Semgrep は Claude in Amazon Bedrock を活用し、AI 搭載のコードセキュリティを提供

Semgrep は大手サイバーセキュリティ企業で、Claude in Amazon Bedrock を活用してカスタマー向けの多くの AI 支援機能を提供し、開発者がコードの脆弱性をより効果的に検出、フィルタリング、修正できるよう支援しています。エンジニアリングの時間を浪費する誤検知の最小化も実現しています。

Claude の導入により、Semgrep は以下を実現しています：

• セキュリティ検出結果の 20% を「無視して安全」と確信を持ってラベリングし、ユーザー同意率 92%、セキュリティ研究者同意率 96% を達成
• 誤検知の特定において、以前のバージョン（GPT-4o 搭載）より 16% 高い精度を達成
• コンポーネントタグ付けで 17% 優れたパフォーマンスを提供（以前のモデル GPT-4o との比較）
• カスタマー向けに毎日数千のセキュリティ検出結果を処理・分析

Semgrep がセキュリティの誤検知問題を解決する方法

ソフトウェア開発チームは、その多くが誤検知である圧倒的な量のセキュリティアラートに直面しており、貴重な時間とリソースを消費しています。「セキュリティツールは大量のアラートを生成することで知られています。これは業界全体に広がる問題です」と Semgrep のスタッフエンジニアである Bence Nagy 氏は述べています。

Semgrep はこの課題を認識し、AI を適用してアラートノイズを劇的に削減する機会を見出しました。

Semgrep の高速で決定論的なコード分析エンジンと LLM に適したルール構文は、AI 搭載の AppSec の完璧な基盤となりました。精密なパターンマッチングの利点を維持しながら、AI のコードコンテキスト理解能力を活用できます。

Nagy 氏は実際の例で最初の突破口を説明します。「AI モデルが、コード内の実際に漏洩したパスワードと、「password=REPLACE_PASSWORD_HERE」のような無害なプレースホルダーを区別できるかテストしました」

従来のセキュリティツールは両方を盲目的に脆弱性としてフラグ付けしますが、AI がどのアラートが本物のセキュリティリスクを表し、どれが誤検知であるかを正確に判定できることがわかりました。この最初の成功は、AI がセキュリティスキャンの根本的な問題、つまり本物の脅威とノイズの区別を解決できることを証明し、Semgrep は AI がセキュリティプラットフォーム全体をどのように変革できるかを探究するようになりました。チームが正当なセキュリティ問題にのみ集中できるよう支援することが目標です。

各タスクに最適なモデルを選択

Semgrep の AI 機能は、プロジェクト固有の入力（依存関係、過去の修正、データフロートレース）と Semgrep の非 AI 分析からの入力の両方を参照する、さまざまなプロンプトチェーンと評価ループに依存しています。

これらのプロンプトチェーンで異なるモデルのパフォーマンスを比較するため、Semgrep は厳密な評価プロセスに依拠し、誤検知のフィルタリングから正確な修正ガイダンスの生成まで、多数のセキュリティタスク全体で常に最適な LLM を使用していることを確認しています。

「開発者が重要なセキュリティ問題だけを見るようにすることが目標です。1,000 以上のカスタマーの実際のデータに対してモデルをベンチマークし、パフォーマンスを常に監視し、結果に基づいて判断しています」と Semgrep のスタッフエンジニアである Bence Nagy 氏は述べます。

Claude は、Semgrep の独自のタスク別評価すべてにおいてトップ 3 に入る唯一のモデルであるという点で独自の存在でした。

「Claude 3.7 Sonnet は、より深いコンテキスト理解を伴う卓越したコード分析能力を示しました」と Nagy 氏は述べます。「自動生成されたファイルの脆弱性を認識し、出力ファイルを直接編集するのではなく生成元のソースを修正するよう開発者にアドバイスした唯一のモデルでした」

最も重要な 2 つの評価である誤検知検出とコンポーネントタグ付けにおいて、Claude は以前のトップパフォーマンスモデル GPT-4o をそれぞれ 16% と 17% 上回りました。

「アプリケーション層で運用する私たちは、モデルのベンチマークと選択をカスタマーではなく自社の責任と捉えています。特定のモデルの使用をリクエストすることはできますが、カスタマーは一般的にタスクごとに最適化と選択を任せてくれます」と Semgrep のプロダクトマーケティングマネージャーである Chushi Li 氏は述べています。

Claude が Semgrep のセキュリティ能力を強化

Semgrep は Claude を含むさまざまな大規模言語モデルを使用して、セキュリティチームがノイズを削減し、ルーティンタスクを自動化し、修正を生成するための機能を提供しています：

