気になるAIの話を、分かりやすく | 最新動向を、現場目線で
AIがコードを「書く」話は、もう聞き飽きたかもしれない。だが今回のは、少し毛色が違う。AIが、4億6600万行のコードを、20時間で"監査"した——という話だ。
2026年7月6日、Anthropicがカナダ・Alberta州政府の事例を公開した。1,280個のアプリ、3,400のリポジトリを、Claude Code と約50体のエージェントで一気にセキュリティレビューした[1]。従来のやり方なら6.5年かかると見積もられた作業だ。
面白いのは、規模の数字そのものより、その"やり方"にある。AIに丸投げしたのではない。機械的な検出と、AIの判断と、人間の承認を、きれいに分けている。今日はこの事例を入り口に、「AIで大規模なコード監査をやる型」を、専門用語ゼロで読み解く。私たち電脳技巧集団(AI職人ギルド)も日々AIエージェントで開発している側なので、その現場感で軽く一筆添える。(数字はAnthropic公式ケーススタディに基づく。ベンダー事例であり第三者が検証したものではない。CAG自身の検証でもない。)

01何が起きた? ──6.5年ぶんを、20時間で
まず規模から。Alberta州政府が抱えるシステムは、桁が違う[1]。
- 1,280アプリ・3,400リポジトリ、合計 4億6600万行のコード。
- これを Claude Code(ClaudeのOpusとSonnet) と、約50体のエージェントで監査した。
- エージェントは自律的に、並列で動く。
- 所要時間は 20時間。人手の従来手法なら 約6.5年かかると見積もられた。
この「6.5年 → 20時間」という圧縮こそが、AIエージェントを"並列で"走らせることの威力だ。取り組み自体は2025年に始まり、今回そのケースが公開された。
02どうやった? ──"2段構え"が肝
ここがいちばん学びのあるところ。AIに「全部見て」と丸投げしたわけではない。2段構えになっている[1]。
- 1段目:ルールエンジンで"既知のパターン"を機械的に洗い出す。各リポジトリを、決まった危険パターン(既知の脆弱性の型)で走査し、フラグを立てる。
- 2段目:AIが、そのフラグを一つずつレビューする。そして「どのファイルの、何行目か」を正確に引用しながら、本物の問題かを判断する。
なぜこの分け方が効くのか。機械が得意な「型どおりの網羅」と、AIが得意な「文脈を読んだ判断」を、役割分担しているからだ。全部AIに任せると量に溺れるし、判断の根拠も曖昧になる。逆に全部ルールエンジンだと、誤検知(false positive)の山を人間が延々とさばくことになる。
そしてfile/line の引用が地味に重要だ。「危険です」だけでは人は動けない。「このファイルの123行目」まで示されて初めて、人間は確認し、承認できる。AIの指摘が"検証可能"になる。
03見つけて終わりじゃない ──直して、テストまで書く
監査というと「問題を見つける」で止まりがちだが、この事例はその先まで行っている[1]。
- 修正・テスト・ビルドを生成:見つけた問題に対して、Claudeが直しとテストとビルドまで作る。
- テストが無い所には、テストを自動で書く:古いシステムほどテストが欠けている。そこにまず安全網を張る。
- レガシーを現代の言語で再構築:古くなったコードを新しい言語で作り直す。

象徴的な例が挙がっている。あるレガシーなJava製の補助金ポータルを、4〜5日で作り直した——元の構築には5か月かかっていたものだ。「見つける」だけでなく「直して、テストで固めて、作り直す」までを、大幅に短縮している。
04一度きりじゃない ──"継続監査"のエージェント
もう一つ見逃せないのが、これを一回のイベントで終わらせていない点だ。継続的にレビューし続ける専門エージェントが用意されている[1]。
- レッドチーム役:アプリを外側から突く(攻撃者の視点で探る)。
- ブルーチーム役:防御が国際基準に照らして十分かを評価する。
- コード品質チェック役:品質を継続的に見張る。
