アルバータ州政府が Claude を活用し、政府システム全体のサイバーセキュリティ脆弱性の特定と修正を実施
アルバータ州政府は、Anthropic の AI モデル「Claude」を活用して政府システム全体のサイバーセキュリティ脆弱性の特定と修正を自動化する取り組みを開始した。
キーポイント
政府システムへの AI 導入
アルバータ州政府が自社のインフラ全体を対象に、Claude を用いた自動的な脆弱性スキャンと修正プロセスを導入した。
セキュリティ強化の自動化
従来の人手による点検を補完・代替し、AI が潜在的なリスクを特定して修正作業を推進することで、防御態勢の迅速化を図っている。
公共セクターにおける実用事例
政府機関が最先端の生成 AI をセキュリティ運用に直接活用する実証例となり、公共部門における AI 活用の新たな基準を示している。
重要な引用
Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems
Claude を活用して自社の政府システム全体からサイバーセキュリティの脆弱性を特定し、その修正作業を推進している
影響分析・編集コメントを表示
影響分析
このニュースは、生成 AI が単なる情報検索やコンテンツ作成のツールを超え、クリティカルなセキュリティ運用(DevSecOps)の核心部分に組み込まれつつあることを示しています。特に政府機関が自らのシステム保護のために他社製 AI を積極的に採用したことは、公共部門における AI 導入の加速と、セキュリティ業界における LLM の役割変革を象徴する出来事と言えます。
編集コメント
公共部門がセキュリティ対策に AI を本格的に採用した事例は貴重であり、今後の業界標準となる可能性を秘めています。ただし、修正プロセスの完全自動化における責任所在や誤検知リスクへの監視体制も併せて注目すべき点です。
2025 年以来、アルバータ州政府は Claude Code を Opus および Sonnet モデルと併用し、自社のシステムをレビューして脆弱性を発見・修正しています。アルバータ州技術革新省のチームが 20 時間かけて 4.66 億行のコードを検査し、各システムのセキュリティギャップを是正するとともに、これらのシステムをより安全にするための新ツールを開発しました。
政府機関が大規模に Claude および Claude Code を活用して自社のシステムを保護する方法の事例として、彼らの経験を共有します。これは極めて重要な課題です。なぜなら政府はこうしたシステムに依存して給付金の交付やサービスの継続を実現している一方で、コードは古く、セキュリティが不十分で、文書化も不完全であることが多いためです。アルバータ州はまた、他の政府機関が参考とするよう、その取り組みを記録した技術白書コレクションも公開しています。こちら で読むことができます。
「アルバータの人々は、人生で最も機密性の高い情報の一部を政府に預けています。それを保護することは私たちの責任です」と、アルバータ州の技術革新大臣であるネイト・グルビッシュ氏は述べています。「AI を活用して各システムの脆弱性を発見・修正することで、従来の手法では数年かかる作業を数時間で完了させることができました。これが AI 時代における責任ある政府の姿であり、さらなる発展が待っています。」
アルバータ州のアプローチ
アルバータ州の技術・革新省は、社会福祉から公共安全、山火事対応に至るまで、27 の全州政府機関のシステムを管理しています。これには約 1,280 のアプリケーションと 3,400 のコードリポジトリが含まれます。その大部分は体系的なセキュリティレビューを受けたことがなく、蓄積された技術的負債(不十分なコード、未解決のバグ、古くなったソフトウェア)は数十億ドルに達しています。
同省のシステムには、税務記録、政府調達データ、社会福祉のケースファイルなど、極めて機微な情報が保存されています。そのため 2025 年、同省はこれらのシステムのセキュリティを強化し、長期的に維持管理を容易にするという使命を持つ内部チームを設置し、Claude と連携して取り組みを進めています。
すでに同省は Claude を用いて以下のような活動を行っています:
20 時間で政府コードの 4.66 億行を評価。 チームは、Claude Code を Claude Opus および Sonnet モデルと共に使用し、自身が維持するコードベースに適用しました。約 50 のエージェントが自律的かつ並列的に動作し、システムのセキュリティ脆弱性、基盤インフラおよびデプロイプロセスにおける弱点、技術ドキュメントの欠落箇所をスキャンしました。Claude Code は二段階の手順を実行し、まずルールエンジンで各リポジトリをスキャンして既知のパターンにフラグを立て、次にそのフラグを確認して各発見事項について正確なファイル名と行番号を引用し、開発者が検証できるようにしました。このスキャンはアルバータ州が所有するすべてのリポジトリを対象とし、従来の自動スキャンツールでは見逃されていた問題も特定しました。アルバータ州の実装には約 20 時間かかりましたが、チームによると、同様のレビューを従来手法で行う場合は約 6.5 年かかると推定されています。
スキャンで見つかった脆弱性を修正する。 スキャンで脆弱性が特定された箇所では、Claude Code がしばしば修正プログラムの生成、テスト、ビルドまでを自動で行いました。パッチの安全性を確認するために必要な自動化テストがシステムに存在しないケースでは、Claude がまずテストコードを作成しました。既存の形式のままでは古すぎて効率的な修正が困難、あるいは複雑すぎるコードについては、より現代的で保守しやすい言語へ書き直されました。一部のシナリオでは、これらのシステムの再構築にわずか 4〜5 日しか要しませんでした。例えば、約 25 年前に手動で Java でコーディングされ、初回構築に 5 か月を要した補助金プログラムポータルもその一例です。これらすべては、省庁のエンジニアとの連携のもとで行われました。パッチがリリースされる前には、必ずチームによるレビューと承認を経ています。
