記事のサマリー(TL;DR)
- アルバータ州の技術革新省が Claude Code(Opus / Sonnet)を使い、4億6,600万行を20時間でスキャン。従来なら約6.5年相当の作業量
- 約50エージェントが並列稼働し、脆弱性の検出・パッチ生成・テスト作成・コード再構築まで一貫して対応
- 技術ホワイトペーパーを公開し、7月にはエドモントンで業界向け説明会を開催予定
日本の行政・自治体システム担当者が注目すべき点
アルバータ州が抱えていた課題——長年放置されたレガシーコード、不完全なドキュメント、膨大なテクニカルデット——は日本の行政システムにもそのまま当てはまります。国内では2025年以降、デジタル庁を中心にレガシーシステムの刷新が加速していますが、コード量と人員の不均衡は依然大きな課題です。
今回の事例で注目すべきは「Claude Code をエージェントとして並列稼働させる」アーキテクチャです。ルールエンジンによる一次スキャンと LLM による二次レビューを組み合わせる2段階方式は、誤検知を減らしながらスケールするアプローチとして、kintone や Salesforce 上に構築された業務システムの定期監査にも応用できる設計思想です。また、25年前の Java コードを4〜5日で再構築した実績は、EC-CUBE や古い独自フレームワークで構築されたシステムのモダナイゼーションを検討する担当者にとって具体的な参照点になります。
詳細
アルバータ州政府のアプローチ
アルバータ州の技術革新省(Ministry of Technology and Innovation)は、27すべての州省庁のシステムを管理しています。対象は約1,280アプリケーションと3,400コードリポジトリに上り、その大半は体系的なセキュリティレビューを一度も受けていません。蓄積されたテクニカルデット(不安全なコード、未対処のバグ、旧式ソフトウェア)は数十億ドル規模に達するとされています。
省庁のシステムには税務記録、政府調達データ、社会福祉ケースファイルなど極めて機密性の高い情報が含まれています。そこで2025年、省は内部チームを設立し、これらシステムのセキュリティ強化と長期的な保守性向上をミッションとして Claude と連携して作業を進めています。
同省のナット・グルービッシュ(Nate Glubish)技術革新大臣は次のようにコメントしています。「アルバータ州民は政府に生活の中で最も機密性の高い情報を預けており、それを守るのが私たちの責務です。AIを使って脆弱性を発見・修正することで、従来のアプローチでは何年もかかる作業を数時間で完了しました。これがAI時代における責任ある政府の姿であり、最良の成果はまだこれからです。」
実施内容①:4億6,600万行を20時間でスキャン
チームは Claude Code に Claude Opus と Sonnet モデルを組み合わせ、約50エージェントが自律的かつ並列でコードベースをスキャンしました。検査対象は次の3点です。
- セキュリティ脆弱性
- 基盤インフラおよびデプロイメントプロセスの弱点
- 技術ドキュメントの欠落
Claude Code は2段階のルーティンで動作しました。まずルールエンジンで既知のパターンをフラグ立てし、次に各フラグを LLM がレビューして正確なファイル名と行番号を指摘することで開発者が検証しやすい形式で出力します。
このスキャンはアルバータ州が保有するすべてのリポジトリをカバーし、従来の自動スキャンツールでは検出できなかった問題も特定しました。作業時間は約20時間。チームの試算では、同等のレビューを従来手法で行うと約6.5年かかるとされています。
実施内容②:脆弱性の修正とコード再構築
スキャンで脆弱性が特定されると、Claude Code はパッチの生成・テスト・ビルドを行います。自動テストが存在しない場合は、まずテストコードを書いてからパッチを適用します。コードが古すぎたり複雑すぎてパッチを当てにくい場合は、より現代的でメンテナンスしやすい言語への書き直しを実施します。
特筆すべき事例として、約25年前に手書きのJavaで開発され、当初の構築に5か月かかった補助金プログラムポータルが挙げられます。このシステムがわずか4〜5日で再構築されました。すべての作業において、パッチをリリースする前に省のエンジニアがレビューと承認を行っており、人間の監督が維持されています。
実施内容③:継続的セキュリティレビューの仕組み化
アルバータ州のサイバーセキュリティチームは、開発プロセス全体を通じて稼働する専門Claude レビューエージェント群を構築しました。
- レッドチームエージェント:攻撃者の視点でアプリケーションの外部から探索し、脆弱性がどのように悪用されるかをマッピング
- ブルーチームエージェント:国際セキュリティ標準に照らしてアプリケーションの防御を評価し、修正対象ファイルを明示した是正計画を作成
- 追加エージェント:コード品質と、一般公開されるドキュメントの記述明瞭性をチェック
各アプリケーションは1回のパスで約95のセキュリティコントロールを照合されます。これらのエージェントはClaude Agent SDK上に構築されており、包括的な検査・分析を実行します。
Alberta AI Academy によるAI人材育成
スキャン・セキュア化・モダナイゼーションと並行して、アルバータ州はAlberta AI Academyを通じて政府職員と一般市民へのAI教育も展開しています。すでに数千人の政府職員と1万人超の一般市民がプロンプト技術からエンタープライズアプリケーション開発まで、AIの効果的な活用を学ぶプラットフォームとして利用しています。
技術革新省はこのAcademyを通じて、単一チームやプロジェクトを超え、支援が必要なすべての省庁へアプローチを展開する方針です。
今後の展開
現在、Claude は省のコード作成・レビュー・デプロイを支援しています。次のステップとして、エンジニアと並走して全く新しいソフトウェアやツールを構築できるAIエージェントへの拡張が計画されています。
また、ある省庁は本番稼働中の185本のレガシーアプリケーションを抱えており、これらは維持費が高く更新も困難な状態です。政府はClaude Codeを使ってこれらシステムを分析・理解したうえで、現代的な言語・規約に基づく16本の再利用可能なアプリケーションに統合する計画です。目的は複雑性の削減・保守コストの低減・モダナイゼーション作業の加速で、従来なら数年かかる作業を短縮します。
他の政府機関へのモデルケースとして
アルバータ州が取り組んでいるテクニカルデットとセキュリティ脆弱性の問題は、同州固有のものではありません。世界中の州・連邦政府機関が同様の課題を抱えています。アルバータ州が公開した技術ホワイトペーパーは、他の政府機関が同様の問題に取り組むための設計図(ブループリント)となります。
7月にはエドモントン(Edmonton)で業界向けの説明会を開催予定。秋には州政府全体にアプローチをスケールするプログラムも開始される見込みです。