Anthropicが2026年7月6日に公開した事例によると、カナダのGovernment of AlbertaはClaude Codeを使い、約4.66億行のコードを約20時間で点検しました。しかも単なる棚卸しではなく、脆弱性の発見、修正案の生成、テスト作成、古いシステムの再構築まで進めています。AI導入の文脈では「モデルが賢いか」だけが注目されがちですが、この事例が示している本質は、並列実行できるレビュー体制と、人間承認を前提にした修正フローをどう設計するかです。
Government of Albertaの事例で何が起きたのか
Anthropicの発表では、Alberta州政府の技術・イノベーション省は27省庁のシステムを支えており、対象は約1,280アプリケーション、3,400コードリポジトリに及びます。税務、調達、社会サービスなど機密性の高い情報を扱うため、従来の「気になる箇所だけ監査する」方法では追いつきませんでした。そこで2025年から、Claude CodeとOpus・Sonnet系モデルを使う内部チームを立ち上げ、大規模レビューを自動化しています。
注目すべきは規模だけではありません。Anthropicは、約50のエージェントを並列に走らせ、コードの脆弱性だけでなく、基盤設定やデプロイ工程の弱点、技術文書の不足まで確認したと説明しています。しかも検出時には該当ファイルと行番号まで示し、開発者が根拠を追える状態にしていました。AIが警告を出して終わるのではなく、人間が検証しやすい形式で返している点が実務向きです。
なぜ20時間で回せたのか
Anthropicによると、Albertaのレビューは2段階でした。第1段階ではルールエンジンで既知の危険パターンを拾い、第2段階でClaude Codeがそのフラグを再確認し、具体的な修正候補や証拠を付けて返します。この構成なら、モデルにすべてを丸投げせず、既存の静的解析やルールベース検査と組み合わせられます。AIだけで完結させるより、再現性と説明責任を確保しやすい進め方です。
さらに、Anthropicは同規模の確認作業を従来型で行うと約6.5年かかる見積もりだったと紹介しています。ここで重要なのは、単純な人月削減よりも「広い範囲を短期間で一度走査できる」ことです。レガシー資産が多い企業や自治体では、脆弱性があるかどうか以前に、どこから見始めるかが決まりません。まず全体像を20時間で可視化できるだけでも、改善優先順位を決める材料になります。
発見だけでなく修正まで進めた点が大きい
この事例では、AIは脆弱性を見つけるだけでなく、修正コード、テスト、場合によってはリビルド案まで作成しました。Anthropicは、十分な自動テストがない環境ではClaudeが先にテストを書き、その後にパッチを作ったと説明しています。古すぎて部分修正が非効率なコードは、より保守しやすい言語へ再構築したケースもあり、25年前にJavaで手作業開発された補助金ポータルを4〜5日で再構築できた例まで挙げています。
ただし、ここで見落としたくないのが人間承認です。Anthropicは、どの修正も出荷前に省のエンジニアがレビューし、承認したと明記しています。つまり成功要因は「AIに全部やらせた」ことではなく、「AIが修正候補と根拠を出し、人間が出荷判断を持つ」責任分担にあります。社内導入でも、この線引きを曖昧にすると監査や障害対応で詰まりやすくなります。
運用設計で参考になる3つのポイント
1つ目は、単発診断ではなく継続レビューにしたことです。Albertaは“red team”エージェントで攻撃者視点の探査を行い、“blue team”エージェントで国際的なセキュリティ標準に照らした是正計画を作っています。2つ目は、アプリごとに約95のセキュリティコントロールで毎回確認していることです。担当者の経験差に依存せず、確認観点を固定化できるのは大きい利点です。3つ目は、コード品質や市民向け文面の分かりやすさまで同じ流れで見ていることです。AIレビューを脆弱性専用に閉じず、保守性と利用者体験まで広げています。
日本の企業がそのまま真似する前に確認したいこと
この事例は魅力的ですが、いきなり全社コードを流すのは危険です。まず決めるべきは、対象範囲、承認者、検証環境、監査ログの残し方です。特にレガシー刷新では、AIに修正させる範囲を「テスト追加まで」「パッチ提案まで」「自動マージ禁止」などで分けておく必要があります。また、全体走査の前に、依存ライブラリ一覧やデプロイ手順書の欠損がどの程度あるかも確認しておくと、レビュー結果の解釈が安定します。
Anthropicの事例では、今後185のレガシーアプリを16の再利用可能なアプリへ整理する計画も示されています。これは単なるセキュリティ監査ではなく、運用コスト削減と近代化を同時に狙う設計です。日本企業でも、脆弱性対応をきっかけに「残すシステム」「置き換えるシステム」「AIで周辺保守だけ回すシステム」を仕分けると、投資対効果を説明しやすくなります。
まとめ
Government of Albertaの事例から学べるのは、AIコーディング導入の価値が「生成速度」だけではないという点です。全体走査、根拠付きレビュー、修正案生成、テスト補完、人間承認、継続監視までつないで初めて、4.66億行を20時間で見切るような成果に近づきます。社内の古い業務システムや保守が追いつかないコードベースを抱えているなら、まずは限定範囲で同じ運用型を試すのが現実的です。
Claude CodeやAIエージェントを使った脆弱性レビュー、レガシー刷新、社内導入ガイドライン整備を検討している方は、 無料相談はこちら 。現場の承認フローまで含めて設計できます。