アルバータ州政府 Claude の事例は、Claude Code と Agent SDK で27省庁のシステムを一括監査し、20時間で4.66億行を検証した取り組みです。
📖 この記事で分かること
- アルバータ州政府がClaudeで政府システムを一括監査した事例
- 20時間で4.66億行をレビューした具体的な手法と数値
- 発見だけでなく修正・レガシー刷新まで進めた運用像
- 政府・大規模組織がセキュリティ監査にAIを使う際の判断軸
💡 知っておきたい用語
- 脆弱性スキャン:システムの弱点を機械的に洗い出す作業。健康診断の一括検査に近い
- レッドチーム/ブルーチーム:攻める側と守る側に分かれて防御力を試す演習方式
最終更新日: 2026年7月7日
▶ 公式ページ

アルバータ州政府が実施した監査の全体像
カナダ・アルバータ州政府が、Claudeを使って政府システム全体のセキュリティ脆弱性を体系的に発見・修正した事例をAnthropicが公開しました。
この記事のポイント
- Anthropicが2026年7月6日、アルバータ州政府によるClaude活用事例を公開しました。
- 約50体の自律エージェントが20時間で4億6600万行のコードを監査、従来なら推定6.5年分の作業に相当します。
- 使用したのはClaude Code(OpusおよびSonnetモデル)とClaude Agent SDK(2026年7月時点)。
- 対象は27省庁・1,280アプリケーション・3,400リポジトリに及びます。
監査を主導したのは州の Technology and Innovation 省です。政府システムを対象に、脆弱性の洗い出しから修正までを一括で進めた点が今回の事例の中心にあります。約50体の自律エージェントを並列で走らせ、20時間で4億6600万行のコードをレビューしました。同省はこれを、従来手法なら推定6.5年分に相当する作業量だとしています。
対象範囲も広く、27の州省庁が管理する1,280アプリケーションと3,400のコードリポジトリが監査に含まれました。1回のパスでアプリケーションごとに95のセキュリティ統制がチェックされます。
2段階スキャンで「誤検知の海」を避ける
今回の手法の要点は、機械的な検出とAIによる検証を分けた2段階スキャンにあります。
まずルールエンジンが脆弱性の候補をフラグします。その後、Claudeが各候補を検証し、正確なファイル名と行番号を引用として付けて開発者レビューに回します。脆弱性スキャンでは大量の誤検知(フォールスポジティブ)が現場を疲弊させる要因になりますが、AIに一次検証と根拠提示を担わせることで、開発者が確認すべき対象を絞り込む設計になっています。
Claudeの役割は発見にとどまりません。特定した脆弱性に対してパッチを生成し、必要に応じてテストを書き、古くなったコードの刷新まで踏み込んでいます。
発見から修正・刷新まで踏み込む
今回の事例が単なる脆弱性スキャンと異なるのは、修正と近代化まで同じ流れで進めた点です。
象徴的な例として、25年前に作られたJava製の補助金ポータルが挙げられています。当初は構築に5ヶ月を要したこのシステムを、4〜5日で再構築したとされます。別のレガシー刷新案件では、185のアプリケーションを16に統合しました。乱立した古いシステムを整理し、保守対象そのものを減らす方向です。
継続的なセキュリティレビューの仕組みも整えています。外部からの攻撃を模擬する「レッドチーム」エージェントと、国際標準に照らして防御を評価する「ブルーチーム」エージェントを専門化して運用する体制です。単発の監査で終わらせず、常時の検査ループに落とし込んでいます。
Nate Glubish 大臣(Technology and Innovation)は、「AIを使ってシステム全体の脆弱性を発見・修正することで、従来なら何年もかかっていた作業を数時間で成し遂げた」と述べています。
編集部の見方
規模の壁を越える使い方:今回の事例で目を引くのは、モデルの賢さそのものより「約50体のエージェントを並列で走らせる」という運用設計です。4億行超という規模は人手の監査では現実的に手が回らない領域で、そこにエージェントの数と時間を投入して現実的な工数に落とし込んだ点に価値があります。大規模組織ほど、この「量で押す」使い方は再現性が高いと考えられます。
