Claude CodeのSecurity Guidanceとは|AI開発の事故を防ぐ実務対策

Claude Codeは便利ですが、AIにコード編集やコマンド実行を任せるほど、セキュリティ事故の入口も増えます。検索してこの記事に来た人が知りたいのは、抽象的な危険性ではなく「何を設定し、何を禁止し、どこを人間が見るべきか」だと思います。
結論から言うと、Claude CodeのSecurity Guidanceは、AI開発を止めるためのものではなく、AIが作ったコードを早い段階で安全側に戻すための仕組みです。この記事では、公式ドキュメントの考え方をもとに、非エンジニアでも実務に落とせる対策を整理します。
AI開発で事故が起きる理由

AI開発で事故が起きる理由は、AIが悪意を持つからではありません。問題は、AIがローカルファイル、GitHub、外部API、MCP、ターミナル操作に触れることで、従来は人間が手で確認していた境界が曖昧になることです。Claude Code公式ドキュメントでも、読み取り専用を基本にし、編集やコマンド実行には明示的な許可を求める設計が説明されています。
特に非エンジニアがClaude Codeでアプリを作る場合、「動いた」ことに意識が向き、認証、入力検証、秘密情報、ログ、外部通信の確認が抜けやすくなります。Security Guidanceは、この抜け漏れを作業中に拾うための補助線です。最後の監査だけでなく、AIがコードを書いている途中で危険な兆候に気づくことが重要です。
| 事故の入口 | 起きること | 最初に決める対策 |
|---|---|---|
| 危険コマンド | 削除、上書き、外部送信をAIが提案する | 許可前に目的と対象ファイルを確認する |
| MCP・拡張機能 | Gmail、Slack、DBなどに広く触れる | 必要最小限の接続だけ許可する |
| 秘密情報 | APIキーや.envがコードやプロンプトに混ざる | 除外ルールとsecret scanningを入れる |
| AI生成コード | 認証バイパスやインジェクションが残る | レビューとテストを必ず通す |
Security Guidance pluginは何をチェックするのか
Claude CodeのSecurity Guidance pluginは、Claudeがコードを書いている途中に、よくある脆弱性を見つけて同じセッション内で修正させるための公式プラグインです。公式ドキュメントでは、ファイル編集時のパターンチェック、ターン終了時の差分レビュー、commit/push時のより深いレビューという3段階のチェックが説明されています。
重要なのは、これは魔法の安全装置ではないということです。pluginは危険なパターンや差分を早く見つける層であり、CI、PRレビュー、人間の設計確認を置き換えるものではありません。それでも、AIが書いた直後に指摘が返るため、後工程のレビュー負担を大きく減らせます。
| タイミング | チェック内容 | 実務上の意味 |
|---|---|---|
| ファイル編集時 | eval、unsafe DOM、危険なworkflow編集などを検知 | 早い段階で危険パターンに気づける |
| ターン終了時 | 差分を別のClaudeがセキュリティ観点でレビュー | 認証漏れやインジェクションなどを拾いやすい |
| commit / push時 | 周辺コードまで読んだ深いレビュー | PRに出す前の最後の確認になる |
危険コマンドと確認スキップを防ぐ

Claude Codeでは、ファイル編集やテスト実行をAIに任せられます。しかし、削除、上書き、外部送信、権限変更、本番反映に近い操作は、人間の確認を挟むべきです。確認スキップ系の運用を常用すると、便利さと引き換えに、ミスがそのまま実行される範囲が広がります。
安全に使うには、普段の作業では読み取りや限定された編集を許可し、破壊的操作は都度確認に戻す運用にします。AIに「必要なら勝手にやって」と任せるのではなく、「このフォルダ内のテスト修正だけ」「本番データには触らない」「削除は提案まで」のように境界を明文化します。
MCPと外部拡張機能は権限で見る
MCPはAIが外部サービスやローカルツールを扱うための接続口です。便利な一方で、接続先によってはメール、チャット、データベース、ファイルシステムに触れられます。Claude Code公式ドキュメントでも、MCPサーバーは信頼できる提供元を選び、権限を設定することが推奨されています。
判断基準は「有名かどうか」だけでは足りません。そのMCPが何を読めるのか、何を書けるのか、トークンや認証情報をどこに保存するのか、ログが残るのかを確認します。業務利用なら、個人判断でMCPを追加するのではなく、利用可能な接続先をチームで決める方が安全です。
実際の漏洩リスクは、GitHub情報漏洩から学ぶAI時代のセキュリティ対策でも詳しく整理しています。
作業範囲をプロジェクト内に限定する

