Claude Code を触っていて、「AIが勝手に書いたコードに、地雷が混じってないか心配」と感じたことはありませんか？

2026年5月26日に Anthropic から公開された security-guidance は、その不安に正面から答える公式のセキュリティ系プラグインです

この記事では、Claude Code Desktop を使い始めた方〜慣れてきた方向けに、security-guidance が何をしてくれて、どう入れて、どう使えばいいのかを一通り解説します

ついでに、このプラグインだけでは守りきれない部分をどう補うか(deny リスト・自動モード・MCP の注意点など)も横展開で触れます

Claude Code のセキュリティ全体像はClaude Code Desktop 初心者向けセキュリティ5選、プラグインを支える土台はClaude Code 拡張機構入門でも扱っているので、合わせて読むと位置づけが立体的になります

そもそも security-guidance って何のプラグイン？

ざっくり言うと、Claude がコードを書いた瞬間に、その内容を別の Claude がセキュリティ目線でレビューしてくれる仕組みです

もう少し正確に言うと、Claude Code には「プラグイン」と呼ばれる拡張パッケージの仕組みがあり、その公式マーケットプレイス claude-plugins-official に並んでいる中の1つが security-guidance です

大事なポイントは次の3つです

• Anthropic 公式のプラグインなので、出どころの安心感が大きい
• 無料・全プラン対応、課金プランでなくても使える
• 導入後は裏で勝手に動く、毎回コマンドを打つ必要はない

公開直後から大きな注目を集め、Claude にコードを書かせる人ほど効きやすい性質のプラグインとして広く紹介されています

何ができる？ 3層のレビューでコードを見張る

security-guidance が偉いのは、3つのタイミングで深さの違うレビューを走らせてくれるところです

レイヤー1:ファイルに書き込んだ瞬間のパターン照合

Claude がファイルを編集するたびに、「危ない書き方」が含まれていないかを高速チェックします

ここは AI の追加呼び出しを伴わない、いわゆる文字列マッチによる照合なので、余分な利用料金は発生しません

「ファイルが書かれたら、その内容を辞書と突き合わせて怪しい言葉が出てきたら警告する」というイメージです

レイヤー2:ターンの終わりにまとめてレビュー

Claude が「はい、ここまでで一区切りです」と返した瞬間、そのターンで変わったファイルをまとめて 別の Claude にセキュリティレビューさせる動きが入ります

ここで言う ターンとは、こちらが1回メッセージを送って、Claude が動いて返事して、その応答が終わるまでの1往復のことです

このレイヤーは、文字列マッチでは見抜けない 権限まわりの抜け穴・脆弱な暗号化・想定外の入力経路みたいな話を拾ってくれます

裏で動くため、Claude の返答自体は遅くなりません、見つかった指摘は次の応答で「ここ直しておきますね」と本人(Claude)が修正してくれるイメージです

レイヤー3:コミットの直前にじっくりレビュー

Claude が git commit や git push を実行しようとしたタイミングでも、もう一段深いレビューが走ります

このレベルになると周辺コード(呼び出し元・サニタイズ処理など)まで読んだ上で「これは実際にヤバいやつ」か「文脈上は安全」かを判定してくれます

このおかげで 「形だけ見ると危なそうだけど、実は文脈的に大丈夫なコード」を誤検出しすぎないように調整されています

どんな脆弱性パターンを見つけてくれる？

レイヤー1(ファイル編集時)で照合される代表的なパターンを、噛み砕いて紹介します

専門用語が多めなので、それぞれ「要は何が問題なのか」をセットで書きます

eval() や new Function() :「文字列を実行コードにしてしまう」系

JavaScript の eval() や new Function() は、文字列をそのままプログラムとして実行する関数です

つまり、外部から渡された文字列がうっかり混ざると、悪意のあるコードがそのまま動いてしまう恐れがあります

child_process.exec() や os.system() :「コマンドをそのまま投げる」系

Node.js の child_process.exec() や Python の os.system() は、シェル(=Windowsで言うコマンドプロンプト的なもの)に命令文を渡す関数です

ユーザーが入力した値をそのまま結合してしまうと、想定外のコマンドが任意に実行される事態になります、いわゆるコマンドインジェクションです

dangerouslySetInnerHTML や innerHTML :「画面表示がそのまま乗っ取られる」系

React の dangerouslySetInnerHTML や、素の JavaScript の .innerHTML = は、HTML を直接埋め込む書き方です

