Claude Code を触っていて、「AIが勝手に書いたコードに、地雷が混じってないか心配」と感じたことはありませんか？

2026年5月26日に Anthropic から公開された security-guidance は、その不安に正面から答える公式のセキュリティ系プラグインです

この記事では、Claude Code Desktop を使い始めた方〜慣れてきた方向けに、security-guidance が何をしてくれて、どう入れて、どう使えばいいのかを一通り解説します

ついでに、このプラグインだけでは守りきれない部分をどう補うか(deny リスト・自動モード・MCP の注意点など)も横展開で触れます

Claude Code のセキュリティ全体像はClaude Code Desktop 初心者向けセキュリティ5選、プラグインを支える土台はClaude Code 拡張機構入門でも扱っているので、合わせて読むと位置づけが立体的になります

そもそも security-guidance って何のプラグイン？

ざっくり言うと、Claude がコードを書いた瞬間に、その内容を別の Claude がセキュリティ目線でレビューしてくれる仕組みです

もう少し正確に言うと、Claude Code には「プラグイン」と呼ばれる拡張パッケージの仕組みがあり、その公式マーケットプレイス claude-plugins-official に並んでいる中の1つが security-guidance です

大事なポイントは次の3つです

• Anthropic 公式のプラグインなので、出どころの安心感が大きい
• 無料・全プラン対応、課金プランでなくても使える
• 導入後は裏で勝手に動く、毎回コマンドを打つ必要はない

公開直後から大きな注目を集め、Claude にコードを書かせる人ほど効きやすい性質のプラグインとして広く紹介されています

何ができる？ 3層のレビューでコードを見張る

security-guidance が偉いのは、3つのタイミングで深さの違うレビューを走らせてくれるところです

レイヤー1:ファイルに書き込んだ瞬間のパターン照合

Claude がファイルを編集するたびに、「危ない書き方」が含まれていないかを高速チェックします

ここは AI の追加呼び出しを伴わない、いわゆる文字列マッチによる照合なので、余分な利用料金は発生しません

「ファイルが書かれたら、その内容を辞書と突き合わせて怪しい言葉が出てきたら警告する」というイメージです

レイヤー2:ターンの終わりにまとめてレビュー

Claude が「はい、ここまでで一区切りです」と返した瞬間、そのターンで変わったファイルをまとめて 別の Claude にセキュリティレビューさせる動きが入ります

ここで言う ターンとは、こちらが1回メッセージを送って、Claude が動いて返事して、その応答が終わるまでの1往復のことです

このレイヤーは、文字列マッチでは見抜けない 権限まわりの抜け穴・脆弱な暗号化・想定外の入力経路みたいな話を拾ってくれます

裏で動くため、Claude の返答自体は遅くなりません、見つかった指摘は次の応答で「ここ直しておきますね」と本人(Claude)が修正してくれるイメージです

レイヤー3:コミットの直前にじっくりレビュー

Claude が git commit や git push を実行しようとしたタイミングでも、もう一段深いレビューが走ります

このレベルになると周辺コード(呼び出し元・サニタイズ処理など)まで読んだ上で「これは実際にヤバいやつ」か「文脈上は安全」かを判定してくれます

このおかげで 「形だけ見ると危なそうだけど、実は文脈的に大丈夫なコード」を誤検出しすぎないように調整されています

どんな脆弱性パターンを見つけてくれる？

レイヤー1(ファイル編集時)で照合される代表的なパターンを、噛み砕いて紹介します

専門用語が多めなので、それぞれ「要は何が問題なのか」をセットで書きます

eval() や new Function() :「文字列を実行コードにしてしまう」系

JavaScript の eval() や new Function() は、文字列をそのままプログラムとして実行する関数です

つまり、外部から渡された文字列がうっかり混ざると、悪意のあるコードがそのまま動いてしまう恐れがあります

child_process.exec() や os.system() :「コマンドをそのまま投げる」系

Node.js の child_process.exec() や Python の os.system() は、シェル(=Windowsで言うコマンドプロンプト的なもの)に命令文を渡す関数です

