑すぎるシステムでは、より現代的な言語と構成への再構築も支援したという。約25年前にJavaで手書きされた補助金ポータルのようなシステムは、条件によって4〜5日で作り直せる例として示された。
注目すべきは継続運用だ。アルバータ州のサイバーセキュリティチームは、外部攻撃者の視点で侵入口を探るred-team agentと、防御状態を国際的なセキュリティ基準に照らすblue-team agentを構築した。各アプリケーションは約95のセキュリティコントロールに対して繰り返し確認される。
もちろん、これはベンダーによる顧客事例であり、独立した評価は別に必要だ。誤検知、見逃し、導入後の事故率、レビューコストを見なければ最終的な効果は判断できない。それでも、coding agentがIDE内の補助機能から、脆弱性スキャナーや近代化プロジェクトと同じ調達領域へ入ってきたことは読み取れる。
Related Articles
エージェント型コーディングの恩恵はソフトウェア職だけに限られない。Anthropicは約40万セッションを分析し、平均タスク価値が27%上がり、非ソフトウェア職の成功率も7ポイント以内に収まったと示した。
HNでの焦点は、環境分類の信号をsystem context内に隠す設計が信頼にどう響くかだった。
Sonnet級モデルが、より高価なOpus系に近いagent作業を日常プランへ持ち込む。Free/Proの標準モデルとなり、APIでは8月31日まで入力100万tokenあたり$2、出力100万tokenあたり$10で提供される。