発見だけでは終わらせない設計:脆弱性スキャンはこれまでも自動化されてきましたが、多くは「見つけて終わり」で、修正は人手に残りました。ファイル名・行番号つきの検証と、パッチ・テスト生成までを同じ流れに置いたことで、発見と修正の間にある溝を埋めようとしています。ここが従来のスキャナとの実質的な差分です。
公共部門ゆえの前提を確認したい:一方で、AIが生成したパッチをそのまま適用するのか、人間のレビューをどこまで挟むのかは、公共システムでは慎重な判断が要る部分です。今回は「開発者レビュー用に根拠を提示する」設計であり、最終判断を人間に残す運用がうかがえます。自組織で真似る場合も、この人間側のゲートをどこに置くかが導入設計の中心になります。
他の政府・大規模組織への波及
アルバータ州はこの取り組みを自分たちだけで抱えず、外部に共有する方向を打ち出しています。
同州は他の政府向けに技術ホワイトペーパーを公開したほか、Alberta AI Academy を通じて数千人規模の職員を訓練する計画を示しています。監査ノウハウを内製の再現可能な体制に変えようとする動きです。レガシーシステムを大量に抱える公共部門や大企業にとって、「棚卸し・監査・刷新」を一括で回す一つの参照事例になります。
よくある質問
Q: どのClaudeモデルとツールが使われましたか?
A: Claude Code(OpusおよびSonnetモデル)とClaude Agent SDK が使われました(2026年7月時点)。約50体の自律エージェントを並列で動かす構成です。
Q: 「20時間で4.66億行」は何を意味しますか?
A: 約50体のエージェントが並列で4億6600万行のコードをレビューした実績で、州は従来手法なら推定6.5年分の作業量に相当するとしています。
Q: 脆弱性を見つけるだけの取り組みですか?
A: いいえ。ルールエンジンとClaudeの2段階で検出・検証した上で、パッチ生成・テスト作成・レガシーコードの刷新まで進めています。25年前のJava製ポータルを4〜5日で再構築した例もあります。
まとめ
Anthropicは2026年7月6日、アルバータ州政府がClaudeで政府システムを一括監査した事例を公開しました。約50体のエージェントが20時間で4.66億行を監査し、2段階スキャンで検出から修正・レガシー刷新までを同じ流れで進めた点が特徴です。同州はホワイトペーパー公開と職員訓練を通じ、監査ノウハウを継続的な体制へ落とし込もうとしています。
【用語解説】
- 脆弱性【ぜいじゃくせい】: システムに残る弱点で、攻撃の入り口になりうる箇所。放置すると情報漏えいや改ざんの原因になる
- ルールエンジン: あらかじめ定めた条件に沿って対象を機械的に判定する仕組み。ここでは脆弱性候補の一次検出に使われた
- レガシーシステム: 長年使われ続けて古くなったシステム。保守が難しく、刷新や統合の対象になりやすい
引用元:
- [1] Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems(Anthropic)
この記事について: AI 支援で執筆、編集部が事実確認・編集しています。誤りや追加情報があれば Contact よりお知らせください。
Previous Post
Anthropicが「J-space」を発見。Claude内部の沈黙した思考を可視化
Next Post
Poolside、オープンウェイトのコーディングモデル Laguna XS 2.1 を公開
15 年以上の開発経験を持つソフトウェアエンジニア / テクノロジーライター。AI エージェントの実務活用を研究し、現場や経営者向けセミナーでその知見を発信。本メディア tech-noisy.com では、一次情報に基づく最新ニュース・解説記事を執筆。また、音楽生成 AI による DJ パフォーマンスを企業イベントで行うなど、テクノロジーと表現の融合も探求している。