• ノイズフィルタリング：セキュリティアラートを分析して本物の問題と誤検知を分離。初期状態でアラート量を 20% 削減し、時間の経過とともに最大 40% まで削減。
• メモリ：ユーザーが検出結果のトリアージや問題の修正を行う過程で、環境に関する重要なセキュリティ関連のコンテキストを学習・保存し、将来の誤検知を排除。
• 自動修正 + 修正ガイダンス：脆弱性を修正するためのワンクリックコード修正を提案し、開発者が変更を理解し自信を持ってマージできるコンテキストを提供。
• 破壊的変更分析：依存関係のアップグレードにおける破壊的変更を分析し、バージョンアップが安全かリファクタリングが必要かを開発者に伝えるアップグレード PR を自動作成。
• ファイル機密性分類：ファイルの重要度を評価し、認証や決済などのハイリスクコンポーネントの問題をローリスクのものより優先。
• ルール作成：自然言語の指示に基づいて決定論的な Semgrep ルールを作成。

開発者が嫌がらないセキュリティツールのひとつ

Semgrep の AI 搭載機能は、セキュリティチームと開発チームの生産性を向上させ、ノイズ削減以上の効果を発揮しています。Claude のコンテキスト理解は、開発者がより包括的な修正を実装するのにも役立ちます。「Claude は、修正実装後に開発者が確認すべきことや、プロジェクトの他の部分をどう適応させるかについての追加詳細を提供します」と Nagy 氏は述べます。このアプローチは、脆弱性の修正が既存の機能を破壊するというよくある問題を防ぎます。

Semgrep のベンチマークアプローチは、各セキュリティタスクに対して最適な AI パフォーマンスを確保します。Nagy 氏は「ノイズフィルタリング機能について、精度を正確に測定するために数千の事前分類済みセキュリティ検出結果を含む評価スイートを構築しました」と説明します。

このテストでは、モデル設定に関する重要な洞察が得られました。直感に反する発見もありました。「Claude に『思考』のためのトークンを多く与えると、実際にはセキュリティの問題に対して過度に慎重になり、評価が保守的になりすぎることがわかりました」これらの洞察により、Semgrep はセキュリティタスク向けに Claude のパラメーターを微調整し、実運用での効果を最大化できるようになりました。

Claude in Amazon Bedrock：エンタープライズセキュリティ、プライバシー、パフォーマンス

Semgrep は、厳格なデータガバナンス要件を持つ業界のカスタマーと頻繁に取引しています。Amazon Bedrock は、組織の Amazon Virtual Private Cloud（VPC）などのプライベート環境内で Claude のような強力な基盤モデルにアクセスする安全な方法を提供します。

「セキュリティとプライバシーは私たちとカスタマーにとって譲れないものです」と Semgrep の共同創業者である Drew Dennison 氏は述べます。「Amazon Bedrock を通じて安全かつ準拠したセットアップ内で Claude にアクセスできることで、パフォーマンスを犠牲にすることなく必要な柔軟性が得られます」

この利用可能性により、Claude はその技術的卓越性だけでなく、実際のエンタープライズ環境にシームレスに適合する点でも魅力的な選択肢となっています。

MCP と AI 搭載開発の未来

Semgrep は、AI がソフトウェアを作成し、同時にセキュリティを確保する未来を描いています。「ソフトウェア開発がよりアクセスしやすくなるにつれ、経験の少ないエンジニアが AI で書かれたコードをより多く生成するようになります。そのコードをどのように安全に保つのか？」と Dennison 氏は問いかけます。「AI の生成プロセスに直接組み込まれたセキュリティツールと、思考チェーンの中でコードを監査する検証システムが必要です」

このビジョンが Semgrep を駆り立て、オープンソースの Model Context Protocol（MCP）ツールの開発につながりました。これにより、Claude のような AI アシスタントが生成したコードを納品前に脆弱性スキャンできるようになります。Semgrep のコア SAST エンジンは高速、透過的、ソースベースであるため、MCP サーバーにより LLM が Semgrep を動的にツールとして呼び出すことが可能になります。Nagy 氏は「プロジェクト全体を AI で構築し、それが安全で機能的であると確信できる世界を作りたい」と述べています。

同社はまた、コンテキストに基づくセキュリティを強化する組織メモリ機能も開発中です。「開発者のコメントや意思決定から学習し、コードベースに関する自明ではない事実を理解するシステムを構築しています」と Nagy 氏は説明します。この組織知識を蓄積することで、セキュリティ評価が時間とともによりインテリジェントになります。

これらのイノベーションを通じて、Semgrep は AI がセキュリティを維持しながら開発を加速することを目指しており、スピードと安全性の両方でソフトウェア業界全体に貢献しています。