継続的なセキュリティレビューを実行する。 アルバータ州のサイバーセキュリティチームは、開発プロセス全体を通じて実行される一連の専門的な Claude 審査エージェントも構築しました。「レッドチーム」エージェントは攻撃者のように外部からアプリケーションをプローブし、脆弱性がどのように悪用されるかをマッピングします。次に「ブルーチーム」エージェントが、国際的なセキュリティ基準に対してアプリケーションの防御力を評価し、修正すべき正確なファイルを指し示す修復計画を作成します。追加のエージェントはコードの品質と一般公開される文章の明瞭さをチェックします。各アプリケーションは、各パスで約 95 のセキュリティコントロールに対してチェックされます。これらのエージェントは Claude Agent SDK を基盤として構築されており、すべてのアプリケーションに対して堅牢な一連のチェックと分析を実行します。
スキャン、セキュリティ強化、自システムの高齢化対応に加え、アルバータ州はアルバータ AI アカデミーを通じて政府職員および一般市民に対する AI 活用のトレーニングも実施しています。数千名の政府職員と 10,000 名以上の一般市民が、プロンプト作成からエンタープライズアプリケーションの納品に至るまで、効果的な AI 活用の基本を学ぶためにこのプラットフォームを利用してきました。アカデミーを通じて、技術・イノベーション省は、このアプローチを単一のチームやプロジェクトに限定せず、必要なすべての省庁へ拡大することを目指しています。
先を見据えて
現在、Claude は省庁がコードの作成、レビュー、デプロイを行うのを支援し、その近代化努力を後押ししています。次は、エンジニアと共に全く新しいソフトウェアやツールを構築できる AI エージェント(AI agents)を用いて、この取り組みを拡大する計画です。
アルバータ州政府も、引き続き近代化作業を継続する方針です。例えば、ある省庁では 185 のレガシーアプリケーションが本番環境で稼働しており、維持コストが高く、更新も困難な状況にあります。政府は Claude Code を用いてこれらのシステムを分析し、その機能を理解した上で、現代的なコーディング言語と慣習に基づいた再利用可能な 16 のアプリケーションに統合する計画です。目的は複雑さを削減し、保守コストを低下させ、本来なら数年かかる近代化作業のスピードを上げることです。
政府向けの事例研究
アルバータ州政府が取り組んでいる技術的負債(technical debt)やセキュリティ脆弱性(security vulnerabilities)は、決して珍しいものではありません。これらは世界中の多くの州、県、連邦機関のシステムに存在しています。アルバータが発表した技術白書は、他の政府が同様の課題に対処するための青写真となっています。
ホワイトペーパーに加え、アルバータ州は7月にエドモントンで業界向けの日を開催し、そこで得た知見を共有する予定です。また今秋には、このアプローチを州政府全体に拡大するためのプログラムを開始します。これらの取り組みが拡大される中で、アルバータ州との連携を継続してまいります。また、同州が文書化したアプローチが、他の政府機関が自らのシステムを保護する際の参考になれば幸いです。
関連コンテンツ
Fable 5 のサイバーセキュリティ対策および Jailbreak フレームワークに関する詳細
Claude Sonnet 5 の紹介
Sonnet 5 は、コーディング、エージェント、大規模な専門業務において最先端のパフォーマンスを発揮します。
Fable 5 の再展開
Fable 5 は7月1日にグローバルで再展開されます。また、Amazon、Microsoft、Google、およびその他の Glasswing パートナーと共に、Jailbreak の深刻度を評価するための業界全体向けのフレームワークを提案しています。
原文を表示
Since 2025, the Government of Alberta has been using Claude Code with both Opus and Sonnet models to review its systems, find vulnerabilities, and fix them. A team inside Alberta’s Ministry of Technology and Innovation scanned 466 million lines of code in 20 hours, remediated security gaps across its systems, and built new tools to make those systems safer.
We’re sharing details of their experience as an example of how government agencies can use Claude and Claude Code to secure their systems at a large scale. This is a critical challenge, as governments rely on these systems to deliver benefits and keep services running—yet the code is often old, insecure, and incompletely documented. Alberta has also published a collection of technical white papers documenting its efforts for other governments to learn from; you can read them here.