しかも、各アプリは1回のパスごとに約95のセキュリティ項目で点検される。セキュリティは「一度直したら終わり」ではなく、コードが変わるたびに崩れうる。だから監査を"仕組み"として常駐させ、変化を追い続ける。攻める役・守る役・整える役を分けたのも、人間のセキュリティ組織の役割分担をそのまま写した形だ。
05この"型"を、自分の現場にどう引くか
大きな政府の話に見えて、抽出できる型はとても実務的だ。整理するとこうなる。
①ルールエンジンで機械的に洗う → ②AIが文脈で判断し、file/lineで根拠を示す → ③人間が承認する → ④継続エージェントで見張り続ける
この型は、規模を問わず効く。古いコードの棚卸し、権限(RLS)や環境変数の点検、管理画面のアクセス制御レビュー——どれも「機械の網羅 × AIの判断 × 人間の承認 × 継続監視」に分解できる。
CAGでも、日々の開発でやっていることは近い。AIに検出と下書きをさせ、指摘は必ず根拠(どこで・なぜ)とセットにし、危ない変更の前に人間が承認する(HITL)。今回の事例は、その作法を"4.66億行"という規模で回した実証に見える。
ただし、冷静な但し書きも要る。これはベンダー(Anthropic)自身のケーススタディで、効果の数字を第三者が検証したわけではない。「20時間」「6.5年ぶん」といった数字は、条件込みの実績として受け取り、自社に持ち込むときは小さく試して確かめるのが正しい。丸投げで魔法が起きる話ではなく、型を設計して人が要所を握る話だ。
関連記事 | 型を組む=運用設計の全体像"AIを使える"から"AIを運用できる"へ ──AIエージェント運用設計、5つの土台【まとめ】
→
06まとめ ──AIの主戦場は「書く」から「点検し続ける」へ
新しいコードを速く書くAIは、もう珍しくない。今回の事例が示したのは、その隣にある大きな仕事だ。既にある膨大なコードを、面で点検し、根拠つきで直し、そして継続して見張り続ける。
しかもその要点は、賢い1体のモデルではなく、役割を分けて並列で動かす"型"にある。機械の網羅、AIの判断、人間の承認、継続の監視——この分業を設計できるかどうかが、成果を分ける。
AIに任せる範囲が広がるほど、効いてくるのは「どのモデルか」ではなく、「どう型を組むか」だ。
関連記事 | AIが自分で見て直す流れAIが、自分で画面を触って直す時代 ──「コードを書くAI」から「動かして確かめるAI」へ
→
| 観点 | 従来の大規模監査 | AIエージェント監査(今回の型) |
|---|---|---|
| 時間 | 年単位(推定6.5年) | 時間単位(20時間) |
| 進め方 | 人が順番にレビュー | ルールエンジン→AI判断→人が承認 |
| 根拠 | レポートに要約 | file/line で正確に引用 |
| 直し | 別チームが後日 | 修正・テスト・再構築まで生成 |
| 継続 | 定期監査(間が空く) | 常駐エージェント(red/blue/quality) |
脚注・出典
- Anthropic「Alberta government … Claude for cybersecurity」(2026-07-06公開・取り組みは2025年開始)。4.66億行/20時間・1,280アプリ・3,400リポ・約50エージェント並列・従来推定6.5年/Claude Code(Opus・Sonnet)・継続監査はClaude Agent SDK/2段構え(ルールエンジンでflag→AIがreviewしfile/line引用)/修正・テスト・ビルド生成・テスト自動作成・レガシー再構築(Java補助金ポータル5か月→4〜5日)/継続3エージェント(red team/blue team/code quality)・app毎に約95項目。出典=Anthropic公式ケーススタディ。ベンダー事例で第三者検証ではない・CAG非検証。
- 関連=既出記事「"AIを使える"から"AIを運用できる"へ(運用設計の5つの土台)」(ai-agent-operations-guide)/「AIが、自分で画面を触って直す時代」(browser-operated-coding-agents)。









