Anthropicは米国時間4月30日、新たな防御型サイバーセキュリティ製品「Claude Security」を発表した。現在は大規模企業向けとされる「Enterprise」プランのユーザーを対象にパブリックベータ版が提供されており、より小規模の企業向けの「Claude Team」、および個人についても「Claude Max」プランのユーザーには「近日中に」提供される予定としている。
Claude Securityは、Anthropicのサイバー防御ツールボックスに追加された新たなツールだ。セキュリティ担当チームはこれで、「Claude Opus 4.7」モデルを使用して、「コードベースをスキャンして脆弱性を検出し、ターゲットを絞ったパッチを生成する」ことができるという。
この新製品は、リポジトリー全体、あるいは対象ディレクトリーを絞ってスキャンすることが可能だ。Anthropicによると、「Claudeは、セキュリティ研究者と同じようにコードについて推論し、データフローの追跡やソースコードの読み取りを経て、コンポーネントのファイルやモジュール上でのやりとりを解析する」という。
脆弱性の優先順位付けも可能に
脆弱性スキャンの問題点は、ノイズになるような不要な情報が大量に抽出されるおそれがあることだ。些細な脆弱性でもすべてが検出されるため、影響がほとんどないバグの追跡に何時間や何日もの時が費やされる一方で、壊滅的な事態を引き起こしかねない脆弱性が放置される事態が起きかねない。
Claude Securityでは、「アナリストに届く前にそれぞれの検出結果を独立して検証する多段階検証パイプラインを導入し、すべての検出結果に対して信頼度が評価される」としている。
Claude Securityは、それぞれの「検出結果」について、信憑性や深刻度、想定される影響、再現手順、推奨される修正方法といった要素を含め、詳細に説明することができるとしている。これは大いに役立つ機能だろう。これがあれば、開発者は信憑性が高くて影響が大きい深刻な問題に真っ先に取り組むことができ、それほど深刻ではない問題に時間を無駄遣いせずに済むからだ。
これらの検出結果から、Claude Securityは問題のコードをコンテキストを踏まえた上でClaude Codeで開く機能を提供するので、システムの防御に関わる者は検出結果から直接、修正が必要な箇所を確認し変更できる。
Anthropicは複数のワークフロー最適化機能も追加している。これについて、同社は以下のように説明している。「継続的な検出のためのスケジュールスキャン機能や、検出結果を却下する際に理由を文書化する機能(これがあることで将来のレビュー担当者は以前のトリアージ判定を信頼できるようになる)、検出結果を既存の追跡および監査システムに統合するためのCSVおよびMarkdown形式でのエクスポート機能を追加した」
提供:Elyse Betters Picaro / ZDNET
この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)