ここに ユーザーが入力した文字列をそのまま入れると、スクリプトタグごと埋め込めてしまう=いわゆる XSS(クロスサイトスクリプティング)の温床になります

pickle :「保存したデータを読むだけのつもりが、コードまで動く」系

Python の pickle は、データを丸ごとファイルに保存して、後で読み戻すための仕組みです

便利な反面、信頼できないファイルを pickle で読み込むと、読み込み処理の中で任意のコードが実行される設計になっています、外部から受け取ったファイルを pickle で開くのは原則として避けるのがおすすめです

.github/workflows/ 配下の編集 :「GitHub Actions の権限を握る」系

GitHub Actions の設定ファイル(.github/workflows/ 配下の YAML)は、ビルドやデプロイの自動化を定義する場所です

ここを書き換えられると リポジトリ単位の権限を握られることになるので、Claude が触ろうとしたら一律で注意喚起されます

ほかにも document.write などの古い書き方をはじめ、いくつかの代表的な落とし穴に反応するようになっています

導入方法 Desktop ユーザーの最短ルート

Claude Code Desktop での導入は、3ステップで終わるかんたんさです

Desktop の「プラグイン」サブメニューは シンプルな作りで、上にインストール済みプラグインが並び、下に 「プラグインを管理」(歯車アイコン)と 「＋ プラグインを追加」のボタンがあるレイアウトです、迷う要素はあまりないので、追加のボタンから順に進めば security-guidance が一覧に並びます

使ってみるとどう動く？ 実際の見え方

導入直後は、基本的に 普段どおりに Claude を使うだけでかまいません

「コードを書いて」「ここを直して」とお願いしている裏で、上で説明した3層レビューが勝手に走っている感じです

レビューで何か見つかった時の会話の流れ

たとえば Claude が JavaScript で eval() を含むコードを書いたとします

すると次のターンの冒頭で Claude が 「security-guidance から指摘が来ました、eval は危ないのでこちらの書き方に直しますね」のような前置きと一緒に、安全な実装に書き換えてくれます

こちらが「セキュリティチェックして」と頼まなくても、コードに変更があった時点でレビューが走るのがこのプラグインの一番の旨味です

プロジェクト固有のルールも足せる

「うちのアプリでは admin ルートには原則として権限チェックを入れたい」みたいな プロジェクト固有のルールも、追加で食わせられます

プロジェクト直下に .claude/claude-security-guidance.md という Markdown を置き、普段の日本語で「これは NG」「ここは原則として通す」と書いておけば、レビュー時に追加のお作法として参照してくれます

そのほか、決まった文字列(例:本番用 API キーの先頭文字列)を機械的に検出したいときは .claude/security-patterns.yaml に独自の正規表現を書く手もあります

ファイル形式の細かい仕様(YAML スキーマ・JSON 形式での代替・User / Project / Project local の3階層での探索順など)は Anthropic 公式ドキュメントのAdd your own rulesセクションに一次情報がまとまっているので、独自ルールを本気で書き込むときはそちらが正本になります

他の安全対策と組み合わせる プラグイン以外の打ち手

security-guidance は強力ですが、これ単体で Claude Code のセキュリティが完成する訳ではありません

あくまで「書いた瞬間に一次レビューを挟む」というレイヤーなので、それと並行して整えておきたい安全策を横並びで紹介します

settings.json の deny リストで「触らせない」枠を作る

Claude Code には settings.json という設定ファイルがあり、ここに「触ったらアウトのファイル」を列挙できます

具体的には permissions.deny セクションで、見られたくない・書き換えてほしくないパスを指定する形です

最低限デフォルトで入れておきたいのは次のあたりです

• .env 系(APIキー・パスワードがよく入っているファイル)
• .pem .key(SSL 証明書・秘密鍵)
• id_rsa(SSH の秘密鍵)
• credentials.json(各種クラウドサービスの認証情報)

イメージとしては次のような書き方になります

{
  "permissions": {
    "deny": [
      "Read(./**/.env)",
      "Read(./**/*.pem)",
      "Read(./**/*.key)",
      "Read(./**/id_rsa)",
      "Read(./**/credentials.json)"
    ]
  }
}

これにより、security-guidance が 「書いた後」にレビューするのに対し、deny リストは 「そもそも触らせない」側のガードを担当します、役割が違うのでセットで使うと安心感が増します

「自動モード」と「許可をバイパス」は別物

Claude Code Desktop の挙動モードでよく混同されるのが、「自動モード」と「許可をバイパス」の2つです

名前が似ていて紛らわしいですが、中身はまるで違います

respectGitignore で .gitignore のファイルを除外する

地味に効くのが respectGitignore: true という公式オプションです

これを settings.json に入れておくと、プロジェクトの .gitignore に書かれているファイルが、そのまま Claude のファイル選択画面からも除外されます