“Albertans trust their government with some of the most sensitive information in their lives, and it is our responsibility to protect it,” said Nate Glubish, Alberta’s Minister of Technology and Innovation. “By using AI to find and fix vulnerabilities across our systems, we accomplished in hours what would have taken a traditional approach years to complete. This is what responsible government looks like in the AI era, and the best is still ahead of us.”
Alberta’s approach
Alberta’s Ministry of Technology and Innovation maintains the systems of all 27 provincial ministries, from social services to public safety to wildfire response. That includes roughly 1,280 applications and 3,400 code repositories. Most of it has never undergone a systematic security review, and the accumulated technical debt—insecure code, unaddressed bugs, outdated software—runs into the billions of dollars.
The Ministry’s systems hold highly sensitive information, including tax records, government procurement data, and social services case files. So in 2025, the Ministry set up an internal team with a mandate to make these systems more secure and easier to maintain over time, working with Claude to do so.
Already, the Ministry has used Claude to:
Assess 466 million lines of government code in 20 hours. The team put Claude to work on the codebases it maintains, using Claude Code with Claude Opus and Sonnet models. Around 50 agents worked autonomously and in parallel to scan the systems for security vulnerabilities, weaknesses in underlying infrastructure and deployment processes, and gaps in technical documentation. Claude Code ran a two-stage routine, first scanning each repository with a rules engine to flag known patterns, then reviewing those flags and citing the exact file and line for each finding so developers could verify them. The scan covered every repository Alberta owns and identified issues that traditional automated scanning tools had missed. It took about 20 hours for Alberta’s implementation; the team estimates that that kind of review could otherwise have taken around 6.5 years.
Fix the vulnerabilities the scan found. Where the scan identified a vulnerability, Claude Code could often generate a fix, test it, and build it. In cases where a system lacked the automated tests needed to confirm that a patch was safe, Claude wrote the tests first. Where the code was too outdated or too complex to patch efficiently in its existing form, Claude rebuilt it in a more modern and maintainable language. In some scenarios, these systems could be rebuilt in as little as four to five days, including a subsidy program portal that was originally hand-coded in Java roughly 25 years ago and took five months to build the first time. All of this was done in partnership with the Ministry’s engineers: before any patch shipped, it was reviewed and approved by the team.
Run continuous security review. Alberta’s cybersecurity team also built a set of specialized Claude review agents that run throughout the development process. A “red team” agent probes an application from the outside, the way an attacker might, and maps how a vulnerability might be exploited. A “blue team” agent then assesses the application’s defenses against an international security standard, and writes a remediation plan that points to the exact files to fix. Additional agents check code quality and the clarity of the writing the public sees. Every application is checked against roughly 95 security controls on each pass. These agents are built on top of the Claude Agent SDK and run a robust series of checks and analysis for every application.
In addition to scanning, securing, and modernizing its own systems, Alberta is training both government workers and the public in the use of AI through the Alberta AI Academy. Thousands of government employees and more than 10,000 members of the public have used the platform to learn the essentials of effective AI use, from prompting through enterprise application delivery. Through the Academy, the Ministry of Technology and Innovation aims to extend its approach beyond a single team or project to every ministry that needs it.
Looking ahead
Today, Claude helps the Ministry write, review, and deploy code that aids in its modernization efforts. Next, it plans to expand that work with AI agents that can build entirely new software and tools alongside engineers.
The Government of Alberta also plans to continue its modernization work. One ministry, for example, has 185 legacy applications running in production, which are expensive to maintain and difficult to update. The Government plans to use Claude Code to analyze these systems, understand what they do, and consolidate them into 16 reusable applications built on modern coding languages and conventions. The goal is to reduce complexity, lower maintenance costs, and speed up modernization work that would otherwise take years to complete.
A case study for governments
The technical debt and security vulnerabilities the Government of Alberta is working to address are hardly unique. They exist in the systems of many provinces, states, and federal agencies across the world. The technical white papers Alberta has released give other governments a blueprint for addressing these same issues.
In addition to the white papers, Alberta is hosting an industry day in Edmonton in July to share what it has learned. And this fall, it will begin a program to scale its approach across the provincial government. We’ll keep working with Alberta as it expands these efforts, and we hope the approach it has documented can help other governments secure their own systems.
Related content
More details on Fable 5’s cyber safeguards and our jailbreak framework
Introducing Claude Sonnet 5
Sonnet 5 delivers frontier performance across coding, agents, and professional work at scale.
Redeploying Fable 5
Fable 5 returns globally July 1. We're also proposing an industry-wide framework for scoring jailbreak severity, together with Amazon, Microsoft, Google, and other Glasswing partners.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み