Anthropic 2026年5月12日の公式ブログ解説: Claude Code で作った脅威検知基盤 CLUE

Anthropic は 2026年5月12日、自社の Detection Platform Engineering team が Claude Code を使って脅威検知・調査基盤 CLUE を構築した事例を公開しました。セキュリティ運用で agentic tools をどう使うかを示す実践記事です。

要点

• Anthropic の security team は Claude Code を使い、CLUE という detection and response platform を構築
• CLUE Triage は alerts を enrichment し、false positive / true positive / malicious / expected behavior などに分類する
• CLUE Investigate は自然言語で security-critical logs を問い合わせ、SQL や tool calls を実行する
• 30日間で約12,000 queries、27,000 tool calls を自動化したと説明されている
• security operations では、tool access、内部文脈、監査可能な transcripts が重要

今回のブログ記事で語られていること

今回の Claude Blog は、Claude Code の利用事例でありながら、単なる開発効率の話に留まりません。Anthropic の Detection Platform Engineering team は、防御的 cybersecurity、つまり脅威検知、alert triage、異常調査、潜在的侵害の早期発見を担当しています。記事では、セキュリティ analyst が複数のログ、Slack、内部ドキュメント、コードリポジトリ、データウェアハウスを行き来しながら調査する従来の負担を問題として描いています。

その解決策として構築されたのが CLUE、Claude Looks Up Evidence です。CLUE は自然言語インターフェースを持つ detection and response platform で、Claude が Anthropic 内部システムへ tool use で接続します。CLUE Triage は alert が流れ込むと、人間が見る前に追加文脈を集め、false positive、true positive、malicious、expected behavior などに分類し、confidence score を付けます。孤立した alert を、ユーザーの業務、チームの会話、コード変更、基準行動と照らし合わせることで、単なるノイズか実際の脅威かを判断しやすくする仕組みです。

CLUE Investigate では、security analysts が自然言語でログを問い合わせられます。Claude は必要な SQL queries を組み立て、subagents に並列実行させ、結果をまとめます。記事では、従来なら数時間かかる手作業の相関分析が3〜4分で済む例や、contractor の document access を2か月分調べる data governance review が分単位で終わる例が紹介されています。30日間で約12,000 queries と27,000 tool calls を自動化し、手作業なら推定1,870時間に相当する作業を削減したと説明されています。

ただし、この事例の核は「Claude がSQLを書ける」ことだけではありません。CLUE が価値を出すのは、Claude が内部 context に接続できるからです。Slack で保守作業が話されていたか、data warehouse 上の baseline behavior と合うか、該当 service のコードが何をしているかを調べられるため、外部の汎用 security tool では得にくい文脈を判断に使えます。同時に、すべての調査 transcript を保存し、何を見てどう判断したかを後から確認できることも強調されています。

記事後半では、security operations における「bitter lesson」にも触れています。人間の調査手順を硬く playbook 化するより、tool と goal と boundary を与え、モデルがより良い調査経路を見つける余地を残すという考え方です。将来的には、alert に反応するだけでなく、Claude agents が継続的に怪しいパターンを探す proactive hunting や、過去調査 transcript から学ぶ organizational memory も構想されています。企業が参考にするなら、AI に自由を与えるだけでなく、使える tool、データ境界、監査、評価をどう設計するかがポイントになります。

対象になりそうなチーム

• SOC、security engineering、detection engineering team
• Claude Code を内部ツール開発に使う platform / developer productivity team
• AI agent による log investigation、alert triage、data governance review を検討する組織

実務で確認したいポイント

セキュリティ領域では、agent がどのログ、Slack、docs、repositories、warehouse にアクセスできるかを厳密に制御する必要があります。また、判定精度だけでなく、false positive / false negative、調査 transcript、human review の流れを測定する必要があります。

結局、この発表をどう見るべきか

CLUE の事例は、Claude Code が単にコードを書く道具ではなく、社内文脈に接続したセキュリティ運用基盤を作る開発パートナーとして使われていることを示しています。重要なのは速度だけでなく、内部文脈、tool boundary、監査可能性を組み合わせた運用設計です。