カナダ・アルバータ州政府が、AnthropicのClaude Codeを用いて州全体の行政システム466百万行のコードをわずか20時間で監査し、従来の手法では約6.5年を要すると推定される脆弱性の検出と修正を実施した。老朽化した政府システムの刷新は各国共通の課題であり、今回の取り組みは生成AIを行政の安全保障基盤に直結させる新たなモデルケースとなる。

27省庁、3400リポジトリを自律スキャン

アルバータ州技術革新省のチームは、社会福祉から山火事対応まで省内全27部門のシステムを管理している。約1280のアプリケーション、3400のコードリポジトリが対象となり、その大部分はこれまで体系的なセキュリティレビューを受けてこなかった。同チームはClaude Code上でOpusとSonnetモデルを用い、約50のエージェントを並列稼働させる二段階のスキャンを実行。第一段階でルールエンジンによる既知パターンのフラグ付けを行い、第二段階でClaudeがファイルと行番号を明示しながら各フラグを検証した。この手法により、従来の自動スキャンツールでは検出できなかった脆弱性まで可視化している。

修正不能ならモダン言語で再構築

検出された脆弱性に対し、Claude Codeは修正案の生成、テストの実施、ビルドまでを一貫して実行した。安全確認のための自動テストが存在しないレガシーシステムでは、Claudeが先にテストコードを記述する手順を踏んでいる。コードが古すぎる、あるいは複雑すぎて効率的なパッチ適用が困難なケースでは、より保守性の高い現代的な言語でシステムを再構築するアプローチを採用。25年前にJavaで実装され、当初5カ月の開発期間を要した補助金ポータルシステムは、4〜5日で再構築された。ただし、すべての修正は省内エンジニアのレビューと承認を経て本番環境に展開されており、完全自動化ではなく人間とAIの協働モデルが厳守されている。

防御側が攻撃側を上回る構造競争へ

今回の事例は、政府システムにおける技術的負債の解消速度が生成AIによって劇的に変化することを示す。重要なのは、単一システムの刷新ではなく、全政府レベルのコードベースを横断的に、かつ継続的に監査できる態勢を既存の開発プロセスに組み込んだ点にある。アルバータ州はレッドチームエージェントを用いた継続的セキュリティレビューも構築しており、攻撃手法が高度化する以前に防御側が先行して脆弱性を潰し込む「非対称の防御優位」を組織的に確立しようとしている。このアプローチは、慢性的な人員不足とレガシーシステムの維持に苦しむ世界中の政府機関にとって、AI活用の具体的かつ再現性の高いテンプレートとなる可能性を持つ。

公開された技術文書が促す公共調達の変質

アルバータ州政府はこの取り組みの技術的詳細をまとめたホワイトペーパーを公開し、他政府による参照と追試を促している。公開知として手順とノウハウを共有する動きは、公共セクターにおけるAI導入が単一ベンダーへの過度な依存や属人的なコンサルティング契約に陥ることを防ぎ、調達の透明性と競争性を高める効果を持つ。一方で、Claude Codeが得意とする大規模コード解析および修正のワークフローは、クラウド基盤やデータガバナンスと密接に結びついており、省庁のデジタル主権とクラウド事業者・AI提供者の関係をどう設計するかという新たな政策課題も浮上させている。