AIが、​4.66億行を​20時間で​監査した​ ──Alberta州政府 × Claude Code が​示す、​大規模コードレビューの​“型”

AIがコードを「書く」話はもう聞き飽きたかもしれない。今回は毛色が違う——AIが4億6600万行を20時間で“監査”した。2026年7月6日、Anthropicがカナダ・Alberta州政府の事例を公開。1,280アプリ・3,400リポジトリを、Claude Code(Opus/Sonnet)と約50体の並列エージェントでセキュリティレビュー(従来推定6.5年)。肝は規模でなく“やり方”=丸投げでない。①ルールエンジンで既知パターンをflag→②AIがreviewしてfile/lineで引用→③人が承認→④継続エージェント(red team/blue team/code quality・app毎に約95項目)。修正・テスト・ビルド生成、レガシー再構築(Java補助金ポータル5ヶ月→4-5日)まで。「機械の網羅×AIの判断×人の承認×継続監視」の型として、古いコード棚卸し・RLS/権限レビューに翻訳できる。数字はベンダー事例で第三者検証ではない旨も明記。AIの主戦場が「書く」から「点検し続ける」へ動いた話(Anthropic公式ベース・CAG非検証)。

甲斐ショウジ甲斐ショウジ
CAG主宰/合同会社ATK CAIO(最高AI責任者)
技術7分で読めます
技術AIが、4.66億行を20時間で監査した ──Alberta州政府 × Claude Code が示す、大規模コードレビューの“型”

気になるAIの話を、分かりやすく | 最新動向を、現場目線で

AIがコードを「書く」話は、もう聞き飽きたかもしれない。だが今回のは、少し毛色が違う。AIが、4億6600万行のコードを、20時間で"監査"した——という話だ。

2026年7月6日、Anthropicがカナダ・Alberta州政府の事例を公開した。1,280個のアプリ、3,400のリポジトリを、Claude Code と約50体のエージェントで一気にセキュリティレビューした[1]。従来のやり方なら6.5年かかると見積もられた作業だ。

面白いのは、規模の数字そのものより、その"やり方"にある。AIに丸投げしたのではない。機械的な検出と、AIの判断と、人間の承認を、きれいに分けている。今日はこの事例を入り口に、「AIで大規模なコード監査をやる型」を、専門用語ゼロで読み解く。私たち電脳技巧集団(AI職人ギルド)も日々AIエージェントで開発している側なので、その現場感で軽く一筆添える。(数字はAnthropic公式ケーススタディに基づく。ベンダー事例であり第三者が検証したものではない。CAG自身の検証でもない。)

ダークなセキュリティ監査の管制画面。多数のリポジトリを並列エージェントが走査し、file:line付きの検出結果が並ぶ
約50体のエージェントが並列で巨大なコードベースを面で走査し、file/line付きで問題を指摘する(イメージ)

01何が​起きた?​ ──6.5年ぶんを、​20時間で

まず規模から。Alberta州政府が抱えるシステムは、桁が違う[1]

  • 1,280アプリ・3,400リポジトリ、合計 4億6600万行のコード。
  • これを Claude Code(ClaudeのOpusとSonnet) と、約50体のエージェントで監査した。
  • エージェントは自律的に、並列で動く。
  • 所要時間は 20時間。人手の従来手法なら 約6.5年かかると見積もられた。
従来(人手) 約 6.5 年 約50エージェント並列 ×50 … 20 時間 4.66億行を面で走査 1,280アプリ / 3,400リポジトリ / 4.66億行
1体の賢いAIが順番に見るのではなく、約50体が同時に手分けして巨大なコードベースを面で舐める

この「6.5年 → 20時間」という圧縮こそが、AIエージェントを"並列で"走らせることの威力だ。取り組み自体は2025年に始まり、今回そのケースが公開された。

02どうやった?​ ──"2段構え"が​肝

ここがいちばん学びのあるところ。AIに「全部見て」と丸投げしたわけではない。2段構えになっている[1]

  1. 1段目:ルールエンジンで"既知のパターン"を機械的に洗い出す。各リポジトリを、決まった危険パターン(既知の脆弱性の型)で走査し、フラグを立てる。
  2. 2段目:AIが、そのフラグを一つずつレビューする。そして「どのファイルの、何行目か」を正確に引用しながら、本物の問題かを判断する。
① ルールエンジン既知パターンをflag ② AIがレビュー本物かを文脈判断 ③ 人が承認HITL payments.rb : 123 ← file / line で引用
機械が得意な「型どおりの網羅」とAIが得意な「文脈判断」を分業。file/line引用で、指摘が"検証可能"になる

なぜこの分け方が効くのか。機械が得意な「型どおりの網羅」と、AIが得意な「文脈を読んだ判断」を、役割分担しているからだ。全部AIに任せると量に溺れるし、判断の根拠も曖昧になる。逆に全部ルールエンジンだと、誤検知(false positive)の山を人間が延々とさばくことになる。

そしてfile/line の引用が地味に重要だ。「危険です」だけでは人は動けない。「このファイルの123行目」まで示されて初めて、人間は確認し、承認できる。AIの指摘が"検証可能"になる。

03見つけて​終わりじゃない​ ──直して、​テストまで​書く

監査というと「問題を見つける」で止まりがちだが、この事例はその先まで行っている[1]

  • 修正・テスト・ビルドを生成:見つけた問題に対して、Claudeが直しとテストとビルドまで作る。
  • テストが無い所には、テストを自動で書く:古いシステムほどテストが欠けている。そこにまず安全網を張る。
  • レガシーを現代の言語で再構築:古くなったコードを新しい言語で作り直す。
脆弱な旧コードの指摘、生成された修正パッチ、追加された自動テストがPASSしている様子を並べたエディタ画面
「見つける」だけで止めず、修正パッチ・自動テスト・再構築まで生成する(イメージ)

