重要ポイント

  • 州のシステム基盤にある1,280本のアプリケーション・3,400のコードリポジトリのうち、未レビューだった膨大なコードを対象に、Claude Codeで脆弱性・インフラの弱点・文書化不足を洗い出しました。
  • 見つかった問題は自動でテストを書いた上で修正し、パッチ適用が難しい古いコードはより新しい言語で書き直すところまで対応しています。
  • 「レッドチーム」役と「ブルーチーム」役のエージェントを組ませ、約95項目のセキュリティ基準に沿った継続的なレビュー体制も構築しました。

初心者向け補足

政府が長年使ってきたプログラムの中には、書かれた当時は問題なくても、今の基準では危険な書き方が残っていることがあります。今回の事例は、そうした古いコードをAIに大量に読ませて危険箇所を見つけ、修正案まで作らせた取り組みです。人がゼロから全部確認すると何年もかかる作業を、大幅に短縮できたという内容です。

自分のコメント

政府機関のような巨大なレガシー資産を持つ組織にとって、「まず全体を機械的にスキャンして優先順位をつける」という発想はとても実務的です。修正案を人間のエンジニアが最終承認する体制を残している点も、AI活用としてバランスが良いと感じます。一方で、95項目のチェックを通過したことがそのまま「安全」を保証するわけではない点には注意が必要で、継続的な監査体制がどう機能し続けるかを追いたいところです。

元記事

Anthropicの元記事を読む