後工程で発覚する脆弱性を4割減 「Claude Code」の新プラグインの仕組み、導入方法:PR前の自動レビューで「シフトレフト」を実現
Anthropicは、エージェント型コーディングツール「Claude Code」のセキュリティガイダンスプラグインを公開した。Claudeがソースコードの脆弱性についてレビューし、同じセッション内で修正を支援するものだ。
Anthropicは2026年5月26日(米国時間)、同社のエージェント型コーディングツール「Claude Code」のセキュリティガイダンスプラグインを公開した。Claudeがコードの脆弱(ぜいじゃく)性についてレビューし、同じセッション内で修正を支援するものだ。
セキュリティガイダンスプラグインはClaudeの作業中に、自ら加えたコード変更に対し、一般的な脆弱性の自動レビューを実行し、同じ作業セッション内でシームレスな修正を支援する。ユーザーが都度呼び出す必要はなく、覚えておくべき個別のコマンドもない。
インジェクションや、安全でないデシリアライゼーション、安全でないDOM(Document Object Model)APIといった問題を、コードがプルリクエスト(PR)に到達する前に検出する。これにより、下流(後工程)におけるレビュー負担を軽減するという。
セキュリティガイダンスプラグインの機能と仕組み 導入方法は?
セキュリティガイダンスプラグインは、PRで実行される「Code Review」機能(リサーチプレビュー段階)(※)のセッション内コンパニオンとしての役割を果たす。セキュリティガイダンスプラグインがPRに到達する問題を減らし、Code Reviewが残った問題を捕捉する。多層防御の一つの層として位置付けられている。
※GitHubのPRを分析し、コードの問題が見つかった行にインラインコメントとして結果を投稿する。
セキュリティガイダンスプラグインは、Claudeのループ内の特定のポイントで独自のコードを自動的に実行するためのメカニズムである「フック」を基盤として構築されており、深度の異なる3つのポイントでClaudeの作業をレビューする。
1. 各ファイル編集時
コード編集の都度、危険な関数呼び出しやパターンを瞬時にスキャンする。モデル呼び出しを伴わない単純なパターンマッチのため、API利用コストは発生しない。動的コード実行、安全でないデシリアライゼーション、DOMインジェクション、ワークフローファイルの編集などの問題がチェックされる。
2. 各ターンの終了時
そのターン(※)で変更された全ての内容を、バックグラウンドでモデルがレビューする。認証バイパス、安全でない直接オブジェクト参照、インジェクション、サーバサイドリクエストフォージェリ、脆弱な暗号化のような問題がチェックされる。
※ターン:Claudeが応答する1回のラウンドを指す。ユーザーがメッセージを送信し、Claudeが処理して返信すると、そのターンは終了する。
3. Claudeが実行する各コミットまたはプッシュ時
周辺のコードまで読み込み、変更内容について、より踏み込んだエージェント型のレビューを実行する。検出した内容が問題かどうかを確認し、誤検出を抑える。
レビューの独立性
各ファイル編集時のチェックは、モデルが関与しない確定的なパターンマッチングだ。各ターンの終了時と、各コミットまたはプッシュ時のレビューは、新しいコンテキストとセキュリティ特化型プロンプトを持つ別のClaudeインスタンスが実行する。
コードを生成したClaudeインスタンスによる「セルフレビュー」のリスクが排除されており、レビュー担当のClaudeインスタンスはコードの差分(diff)から検証するため、元の実装アプローチにとらわれることなく中立な評価が可能だという。
ただし、各ターンの終了時と、各コミットまたはプッシュ時のレビューにおいてモデルが使用されるため、料金が発生する点には留意する必要がある。デフォルト(既定)ではClaude Opus 4.7が稼働する。ターン終了時のモデルは環境変数「SECURITY_REVIEW_MODEL」で、コミット/プッシュ時のモデルは環境変数「SG_AGENTIC_MODEL」を指定することで、他のモデルに変更可能だ。
独自ルールの追加
セキュリティガイダンスプラグインによるチェックは、モデルレビュー用のMarkdownガイダンスファイルと、文字列照合用のYAMLまたはJSONパターンファイルを用いて、組織固有のルールを追加して拡張できる。プラグインは、組み込みのチェックと並行して、これらのルールによるチェックを実行する。
同プラグインは、全てのClaude Codeユーザーが利用できる。公式プラグインマーケットプレースを介して導入可能だ。Claude Codeの対話セッション内で、以下のコマンドを実行する。
/plugin install security-guidance
Anthropic社内での使用実績
Anthropicは、セキュリティガイダンスプラグインを社内の大規模開発環境に全面展開し、実証検証を実施してきた。この検証によると、同プラグインを導入した開発者が作成したPRでは、コードレビュー時におけるセキュリティ関連の指摘コメント数が30〜40%減少したという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
エディタ切り替えの手間をゼロに 「Claude Code」がUI刷新、3つのビューモードを追加
Anthropicはデスクトップ向け「Claude Code」のUIを刷新した。複数のセッションを同時に進める開発スタイルに合わせ、サイドバーやターミナル操作、ドラッグ&ドロップ操作などを刷新した。
「Claude Code」に追加されたリモート接続機能は安全? 注意点は?
Anthropicは、AIコーディングツール「Claude Code」に「Remote Control」機能を追加した。スマートフォンやブラウザから、ローカルマシンで実行中のセッションに接続して作業を継続できる。
AIコーディングツールの利用率、「GitHub Copilot」一強揺らぐ? 「Claude Code」急伸
JetBrainsは開発者1万人超を対象としたAIツール利用動向の調査結果を発表した。「GitHub Copilot」の成長が鈍化する一方、「Claude Code」が急伸したという。