ユーザーが入力した値をそのまま結合してしまうと、想定外のコマンドが任意に実行される事態になります、いわゆるコマンドインジェクションです

dangerouslySetInnerHTML や innerHTML :「画面表示がそのまま乗っ取られる」系

React の dangerouslySetInnerHTML や、素の JavaScript の .innerHTML = は、HTML を直接埋め込む書き方です

ここに ユーザーが入力した文字列をそのまま入れると、スクリプトタグごと埋め込めてしまう=いわゆる XSS(クロスサイトスクリプティング)の温床になります

pickle :「保存したデータを読むだけのつもりが、コードまで動く」系

Python の pickle は、データを丸ごとファイルに保存して、後で読み戻すための仕組みです

便利な反面、信頼できないファイルを pickle で読み込むと、読み込み処理の中で任意のコードが実行される設計になっています、外部から受け取ったファイルを pickle で開くのは原則として避けるのがおすすめです

.github/workflows/ 配下の編集 :「GitHub Actions の権限を握る」系

GitHub Actions の設定ファイル(.github/workflows/ 配下の YAML)は、ビルドやデプロイの自動化を定義する場所です

ここを書き換えられると リポジトリ単位の権限を握られることになるので、Claude が触ろうとしたら一律で注意喚起されます

ほかにも document.write などの古い書き方をはじめ、いくつかの代表的な落とし穴に反応するようになっています

導入方法 Desktop ユーザーの最短ルート

Claude Code Desktop での導入は、3ステップで終わるかんたんさです

Desktop の「プラグイン」サブメニューは シンプルな作りで、上にインストール済みプラグインが並び、下に 「プラグインを管理」(歯車アイコン)と 「＋ プラグインを追加」のボタンがあるレイアウトです、迷う要素はあまりないので、追加のボタンから順に進めば security-guidance が一覧に並びます

使ってみるとどう動く？ 実際の見え方

導入直後は、基本的に 普段どおりに Claude を使うだけでかまいません

「コードを書いて」「ここを直して」とお願いしている裏で、上で説明した3層レビューが勝手に走っている感じです

レビューで何か見つかった時の会話の流れ

たとえば Claude が JavaScript で eval() を含むコードを書いたとします

すると次のターンの冒頭で Claude が 「security-guidance から指摘が来ました、eval は危ないのでこちらの書き方に直しますね」のような前置きと一緒に、安全な実装に書き換えてくれます

こちらが「セキュリティチェックして」と頼まなくても、コードに変更があった時点でレビューが走るのがこのプラグインの一番の旨味です

プロジェクト固有のルールも足せる

「うちのアプリでは admin ルートには原則として権限チェックを入れたい」みたいな プロジェクト固有のルールも、追加で食わせられます

プロジェクト直下に .claude/claude-security-guidance.md という Markdown を置き、普段の日本語で「これは NG」「ここは原則として通す」と書いておけば、レビュー時に追加のお作法として参照してくれます

そのほか、決まった文字列(例:本番用 API キーの先頭文字列)を機械的に検出したいときは .claude/security-patterns.yaml に独自の正規表現を書く手もあります

ファイル形式の細かい仕様(YAML スキーマ・JSON 形式での代替・User / Project / Project local の3階層での探索順など)は Anthropic 公式ドキュメントのAdd your own rulesセクションに一次情報がまとまっているので、独自ルールを本気で書き込むときはそちらが正本になります

他の安全対策と組み合わせる プラグイン以外の打ち手

security-guidance は強力ですが、これ単体で Claude Code のセキュリティが完成する訳ではありません

あくまで「書いた瞬間に一次レビューを挟む」というレイヤーなので、それと並行して整えておきたい安全策を横並びで紹介します

settings.json の deny リストで「触らせない」枠を作る

Claude Code には settings.json という設定ファイルがあり、ここに「触ったらアウトのファイル」を列挙できます

具体的には permissions.deny セクションで、見られたくない・書き換えてほしくないパスを指定する形です

最低限デフォルトで入れておきたいのは次のあたりです

• .env 系(APIキー・パスワードがよく入っているファイル)
• .pem .key(SSL 証明書・秘密鍵)
• id_rsa(SSH の秘密鍵)
• credentials.json(各種クラウドサービスの認証情報)

