• トップ
  • 私たちについて
  • 事業内容
  • 採用情報
  • 支援実績
  • お知らせ
  • メディア
  • コラム
お問い合わせ
株式会社Last Scene(ラストシーン)
  • About us 私たちについて
  • Service事業内容
  • Our Work支援実績
  • Newsお知らせ
  • Mediaメディア
  • Columnコラム
お問い合わせ
  1. ホーム
  2. AI活用
  3. Claude Codeのセキュリティガイダンスで安全に開発する方法

Claude Codeのセキュリティガイダンスで安全に開発する方法

2026 6/03
AI活用 メディア
2026年6月3日

目次

Claude Codeのセキュリティガイダンスとは

「セキュリティを気にせずにコードをどんどん書かせて使っている」――もし心当たりがあるなら、今回紹介する機能は必ず押さえておきたいところです。Claude Codeに新しく登場した「セキュリティガイダンス」プラグインは、Claudeが作業中に行った変更をその場でレビューし、同じセッション内で見つかった脆弱性を修正してくれる仕組みです。

いわゆるバイブコーディングのように、自分専用のアプリや社内向けのアプリを手軽に作れる時代になりました。一方で「生成したコードはセキュリティ的に大丈夫なのか」という不安は常につきまといます。このプラグインは、そうした懸念を一定レベルまで軽減してくれる存在です。完全な解決とまではいきませんが、何もしない状態と比べれば大きな安心材料になります。

インストールとチェックのタイミング

導入はコマンドを実行するだけで完了します。インストール時には「スコープ」を尋ねられます。これは、使っているパソコン全体(ユーザー全体)に適用するのか、特定のプロジェクト単体に適用するのかを選ぶものです。

チェックが動くタイミングは主に次の場面です。

  • ファイルを編集したとき
  • 各ターンの終了時(チャットを送ってレスポンスが返り、処理が終わったタイミング)
  • Claudeがgitのコミットやプッシュを行ったとき

これらのイベントごとにプラグインが作動し、セキュリティチェックを実行してくれます。細かいチェックポイントの中身まで深く理解する必要はありません。エンジニアでない方は「変更してくれたらセキュリティもチェックしてくれるんだ」くらいの感覚で、気楽に捉えておけば十分です。

なぜ安全なのか――決定論的なチェックの強み

このプラグインで特に注目したいのが、Claud自身がコードを書いた同じインスタンスに自己採点をさせないという設計思想です。チェックはAIの判断ではなく、決定論的な文字列マッチングで行われます。

AIは同じ入力を与えても毎回まったく同じ出力を返すとは限らず、ハルシネーション(事実と異なる出力)を起こすリスクがあります。100回チェックすれば100回同じ結果になる、という保証ができないのです。一方、モデルが関与しない決定論的な文字列操作であれば、100回行えば100回まったく同じ結果が出ます。だからこそ「Claudeに判断させる」よりも安全だと言えるわけです。

独自ルールも追加できる

Markdownのガイダンスファイルや、編集後の文字列マッチ用のYAML、JSONのパターンファイルを追加することで、デフォルトのチェック内容を拡張できます。ただしYAMLやJSONはエンジニアでないと見方が分かりにくい部分です。社内にエンジニアがいる場合は、ここを設定してもらうのがおすすめです。

もしエンジニアがいなくても、下書きはClaudeに任せられます。たとえば「このリポジトリのセキュリティガイダンスを CLAUDE-SECURITY-GUIDANCE.md に書き出して」とチャットを打てば、一定のたたき台を生成してくれます。その上で詳しい方に確認してもらえば、より安全に運用できます。

APIキーの直書きを防げるのが大きい

具体的なチェック項目の一例が、ハードコードされたAPIキーがないかの検出です。APIキーは、さまざまなサービスと連携するための鍵のようなものです。これをコードに直接書き込んだ状態でgitに上げ、リポジトリを誤って公開してしまうと、世界中の誰もがそのキーを見られる状態になり、不正利用され放題になってしまいます。

プロのエンジニアであれば「どこに書けば安全か」が分かりますが、そうでない方にとっては判断が難しいポイントです。こうした危険を自動で指摘してくれるのは、非常に大きなメリットだと言えます。

コストとフックの仕組み

気になるコスト面ですが、編集ごとのパターンチェックはモデルを使わず文字列単位で検索するため、トークンを消費しません。一方、ターン終了時やコミット時のレビューはClaudeへのリクエストとしてカウントされるため、その分のトークンを使います。とはいえ、頻繁に走る編集ごとのチェックでトークンを節約できるのは大きな利点です。

この仕組みはClaude Codeの「フック」の上に構築されています。フックとは、チャットを送信した瞬間や、ファイルを編集したとき、処理が完了してレスポンスが返ってきたときなど、Claude Code内で定義されたイベントに合わせて処理を差し込める機能です。セキュリティガイダンスは、このイベントごとにチェックを実行しているわけです。

まとめ――導入は大前提、その先の設定も忘れずに

自分用でも社内用でも、アプリを開発するならこのセキュリティガイダンスプラグインの導入はマストだと考えています。まずは入れておくこと、これが大前提です。

ただし、これだけでは足りない部分も多くあります。たとえば次のような設定です。

  • 実行してはいけないコマンドをあらかじめ定義しておく
  • 危険なコマンドは実行前に必ず自分に確認させる
  • ファイル削除のような危険なコマンドは絶対に使わせない

セキュリティ面で設定すべき項目は非常に多く、慣れていないと分かりにくいのが正直なところです。判断に迷うときは、周りのエンジニアや詳しい方に相談するのが何より大切です。もし身近にそうした方がいない場合は、お気軽にご相談ください。

AIに関する最新情報を知りたい方、社内導入を検討している方は、下記のLINEからお気軽にお問い合わせください。

▼AIの最新情報・導入相談はこちらのLINEから

AI活用 メディア
AI開発 Claude Code セキュリティ バイブコーディング プラグイン
カテゴリー
  • AI
  • AI・DX
  • AIニュース
  • AI最新ニュース
  • AI最新情報
  • AI活用
  • エンジニア
  • お知らせ
    • NEWS
  • コラム
    • アプリ開発
    • システム開発
  • メディア
  • 支援実績
    • SaaS
  • 開発ツール
目次