象徴的な例が挙がっている。あるレガシーなJava製の補助金ポータルを、4〜5日で作り直した——元の構築には5か月かかっていたものだ。「見つける」だけでなく「直して、テストで固めて、作り直す」までを、大幅に短縮している。

04一​度きりじゃない​ ──"継続監査"の​エージェント

もう一つ見逃せないのが、これを一回のイベントで終わらせていない点だ。継続的にレビューし続ける専門エージェントが用意されている[1]

レッドチーム外から突く(攻撃視点) ブルーチーム国際基準で防御を評価 コード品質チェック品質を継続的に監視 各アプリを 1パスごとに 約95のセキュリティ項目で点検 攻める役・守る役・整える役 を分けて常駐
攻める役・守る役・整える役を分けて常駐させ、各アプリを毎回約95項目で点検し続ける
  • レッドチーム役:アプリを外側から突く(攻撃者の視点で探る)。
  • ブルーチーム役:防御が国際基準に照らして十分かを評価する。
  • コード品質チェック役:品質を継続的に見張る。

しかも、各アプリは1回のパスごとに約95のセキュリティ項目で点検される。セキュリティは「一度直したら終わり」ではなく、コードが変わるたびに崩れうる。だから監査を"仕組み"として常駐させ、変化を追い続ける。攻める役・守る役・整える役を分けたのも、人間のセキュリティ組織の役割分担をそのまま写した形だ。

05この​"型"を、​自分の​現場に​どう​引くか

大きな政府の話に見えて、抽出できる型はとても実務的だ。整理するとこうなる。

①ルールエンジンで機械的に洗う → ②AIが文脈で判断し、file/lineで根拠を示す → ③人間が承認する → ④継続エージェントで見張り続ける

この型は、規模を問わず効く。古いコードの棚卸し、権限(RLS)や環境変数の点検、管理画面のアクセス制御レビュー——どれも「機械の網羅 × AIの判断 × 人間の承認 × 継続監視」に分解できる。

CAGでも、日々の開発でやっていることは近い。AIに検出と下書きをさせ、指摘は必ず根拠(どこで・なぜ)とセットにし、危ない変更の前に人間が承認する(HITL)。今回の事例は、その作法を"4.66億行"という規模で回した実証に見える。

ただし、冷静な但し書きも要る。これはベンダー(Anthropic)自身のケーススタディで、効果の数字を第三者が検証したわけではない。「20時間」「6.5年ぶん」といった数字は、条件込みの実績として受け取り、自社に持ち込むときは小さく試して確かめるのが正しい。丸投げで魔法が起きる話ではなく、型を設計して人が要所を握る話だ。

AIエージェント運用設計まとめ記事のサムネイル 関連記事 | 型を組む=運用設計の全体像"AIを使える"から"AIを運用できる"へ ──AIエージェント運用設計、5つの土台【まとめ】

06まとめ ──AIの​主戦場は​「書く」から​「点検し続ける」へ

新しいコードを速く書くAIは、もう珍しくない。今回の事例が示したのは、その隣にある大きな仕事だ。既にある膨大なコードを、面で点検し、根拠つきで直し、そして継続して見張り続ける

しかもその要点は、賢い1体のモデルではなく、役割を分けて並列で動かす"型"にある。機械の網羅、AIの判断、人間の承認、継続の監視——この分業を設計できるかどうかが、成果を分ける。

AIに任せる範囲が広がるほど、効いてくるのは「どのモデルか」ではなく、「どう型を組むか」だ。

AIが自分で画面を触って直す時代、の記事サムネイル 関連記事 | AIが自分で見て直す流れAIが、自分で画面を触って直す時代 ──「コードを書くAI」から「動かして確かめるAI」へ
観点従来の大規模監査AIエージェント監査(今回の型)
時間年単位(推定6.5年)時間単位(20時間)
進め方人が順番にレビュールールエンジン→AI判断→人が承認
根拠レポートに要約file/line で正確に引用
直し別チームが後日修正・テスト・再構築まで生成
継続定期監査(間が空く)常駐エージェント(red/blue/quality)

脚注・出典

  1. Anthropic「Alberta government … Claude for cybersecurity」(2026-07-06公開・取り組みは2025年開始)。4.66億行/20時間・1,280アプリ・3,400リポ・約50エージェント並列・従来推定6.5年/Claude Code(Opus・Sonnet)・継続監査はClaude Agent SDK/2段構え(ルールエンジンでflag→AIがreviewしfile/line引用)/修正・テスト・ビルド生成・テスト自動作成・レガシー再構築(Java補助金ポータル5か月→4〜5日)/継続3エージェント(red team/blue team/code quality)・app毎に約95項目。出典=Anthropic公式ケーススタディ。ベンダー事例で第三者検証ではない・CAG非検証
  2. 関連=既出記事「"AIを使える"から"AIを運用できる"へ(運用設計の5つの土台)」(ai-agent-operations-guide)/「AIが、自分で画面を触って直す時代」(browser-operated-coding-agents)。

古い​コードの​棚卸しも、​"型"で。

電脳技巧集団(AI職人ギルド)は、機械の網羅×AIの判断×人の承認を組んだレビュー・改修を設計します。

相談してみる

言語化できるものは、全て作る。

あなたの「作りたい」を、定価とスピードで形に。まずは無料の相談から。

制作事例を見る