ASADASHI
紙工作のミニチュアで表現されたAIコードのセキュリティチェックの概念
時短ハック2026.06.14·読了 2·難易度: ふつう

AIにコードを任せる前に確認すべき3つのこと

紙工作のミニチュアで表現されたAIコードのセキュリティチェックの概念

朝の出汁版(通勤2分)

  • ポイント1: Claude Codeを使った個人開発・集客導線の構築が一般化しつつある一方、AIが出力するコードのセキュリティリスクへの認識が業界で高まっている。
  • ポイント2: @id_1192814516700155904が指摘するように、コードの中身を理解していない状態でリリースすると脆弱性を見抜けないリスクがあり、AIに脆弱性チェック用プロンプトを食わせる一手間が有効とされている。
  • ポイント3: 自分でサービスをリリースする前に、Claude Codeへ「セキュリティ観点でのコードレビュー」を指示するプロンプトを通す習慣を取り入れてみるとよい。

出汁の素(深読みモード)

これって結局どういうこと?

Claude Codeを使って自分でサービスをリリースする人が増えている。コードを書けなくても、指示するだけでアプリの骨格を作れるようになった。ただし、ここで見落とされがちなのが「AIが出力したコードの安全性」だ。AIは動くコードを出してくれるが、セキュリティ的に古いパターンや脆弱な実装を平気で含むことがある。指示した側がコードの中身を読めなければ、そのリスクに気づけないまま公開してしまう。要は「作れるようになった」と「安全に公開できる」の間には、まだ一つ確認ステップが必要だということ。そのステップとして有効とされているのが、リリース前にClaude Code自身に「セキュリティ観点でのコードレビュー」を指示するプロンプトを通す手法だ。

なぜこのタイミングで重要?

Claude Codeの普及で、個人が自分でサービスをリリースするまでのハードルが大きく下がった。「Claude Codeで「コードを書く人」から「指示する人」へ」でも触れたように、コーディングの主役が「書く人」から「指示する人」へ移行しつつある。この流れ自体は加速していくと見てよい。

問題は、指示するだけでコードが生成される反面、そのコードが「本番で安全に動くか」の判断が置き去りになりやすい点だ。AIは要求された機能を実現しようとするが、古い認証パターンや不適切なエラーハンドリング、SQLインジェクションへの無防備な実装を含むコードを出すことがある。指示側がセキュリティの知識を持っていなければ、それを見抜く手立てがない。

これはAIが「使えない」という話ではなく、「使い方に一工夫が必要」という話だ。コードレビューをエンジニアに依頼していた工程を、AI自身にやらせるという発想が広がっているのは、このギャップを埋める現実的な手段として注目されているからだ。自分でリリースまでやる人が増えれば増えるほど、このチェックステップの重要性は上がっていく。

具体的に始めるなら

リリース前にClaude Codeへ「セキュリティレビュー」を指示する

やり方としては、コードが一通りできた段階で、Claude Codeに対してセキュリティ観点でのレビューを別途指示するプロンプトを通すことが有効とされている。開発用の会話と切り分けて、「以下のコードにセキュリティ上の問題がないか確認してください」という形で独立したセッションで実行するのがポイントだ。

具体的なプロンプトの方向性

触りたい人はまず以下の観点をプロンプトに含めるとよい。

  • 「認証・認可の実装に問題はないか」
  • 「外部からの入力値に対してバリデーションが適切か」
  • 「APIキーや認証情報がコードにハードコードされていないか」
  • 「使用しているライブラリに既知の脆弱性がないか」
  • 「SQLインジェクション・XSS・CSRFへの対策が取られているか」

これらをまとめて「セキュリティチェックリストとして確認してください」と一括で渡す形が現実的だ。

確認タイミングのコツ

開発中に都度チェックするのではなく、「機能が一区切りついたタイミング」と「リリース直前」の2回を目安にする考え方が実用的だ。途中で指摘を受けて修正すれば、リリース前の確認作業が軽くなる。