イメージとしては次のような書き方になります

{
  "permissions": {
    "deny": [
      "Read(./**/.env)",
      "Read(./**/*.pem)",
      "Read(./**/*.key)",
      "Read(./**/id_rsa)",
      "Read(./**/credentials.json)"
    ]
  }
}

これにより、security-guidance が 「書いた後」にレビューするのに対し、deny リストは 「そもそも触らせない」側のガードを担当します、役割が違うのでセットで使うと安心感が増します

「自動モード」と「許可をバイパス」は別物

Claude Code Desktop の挙動モードでよく混同されるのが、「自動モード」と「許可をバイパス」の2つです

名前が似ていて紛らわしいですが、中身はまるで違います

respectGitignore で .gitignore のファイルを除外する

地味に効くのが respectGitignore: true という公式オプションです

これを settings.json に入れておくと、プロジェクトの .gitignore に書かれているファイルが、そのまま Claude のファイル選択画面からも除外されます

.gitignore は 「Git に管理してほしくない=GitHub にもアップしないでほしい」リストで、もともと .env や ビルド成果物などが入っていることが多いので、それがそのまま Claude の対象外になるのはありがたい挙動です

MCP サーバーを入れる時の確認ポイント

もう1つ、忘れずに整えておきたいのが MCP 関連の確認です

MCP(Model Context Protocol)は、Claude に外部ツールやデータベースを使わせるための仕組みですが、MCP サーバーやプラグインはあなたの権限で任意のコードを実行できる高信頼コンポーネントです

つまり、出どころが怪しい MCP サーバーを入れるのは、得体のしれないソフトをインストールするのと変わりません

• 公式・有名なソース(Anthropic・大手 OSS プロジェクト)からのみ入れる
• 説明文だけで判断せず、READMEやコードに目を通す
• 必要が無くなった MCP サーバーは早めに無効化する

security-guidance 自体は Anthropic 公式なので信頼性の面で気にする必要はありませんが、「プラグインや MCP は全部安心」と勘違いしないのが大事です

このあたりの基本設計はClaude Code 設定ファイル早見表で全体像を整理しているので、深掘りしたい方はそちらもどうぞ

期待しすぎないこと プラグインの限界

ここまで読むと「もう security-guidance を入れておけば安心」と思いたくなりますが、過信は禁物です

正直に言うと、このプラグインは 「コードを書く瞬間によくあるパターンを止める」レイヤーであって、セキュリティ対策のすべてを引き受けてくれる訳ではありません

設計や仕様レベルの脆弱性は別途レビューが要る

例えば「そもそも認証フローがおかしい」「権限の設計が甘い」みたいな話は、文字列マッチでは見つかりません

ターン終了時やコミット時のレビューでは多少ひっかかる可能性はあるものの、設計や仕様レベルの問題は人間のコードレビューや設計レビューで拾うのが原則です

依存ライブラリの脆弱性は対象外

あなたが書いたコード自体は問題なくても、使っているライブラリに脆弱性があったというケースは多々あります

これは security-guidance のスコープ外で、別途 npm audit や Dependabot のような 依存関係チェックの仕組みを並走させるのが現実的です

レビュワーAIも見落とす

レイヤー2・3で動くレビュー側の Claude も、人間と同じく見落とすことがあります

「プラグインが何も言わないから安全」は思考停止のサインです、最終的にはコードを読む(=人間がレビューする)習慣も並行して持っておくのが望ましいです

内部にある上限とモデル設定も知っておく

もう少し細かい話として、レビューには 上限が設けられています、知っておくと「あれ動いてない?」となったときに切り分けやすいです

• ターン終了時のレビューは 1ターン最大30ファイルまで、しかも連続3回までで一旦止まります
• コミット時のレビューは 1時間に20回まで、それを超えると一時的に走らなくなります

大量変更や連続 commit を続けると、全部はカバーしきれないというのを頭の片隅に置いておくと安全です

初心者向けおすすめ運用フロー

「結局、何からやればいいの？」という方向けに、最初に押さえるステップを順に並べておきます

このあたりまで整えると、security-guidance を含めた多層の守りがだいぶ立体的になります

よくある質問(FAQ)

