Claude Code セキュリティプラグインが全プランで無料提供——コードを書きながら脆弱性を自動検出する3層レビュー

2026年5月26日、Anthropicの公式開発者アカウント @ClaudeDevs が、Claude Code 向けのセキュリティプラグイン「security-guidance」を全プランのユーザーへ無償提供することを発表しました。コードを書いている最中に脆弱性を検出し、同じセッション内で修正まで完結する仕組みが特徴です。プルリクエスト到達前に問題を潰すことで、コードレビューの負担を減らす「シフトレフト型」のアプローチです。

security-guidance プラグインとは

security-guidance は、Claude Code が行ったコード変更を Claude 自身がセキュリティ視点でレビューし、問題を見つけたら同セッション内で修正する仕組みです。Anthropicが公式管理するプラグインディレクトリ「claude-plugins-official」からインストールするため、サードパーティプラグインではなく Anthropic 公式のプラグインです。

特徴的なのは「自動で動く」点です。インストール後は特別なコマンドを毎回叩く必要がなく、Claude Code がコードを書くたびにバックグラウンドでレビューが走ります。開発フローを変えずにセキュリティチェックを組み込めます。

3段階の自動レビュー：深さと速さのバランス設計

このプラグインが特徴的なのは、チェックの「深さ」が3段階に分かれている点です。速いが浅い処理から、遅いが深い処理へと自動的にエスカレーションする設計で、コスト効率と検出精度を両立しています。

第1層：ファイル編集ごとのパターンマッチ（コスト：ゼロ）

Claude がファイルを書き込むたびに、モデル呼び出しなしの高速な正規表現マッチングが走ります。危険なパターンが見つかると、その警告を Claude のコンテキストに追記し、次のアクションで対処を促します。同一ファイルの同一パターンは1セッション1回のみ発火するため、同じ警告で会話が埋まることはありません。

• 動的コード実行：eval()、new Function()、os.system()、child_process.exec()
• 安全でないデシリアライズ：pickle
• DOM インジェクション：dangerouslySetInnerHTML、.innerHTML =、document.write()
• ワークフローファイルの変更：.github/workflows/ 配下への編集（リポジトリ権限を付与しうるため）

第2層：ターン終了時のdiffレビュー（バックグラウンド実行）

「ターン」とはユーザーが1回メッセージを送り Claude が応答を完了するまでの単位です。ターン終了後、そのターンで変更されたすべてのファイルの git diff をまとめて、別の Claude Opus 4.7 インスタンスがセキュリティ視点でレビューします。コードを書いた Claude とは別のモデル呼び出しのため、自分が書いたコードを自分で採点するバイアスがかかりません。

レビューはバックグラウンド実行なので Claude の応答速度には影響しません。問題が見つかった場合、Claude は自動的に再プロンプトされ、同セッション内で修正まで完結します。1ターンで最大30ファイル、連続発火は最大3回までに制限されており、意図せずループしない設計です。

• 認可バイパス：本来アクセスできないリソースへのアクセスパス
• 安全でない直接オブジェクト参照（IDOR）：ユーザーIDやリソースIDの検証不足
• インジェクション：SQLインジェクション、コマンドインジェクションなど
• サーバーサイドリクエストフォージェリ（SSRF）：内部サービスへの意図しないリクエスト
• 弱い暗号化：非推奨アルゴリズムの使用

第3層：コミット・プッシュ時のエージェント型レビュー（最も深い）

Claude が Bash ツールを通じて git commit または git push を実行すると、変更だけでなく関連するコードパス・呼び出し元・サニタイザー・周辺ファイルまで読み込む、より深いエージェント型レビューがバックグラウンドで走ります。コンテキストを広げて読むことで、「孤立して見ると危険だが、実際のコードベースでは安全」なパターンを正確に判定し、誤検知（フォールスポジティブ）を抑えます。

インストール方法

以下の前提条件を満たしていれば、Claude Code セッション内でワンコマンドでインストールできます。

• Claude Code CLI バージョン 2.1.144 以降
• Python 3.8 以降（python3、python、py -3 のいずれかが PATH に存在すること）
• git リポジトリ：第2・第3層レビューは git の状態をもとに動作します。リポジトリ外では第1層のパターンチェックのみ動作します

# Claude Code セッション内で実行
/plugin install security-guidance@claude-plugins-official
/reload-plugins

インストール後、スコープを選択するプロンプトが出ます。「ユーザースコープ」を選ぶと、そのマシンで起動するすべての Claude Code セッションで自動的にロードされます。初回実行時に ~/.claude/security/ 配下に Python 仮想環境を自動作成し、Claude Agent SDK をインストールします（pip とネットワークアクセスが必要）。

{
  "enabledPlugins": {
    "security-guidance@claude-plugins-official": true
  }
}