情報の扱いにも注意

コードをAIに渡す際、本番の接続情報や実ユーザーのデータが含まれていないかを事前に確認したい。家計簿アプリの画面を例に挙げると、店名・金額・生活パターンが画像から読み取れる状態でAIに渡すのは情報管理上のリスクになる。コードレビューの場面でも同様に、不要な個人情報や認証情報はマスクして渡すのが基本だ。

組み合わせとして面白いのは、Claude Codeで生成したコードに対して、GitHub ActionsやCIのパイプラインにセキュリティスキャンツール(例:Semgrep、Snyk)を組み込む構成だ。AIレビューは概念的な問題を拾い、静的解析ツールはパターン的な問題を拾う。両方を使うことでカバレッジが上がる。

よくある疑問

Q. コードの中身がわからない状態でも、セキュリティレビューの結果を判断できますか?

AIがレビュー結果を返す際に「なぜ問題か」「どう修正すべきか」も合わせて出力するよう指示しておくと、コードの読めない状態でも問題の意味は把握できる。「高・中・低のリスクレベルで分類して説明してください」という一文を加えるだけで、優先度の判断がしやすくなる。完全な理解が難しい場合でも、AIに「修正後のコードも出してください」と指示すれば、そのまま差し替えることができる。

Q. Claude Code自体は無料で使えますか?

Claude Codeは現在、ClaudeのProプラン(月額20ドル程度)またはAPIを通じて利用できる。無料プランでは利用できないため、まず触ってみたい場合はProプランへの加入が必要になる。公式サイト(claude.ai)で最新のプラン情報を確認してほしい。APIを通じた利用は従量課金で、用途や頻度に応じてコストをコントロールしやすい。

Q. AIのセキュリティレビューはどこまで信頼できますか?

AI自身が生成したコードをAI自身がレビューするため、見落としが発生する可能性はある。公式ドキュメントやセキュリティ専門機関のガイドライン(例:OWASPのTop 10)を参照しながら、AIの指摘と照らし合わせるのが現実的な使い方だ。AIレビューは「ゼロより確実に安全にする」ための手段であり、完全な保証ではないという認識で使いたい。

もう一歩踏み込みたい人へ

セキュリティレビューをより体系的に自動化したい場合、Claude APIを使ってレビュープロンプトをスクリプト化する方法がある。コードの変更があるたびにAPIを叩いてレビュー結果をSlackやNotionに書き出す構成にすれば、都度Claude Codeのインターフェースを開かずに確認できる。

参考として、Anthropicが公開しているClaude APIのドキュメント(https://docs.anthropic.com)にはSystem Promptの設計例が豊富に掲載されており、「セキュリティ観点のコードレビューアー」としてAIをロール設定する方法を確認できる。

また、OWASPのTop 10(https://owasp.org/www-project-top-ten/)は、Webアプリケーションにおける主要なリスクをまとめた公開リソースだ。これをそのままプロンプトに埋め込んで「この10項目に照らしてコードをチェックしてください」と指示する使い方も有効とされている。

GitHub Actionsとの連携では、PRが作成されたタイミングでClaude APIを呼び出し、差分コードのみをレビュー対象として渡すワークフローが実装例として公開されている。検索キーワードは「Claude API GitHub Actions code review」で関連実装例が見つかる。手書きラフからLPまで、Claudeが一気に仕上げるで紹介したように、Claudeを単一ツールではなくフローの一部として組み込む発想が、ここでも使える。

元になったツイート

  • 家計簿アプリの画面をAIに見せる時は、店名や金額、生活パターンが伝わる点に注意したい。相談するなら数字をぼかして。お金の記録も守って使おう。 #生成AIの使い方 #情報管理 #ブルバ #ブルバ100 #ブルーバッチ

  • おはようございます。 claude codeの設定をYouTubeみながら頑張ってます。 noteに商品は置けたので、あとは無料記事をたくさん作って、集客のフェーズに! 収益記事を作って、集客記事から流していくブログと似たような流れですね

  • コードの中身を理解していない人が作ったものは脆弱性が高い。AIは平気で安全でないコードや古いパターンを出すことがあるし、指示した側はそれを見抜けないのって結構まずくないか、サービスをリリースする前に ⇩のプロンプトをclaude codeに食わせてあげたほうがいいかも

参照ソース