まとめ プラグイン1つで完結はしないけど、入れる価値は十分

security-guidance は、Claude にコードを書かせるなら入れない理由がほぼ無いくらいに気軽に導入できる公式プラグインです

大事なポイントをおさらいします

• Anthropic 公式・無料・全プラン対応、入れない理由はほぼ無い
• 3層レビュー(編集時・ターン終了時・コミット時)で多角的にチェック
• eval / 外部コマンド / XSS / pickle / GitHub Actions など典型的な落とし穴を拾う
• 書き込みを止める訳ではない、Claude にレビュー結果を渡して直してもらう設計
• deny リスト・自動モード・respectGitignore と組み合わせて多層防御に
• 設計・依存ライブラリ・未知の脆弱性は対象外なので過信しない

個人的には、「ちゃんと整えれば、Claude にコードを任せても怖くないラインまで来た」と感じます

Claude Code の安全策を一通り整理したい方はClaude Code Desktop 初心者向けセキュリティ5選、プラグインまわりの土台が気になる方はClaude Code 拡張機構入門、設定ファイルの全体像はClaude Code 設定ファイル早見表もどうぞ

security-guidance を入れたうえで、deny を整えて、自動モードで使う、この3点を押さえておくと、Claude Code との付き合い方がぐっと安心側に寄ります

Claude・生成AIを学べる本PR

面倒なことはChatGPTにやらせよう

カレーちゃん・からあげ

Amazonで見る楽天で見る

実践Claude Code入門

西見公宏・吉田真吾・大嶋勇樹

Amazonで見る楽天で見る

Claude CodeによるAI駆動開発入門

平川知秀

Amazonで見る楽天で見る

私のおすすめからランダムで3冊を表示しています

Claude Code Desktopを使い始めて何記事か触っているうちに、「もっと自動化したい」「設定を整理したい」「ファイル操作を任せる範囲を絞りたい」みたいなことを考え始めますよね

そこから先に進むには 「拡張機構」と呼ばれる仕組みを理解しておくと、できることの幅が一気に広がります

この記事では、Claude Codeに慣れてきた中級者向けに 拡張機構の4本柱(Skills・MCP・Hooks・Subagents)と、その土台になる「ハーネス」という概念を体系的に解説します

応用編では各機能の具体的なテクニックや、CLAUDE.md・Permissions・Worktreesといった日常運用で効いてくる設定を扱う予定なので、まずはこの基礎編で全体像を押さえてもらえると嬉しいです

Claudeの基本的な使い方はClaudeの使い方を初心者向けに解説した記事、AI周辺の用語はClaudeを始める前に知っておきたい用語集でまとめているので、初学者の方はそちらから入るのがスムーズです

そもそも「ハーネス」って何

Claude Code関連の記事を読んでいると、最近 「ハーネス」(harness)という言葉をよく見るようになりました、聞き慣れない単語ですよね

LLM(脳)とハーネス(体・道具・記憶)

Claude本体は厳密にいうと LLM(大規模言語モデル)というテキストを生成するだけのモデルです、ファイルを読んだり、コマンドを実行したり、記憶を保持したりする機能は本体にはありません

それなのにClaude Codeが「ファイルを操作する」「コマンドを実行する」「設定を覚える」みたいな振る舞いができるのは、本体の周りに『体・道具・記憶』に相当するソフトウェア層が組まれているからです、これが「ハーネス」と呼ばれているものになります

例えるなら次のような関係性です

このうち 「脳」以外のすべてがハーネスです、つまり実は Claude Codeのコードの大半はLLMの中身ではなく、このハーネス側にあることになります

だからカスタマイズの自由度が高い

ここが中級者にとって重要な視点で、ハーネス側はユーザーが書き換えられる部分が多いです

LLM本体(Claudeの賢さ)はAnthropicが訓練したものをそのまま使うしかありませんが、周辺のハーネスは settings.json や Skills・Hooks・MCPサーバーなどで 自分の使い方に合わせて自由に拡張できる設計になっています

つまり「Claude Codeをもっと使いこなしたい」というのは ハーネス側をどう構築するかの話とほぼ同義です、ここから先で扱う4本柱はすべてこのハーネス層の構成要素になります

ハーネスエンジニアリングって何

ハーネスを 「設計・構築・最適化する取り組み全般」を ハーネスエンジニアリングと呼びます

Anthropic公式や業界でもよく出てくる用語で、最近は prompt engineering(プロンプトエンジニアリング)から harness engineering へと重心が移ってきている流れがあります