独自ルールで自社のセキュリティ基準を追加する

組み込みのチェックに加えて、プロジェクト固有のセキュリティルールを追加できます。2種類の拡張ポイントが用意されています。

モデルレビューへの追加指示（Markdownファイル）

.claude/claude-security-guidance.md を作成し、自然言語でセキュリティ基準を記述すると、第2・第3層のモデルレビューがその内容を追加コンテキストとして参照します。たとえば「/admin 配下のルートには必ず require_role("admin") を呼ぶ」「customer_id を INFO レベル以上でログに出力しない」といったプロジェクト固有のルールを組み込めます。ユーザースコープ（~/.claude/）、プロジェクトスコープ（.claude/）、ローカルスコープ（.claude/*.local.md）の3ヶ所に置けるため、組織全体の共通ルールと個人の追加ルールを分離して管理できます。

パターンマッチへの追加ルール（YAMLファイル）

.claude/security-patterns.yaml に正規表現またはサブストリングルールを追加すると、第1層のパターンチェックで検出されます。APIキーのプレフィックス（sk_live_、AKIA など）や、マルチテナントコードでのフィルタリング漏れ（例：.objects.all() の無制限呼び出し）など、ビジネスロジック固有のリスクを組み込むのに適しています。

patterns:
  - rule_name: internal_api_key
    substrings: ["sk_live_", "AKIA"]
    reminder: "ハードコードされたAPIキーです。シークレットマネージャーから読み込んでください。"
  - rule_name: tenant_unfiltered_query
    regex: "\.objects\.all\(\)"
    paths: ["**/src/tenants/**"]
    reminder: "マルチテナントコードでは org_id でフィルタリングしてください。"

組織全体への展開（チーム・Enterprise）

管理者は [マネージドセッティングス](/en/admin-setup) の enabledPlugins 設定で、組織内の全ユーザーに一括でプラグインを適用できます。個人がプラグインを無効化した場合、その設定はユーザーの .claude/settings.local.json に書かれるため、リポジトリの設定ファイルは変更されず他のメンバーには影響しません。

組織共通のセキュリティルール（.claude/claude-security-guidance.md）は、デバイス管理ツールで ~/.claude/ に配布することで、全メンバーのユーザースコープに適用できます。プロジェクト固有のルールはリポジトリの .claude/ に置いてコミットします。

他のセキュリティ対策との位置づけ

このプラグインはセキュリティの「入口」に位置します。AI時代のクラウドリスクとセキュリティ対策でも触れているように、コード生成 AI の導入とセキュリティ対策は同時に考える必要があります。Anthropicの公式ドキュメントでは、以下の多層防御スタックの中で位置づけを明示しています。

プラグインは「後工程に届く問題の量を減らす」ことを目的としており、CI・PRレビューの置き換えではありません。30〜40%のセキュリティ指摘削減という内部テスト結果も、PRレビューを廃止できるという意味ではなく、後段のレビュアーがより本質的な問題に集中できるようになる、という文脈で捉えるのが正確です。

おさらい：できることとできないこと

• できること：eval / pickle / DOM injection などの危険パターンをファイル編集時に即検出（モデル不要）
• できること：認可バイパス・IDOR・インジェクション・SSRF・弱い暗号などをターン終了後にdiff全体でチェック
• できること：コミット時に周辺コードまで読んだ深いエージェント型レビュー
• できること：Markdown や YAML でプロジェクト固有ルールを追加
• できること：.claude/settings.json 経由でリポジトリ全体・クラウドセッションへの適用
• できないこと：組み込みチェックを個別に無効化（全レイヤーの ON/OFF 切り替えは可能）
• できないこと：開発者自身が実行したコミットのスキャン（Claude の Bash ツール経由のコミットのみ対象）
• できないこと：完全なセキュリティ保証（多層防御の1レイヤーとして位置づける）

まとめ

Claude Code の security-guidance プラグインは、モデル不要の高速パターンチェック・バックグラウンドdiffレビュー・コミット時エージェントレビューという3層構成で、コーディングセッションにセキュリティチェックを埋め込みます。全プラン無償で提供され、ワンコマンドでインストールでき、既存の開発フローを変えずに導入できます。CI・PRレビューの完全な代替ではなく、「問題をできる限り早い段階で検出・修正し、後工程の負担を減らす」という位置づけです。なお、モデルレビューのトークン消費がプランの利用量に影響する点については、Claude Codeのレート制限ガイドも参考にしてください。

Claude Code をすでに利用しているチームであれば、今すぐセッションで /plugin install security-guidance@claude-plugins-official を実行するだけで試せます。チーム・Enterprise プランの管理者は、.claude/settings.json や managed settings を通じて組織全体に一括展開することも可能です。