.gitignore は 「Git に管理してほしくない=GitHub にもアップしないでほしい」リストで、もともと .env や ビルド成果物などが入っていることが多いので、それがそのまま Claude の対象外になるのはありがたい挙動です

MCP サーバーを入れる時の確認ポイント

もう1つ、忘れずに整えておきたいのが MCP 関連の確認です

MCP(Model Context Protocol)は、Claude に外部ツールやデータベースを使わせるための仕組みですが、MCP サーバーやプラグインはあなたの権限で任意のコードを実行できる高信頼コンポーネントです

つまり、出どころが怪しい MCP サーバーを入れるのは、得体のしれないソフトをインストールするのと変わりません

• 公式・有名なソース(Anthropic・大手 OSS プロジェクト)からのみ入れる
• 説明文だけで判断せず、READMEやコードに目を通す
• 必要が無くなった MCP サーバーは早めに無効化する

security-guidance 自体は Anthropic 公式なので信頼性の面で気にする必要はありませんが、「プラグインや MCP は全部安心」と勘違いしないのが大事です

このあたりの基本設計はClaude Code 設定ファイル早見表で全体像を整理しているので、深掘りしたい方はそちらもどうぞ

期待しすぎないこと プラグインの限界

ここまで読むと「もう security-guidance を入れておけば安心」と思いたくなりますが、過信は禁物です

正直に言うと、このプラグインは 「コードを書く瞬間によくあるパターンを止める」レイヤーであって、セキュリティ対策のすべてを引き受けてくれる訳ではありません

設計や仕様レベルの脆弱性は別途レビューが要る

例えば「そもそも認証フローがおかしい」「権限の設計が甘い」みたいな話は、文字列マッチでは見つかりません

ターン終了時やコミット時のレビューでは多少ひっかかる可能性はあるものの、設計や仕様レベルの問題は人間のコードレビューや設計レビューで拾うのが原則です

依存ライブラリの脆弱性は対象外

あなたが書いたコード自体は問題なくても、使っているライブラリに脆弱性があったというケースは多々あります

これは security-guidance のスコープ外で、別途 npm audit や Dependabot のような 依存関係チェックの仕組みを並走させるのが現実的です

レビュワーAIも見落とす

レイヤー2・3で動くレビュー側の Claude も、人間と同じく見落とすことがあります

「プラグインが何も言わないから安全」は思考停止のサインです、最終的にはコードを読む(=人間がレビューする)習慣も並行して持っておくのが望ましいです

内部にある上限とモデル設定も知っておく

もう少し細かい話として、レビューには 上限が設けられています、知っておくと「あれ動いてない?」となったときに切り分けやすいです

• ターン終了時のレビューは 1ターン最大30ファイルまで、しかも連続3回までで一旦止まります
• コミット時のレビューは 1時間に20回まで、それを超えると一時的に走らなくなります

大量変更や連続 commit を続けると、全部はカバーしきれないというのを頭の片隅に置いておくと安全です

初心者向けおすすめ運用フロー

「結局、何からやればいいの？」という方向けに、最初に押さえるステップを順に並べておきます

このあたりまで整えると、security-guidance を含めた多層の守りがだいぶ立体的になります

よくある質問(FAQ)

まとめ プラグイン1つで完結はしないけど、入れる価値は十分

security-guidance は、Claude にコードを書かせるなら入れない理由がほぼ無いくらいに気軽に導入できる公式プラグインです

大事なポイントをおさらいします

• Anthropic 公式・無料・全プラン対応、入れない理由はほぼ無い
• 3層レビュー(編集時・ターン終了時・コミット時)で多角的にチェック
• eval / 外部コマンド / XSS / pickle / GitHub Actions など典型的な落とし穴を拾う
• 書き込みを止める訳ではない、Claude にレビュー結果を渡して直してもらう設計
• deny リスト・自動モード・respectGitignore と組み合わせて多層防御に
• 設計・依存ライブラリ・未知の脆弱性は対象外なので過信しない

個人的には、「ちゃんと整えれば、Claude にコードを任せても怖くないラインまで来た」と感じます

Claude Code の安全策を一通り整理したい方はClaude Code Desktop 初心者向けセキュリティ5選、プラグインまわりの土台が気になる方はClaude Code 拡張機構入門、設定ファイルの全体像はClaude Code 設定ファイル早見表もどうぞ

security-guidance を入れたうえで、deny を整えて、自動モードで使う、この3点を押さえておくと、Claude Code との付き合い方がぐっと安心側に寄ります