両者の違いをざっくり整理すると次のようになります

ハーネスエンジニアリングが扱う主な範囲はこんな感じです

• 権限ポリシー設計(permissions.deny / allow / askの構造、4階層の使い分け)
• コンテキスト管理戦略(CLAUDE.mdの階層化、auto-compactタイミング設計、Memory運用)
• ツール選定と制限(allow-tools、Subagentごとの権限分離、危険コマンドのdeny)
• 拡張機構の設計(Skills / Hooks / MCP / Subagents の組み合わせ)
• エラー復旧・隔離(worktreeでの隔離戦略、失敗時の挙動設計)
• ロングランニング設計(複数セッションをまたぐタスクのcontext reset、引き継ぎファイル設計)
• 観測・ロギング(エージェントが何をしたかの記録、PostToolUseでのログ出力)

つまりこの記事で紹介している 4本柱の話もすべてハーネスエンジニアリングの構成要素になります

参考までに、Claude Codeのコードベース分析(2026年)では 「AI判定ロジック1.6% / ハーネス層98.4%」というデータもあって、Claude Code自体がハーネスエンジニアリングの結晶みたいな存在になっています

「もっと使いこなしたい」と感じたら、この記事で扱う拡張機構を組み合わせて自分用のハーネスを設計していくフェーズに入ったということになります

拡張機構の4本柱

Claude Codeのハーネスを拡張する仕組みは、現時点で大きく4つあります

1. Skills:再利用可能な指示パターンをまとめる
2. MCP:外部サービスと連携するための共通規格
3. Hooks:イベント発生時に自動でスクリプトを走らせる
4. Subagents:タスクを隔離した別エージェントに委譲する

それぞれが 「困りごと」の解決手段として性格が違うので、ここから1つずつ役割を整理していきます

Skills:再利用可能な指示パターン

Skillsは「よく使うプロンプト指示をテンプレート化して、Claudeに覚えさせる」仕組みです

毎回「コミットメッセージを書くときは○○のフォーマットで、こういう観点で…」と説明するのは面倒、でも一度Skillとして登録しておけば、Claudeがその場面を察知して自動で呼び出してくれたり、こちらから /コマンド名 で呼び出せたりします

ファイルの置き場所は次の2か所

• ~/.claude/skills/<skill-name>/SKILL.md(全プロジェクト共通の個人スキル)
• .claude/skills/<skill-name>/SKILL.md(プロジェクト固有、Gitで共有可)

SKILL.mdの基本構造はこんな感じです

---
name: commit-message
description: Gitのコミットメッセージを書くときに呼び出すスキル。conventional commits形式で、件名と本文を生成
when_to_use: Gitコミット、コミットメッセージ作成、commit
allow-tools: Bash(git diff *) Bash(git status)
user-invocable: true
---

# コミットメッセージ生成スキル

差分を確認した上で、次のルールでコミットメッセージを書いてください

- 件名は50字以内、英語または日本語
- conventional commits形式(feat / fix / docs / chore など)
- 本文は「なぜこの変更が必要だったか」を1〜2文で
- 文末に署名を入れない

トリガー方法の3パターン

Skillsは どうやって発動するかで3つのパターンがあります

自動トリガーを効かせるには description フィールドの書き方が重要で、「いつ使うべきか」を具体的なキーワード付きで書いておくとClaudeの判断精度が上がります

Skillsを使うメリット

• 同じ指示を毎回書かなくて済む(プロンプトの肥大化を防げる)
• チームで共有できる(プロジェクトのSkillsをGit管理)
• スキル単位でツール権限を絞れる(allow-toolsで限定)
• 引数を取れるので汎用的なテンプレートが作れる

個人的にはClaude Codeの4本柱のうち 一番気軽に作り始められるのがSkillsで、Markdownを書くだけで作れるので習作に最適です

MCP:外部サービス連携の共通規格

MCP(Model Context Protocol)は、Claudeが外部のサービスやデータベースとやり取りするための 共通言語です

これがなかった頃は、AIに「WordPressを操作させる」「GitHubのissueを読ませる」みたいなことをやろうとすると、それぞれのサービスごとに 個別のつなぎ込みコードを書く必要がありました