AIに作業させるフォルダは、できるだけプロジェクト単位で分けます。ホームディレクトリやデスクトップ全体を対象にすると、関係ないファイル、秘密情報、個人データまで読み取り対象に入りやすくなります。Claude Codeのセキュリティ設計でも、書き込み範囲を起動フォルダ以下に限定する考え方が重要です。
実務では、AI作業用のリポジトリや作業コピーを作り、本番環境の認証情報や顧客データを置かないことが基本です。さらに、commit前に差分を見て、secret scanningやテストを通し、PRで人間が確認します。Security Guidanceはその流れの中に入れる補助レイヤーです。
導入手順は小さく始める
Security Guidanceを導入するときは、いきなり全社ルールにしようとせず、まず1つのプロジェクトで試すのが現実的です。AIがよく触るリポジトリを選び、危険な操作、秘密情報、外部通信、認証まわりのルールを短く書き出します。最初から完璧なルールを作るより、実際に出た指摘を見ながら改善する方が続きます。
次に、チームで「AIに任せてよいこと」と「必ず人間が見ること」を分けます。テスト修正や文言修正はAIに任せやすいですが、認証、決済、顧客データ、権限変更、本番反映は人間確認を必須にします。これをCLAUDE.mdやプロジェクトの運用メモに書いておくと、毎回の指示が安定します。
Security Guidance pluginを入れる場合も、指摘が出たらすべて正しいと決めつけないことが大切です。セキュリティレビューには誤検知もあります。だからこそ、なぜ危険なのか、どの条件なら問題になるのか、修正によって機能が壊れないかを確認します。
最後に、CIやGitHubの保護設定と組み合わせます。AIが作業中に気づく仕組み、push前に止める仕組み、PRでレビューする仕組みを重ねることで、1つのチェックに依存しない運用になります。AI開発では速度が上がるほど、後からまとめて見るのではなく、途中で止める仕組みが重要です。
実務で活かすための次アクション
この記事のテーマであるClaude Codeの安全運用は、読んで理解するだけでは十分ではありません。AI関連の情報は変化が速いため、自分や自社の業務にどう影響するかまで落とし込む必要があります。ニュースやモデル名を覚えるより、どの判断を変えるべきかを確認することが重要です。
まず、AIに許可する作業範囲、危険操作、秘密情報の扱い、レビュー必須領域をプロジェクト内に明記します。この段階では完璧なルールや大規模な導入計画は不要です。小さく現状を把握し、どこに依存があり、どこにリスクがあり、どこならすぐ改善できるかを見える化します。
次に、Security Guidance、secret scanning、push protection、PRレビューを組み合わせて多層化します。AIツールは便利ですが、性能、料金、セキュリティ、運用負荷のどれか一つだけで判断すると失敗しやすくなります。導入判断は、実際の業務サンプルと運用条件を使って行うのが安全です。
最後に、AIが変更したworkflow、認証、権限、外部通信、MCP設定を重点的に確認します。一度決めたAI運用は固定ではありません。モデル、料金、規制、ツール連携、社内利用状況が変わるため、定期的に見直す前提で運用すると、AIの変化に振り回されにくくなります。
読後のチェックとして、この記事の内容をそのまま社内ルールにするのではなく、自社の業務、扱うデータ、担当者のスキル、予算、リスク許容度に合わせて調整してください。AI活用では、一般論を知ることより、自分たちの運用に翻訳することが成果につながります。
必要に応じて、この記事を社内メモやチェックリストに分解し、担当者、確認頻度、判断基準まで落とすと実行しやすくなります。
よくある質問
Claude CodeのSecurity Guidanceだけで安全になりますか?
なりません。Security Guidanceは早期検知の層です。権限管理、secret scanning、CI、PRレビュー、人間の確認と組み合わせる必要があります。
非エンジニアでもまず何をやればいいですか?
作業フォルダを限定し、APIキーや.envを置かず、危険な操作は確認を挟むことから始めてください。そのうえでSecurity Guidance pluginのようなチェックを追加します。
MCPは使わない方がいいですか?
MCP自体を避ける必要はありません。ただし、接続先と権限を理解せずに追加するのは危険です。業務では信頼できるMCPだけを最小権限で使うのが基本です。