MCPは そのつなぎ込みのインターフェース部分を標準化したものです、MCPに対応した「MCPサーバー」を1個用意すれば、Claudeから自由にその外部サービスを呼び出せるようになります

公式コネクタ vs 自作MCPサーバー

MCPの活用には大きく2つのアプローチがあります

中級者がまず触るなら 公式コネクタからがおすすめ、設定画面からON/OFFするだけで使えます

そこから先「自分のWordPressと連携したい」「社内システムと繋ぎたい」となったら自作MCPサーバーの出番です

MCPが解決する課題

• 「ChatGPT版」「Claude版」みたいに AIごとに連携コードを書き直さなくていい(MCP対応サーバーは複数AIで共通利用可)
• 認証(APIキー・OAuth)の扱いが標準化されている
• ツールの一覧表示・呼び出しも自動で処理される

2026年現在、AIエージェント業界の標準規格として急速に広がっていて、これからますます重要になる仕組みです

Hooks:イベント駆動の自動化

Hooksは、Claudeが何かをするタイミング(イベント)に合わせて 自動でスクリプトを実行する仕組みです

SkillsやCLAUDE.mdが「Claudeにお願いする」性格の機構なのに対して、Hooksは 機械的に発動するのが大きな違いになります、「Claudeの判断に任せず、確実に毎回走らせたい処理」がある場合に効きます

主要なHookイベント

とくに PreToolUse は 危険コマンドの最終防衛線として使えるので、中級者なら覚えておきたいイベントです

設定例:rm -rf を見つけたら強制ブロック

例えば settings.json のdenyリストだけでは不安なので「実行直前に二重チェックして、危ない場合は通知も出したい」みたいなケースで使います

{
  "hooks": {
    "PreToolUse": [
      {
        "matcher": "Bash",
        "hooks": [
          {
            "type": "command",
            "command": "~/.claude/hooks/block-dangerous.sh"
          }
        ]
      }
    ]
  }
}

呼び出されるシェルスクリプトの最小例はこんな感じ

#!/bin/bash
INPUT=$(cat)
CMD=$(echo "$INPUT" | jq -r '.tool_input.command')

if echo "$CMD" | grep -qE 'rm -rf|DROP TABLE'; then
  jq -n '{
    hookSpecificOutput: {
      hookEventName: "PreToolUse",
      permissionDecision: "deny",
      permissionDecisionReason: "危険コマンドをHookでブロックしました"
    }
  }'
fi
exit 0

Hookは exit code とJSON出力の組み合わせで「許可/拒否/警告だけ」を制御できる仕組みになっていて、ここの設計が地味に奥深いです

SkillsとHooksの違い

初心者が混乱しがちなのが「SkillsとHooksってどう違うの?」という点なので整理しておきます

Subagents:隔離コンテキストでの委譲

Subagents(サブエージェント)は、メインのClaudeセッションから 別のコンテキストを持つClaudeにタスクを委譲する仕組みです

たとえば「ファイルを50個調査して、関連箇所をまとめて」みたいな重いタスクを、メインの会話に直接やらせると コンテキストウィンドウが調査ログで埋まってしまう問題があります

これをSubagentに任せれば、メインのコンテキストはきれいなまま、結果サマリーだけを受け取れます

AGENT.mdの基本構造

Subagentの定義ファイルは .claude/agents/<agent-name>/AGENT.md に置きます

---
name: code-researcher
description: 大規模リポジトリの調査用エージェント、関連ファイル特定と概要把握を担当
tools: Read Grep Glob Bash(rg *)
model: claude-sonnet
maxTurns: 30
permissionMode: ask
isolation: worktree
---

あなたはコード調査の専門エージェントです

ユーザーから渡されたテーマに沿って、リポジトリ内の関連ファイル・関数・モジュールを特定し
最後に「どこに何があるか」のサマリーをMarkdownで返してください

ファイル変更や書き込みは行わず、読み取り専用で動作してください

主要なフィールド

Subagentsの典型ユースケース

• リサーチタスク:大量ファイルから関連箇所を抽出
• コードレビュー:セキュリティ・パフォーマンスを別の視点で並行チェック
• テスト実行:長時間かかるテストを別エージェントに任せて、メインは設計を続行
• 並列実装:複数モジュールを別エージェントで同時実装

注意点として、Subagentは親のSkillsを継承しない仕様です、必要なSkillはAGENT.mdの中で明示的にプリロードする必要があります

4本柱の使い分けマップ

ここまで4つの拡張機構を見てきましたが、 どの場面でどれを使うかを整理するとこんな感じになります

同じ「自動化したい」というニーズでも、「Claudeの判断を信頼する」のがSkills、「機械的に処理させる」のがHooks、という対称関係を覚えておくと選びやすくなります

同様に 「メイン会話内で完結させる」のが標準、「コンテキストを分けたい」のがSubagents、「Claude内で完結」のが標準、「外部とつなぐ」のがMCP、と対比で覚えると整理しやすいです

最初の一歩|まず作ってみるなら

4本柱を一気に覚えるのは大変なので、それぞれ 「習作として最初に作るならこれ」というお題を1つずつ紹介します

Skills:コミットメッセージ生成スキル

上で例示したような commit-message スキルが Skills入門に最適です

毎回作業しているうちに「commitメッセージこんな感じで書きたい」という個人の好みが見えてくるので、それをそのままMarkdownに書き出すだけで形になります、5分くらいで完成します

MCP:公式コネクタを1つ試す

自作MCPはハードルが高めなので、まずは 公式コネクタを1つ有効化してみるのがおすすめ

Google Drive・GitHub・Notion など、自分が日常的に使っているサービスのコネクタを設定画面から有効にして、Claude経由でファイル一覧を取ったり検索したりする体験から始めるとMCPの便利さが実感できます

Hooks:危険コマンド通知だけのHook

いきなり複雑なHookを書くより、「危険コマンドを実行しようとしたらデスクトップ通知を出すだけ」みたいな最小Hookから入るのが分かりやすいです

Windowsなら msg、Macなら osascript、シェルスクリプトの記述方法もコピペできるものが多いので、最初の壁は高くありません

Subagents:リサーチ専用エージェント

「リサーチタスク用に tools を Read Grep Glob だけに絞った専用エージェント」を作るのが、Subagentsの威力を体感する最短ルートです

大きめリポジトリで「○○の実装どこにある?」みたいな調査をするとき、メインで進めるのとSubagentに任せるのとで、コンテキスト消費量の違いに驚くと思います

まとめ|拡張機構を押さえると見える世界

長くなりましたが、ポイントをぎゅっと整理するとこんな感じです

1. Claude Codeの大半は 「ハーネス」と呼ばれる周辺ソフトウェア層、ここをいじれるのがカスタマイズの幅
2. 拡張機構は4本柱:Skills(再利用指示)・MCP(外部連携)・Hooks(機械的自動化)・Subagents(隔離委譲)
3. 同じ「自動化」でも Claudeに判断させるのがSkills、機械的に発動させるのがHooksという対称関係
4. 同じ「処理委譲」でも 外部と繋ぐのがMCP、コンテキスト分離するのがSubagentsという対称関係
5. 慣れるまでは Skillsから入るのが最も気軽、Markdown1ファイルで始められる

この基礎編で4本柱の見取り図ができたので、応用編では CLAUDE.mdの深掘り・Memory管理・Permissions応用・Worktreesでの並列開発など、日常運用で効いてくる中級者向けテクニックを掘り下げる予定です

各拡張機構の個別深掘り(Skillsだけで1記事、MCPだけで1記事、というレベル)も今後 順次まとめていく予定なので、興味のある分野があれば追っかけてもらえると嬉しいです

初心者向けの周辺記事として、Claudeの使い方を初心者向けに解説した記事、Claudeを始める前に知っておきたい用語集、Claude Code Desktop初心者向けセキュリティ5選も合わせてどうぞ

Claude・生成AIを学べる本PR

面倒なことはChatGPTにやらせよう

カレーちゃん・からあげ

Amazonで見る楽天で見る

実践Claude Code入門

西見公宏・吉田真吾・大嶋勇樹

Amazonで見る楽天で見る

Claude CodeによるAI駆動開発入門

平川知秀

Amazonで見る楽天で見る

私のおすすめからランダムで3冊を表示しています