Claude Code のセキュリティレビューとは
Claude Code は Anthropic の AI コーディングエージェント(CLI / デスクトップ / Web / iOS)です。
セキュリティレビュー機能 (Claude Code Security)は、その中で動く専用モードで、コードベースを読みに行き、SQL インジェクションや認証回りの不備、ハードコードされたシークレットなどの脆弱性候補を検出して、修正案つきで返してくれます。
・公開時系列: 2026 年 2 月 20 日に research preview 開始 → エンタープライズ向けに段階展開 → 4 月末時点で「機能拡張」リリース、というのが今回の投稿の位置付けです。
・使い方の入口は 2 つ。
1. Claude Code の中で /security-review コマンドを叩く(手元で確認)。
2. GitHub Action(anthropics/claude-code-security-review)
を CI に組み込んで、PR ごとにレビューを走らせる。
ルールベースの従来型スキャナと違って、コード文脈の意味を読んで判定 するため、誤検知が減らせる、というのが Anthropic 側の主張です。
何が変わった / 出た(事実部分)
@claudeai の投稿で挙がっている追加機能は次の 5 つです(2026-05-01 時点)。
1. Scheduled scans(定期スキャン)
毎回手で /security-review を叩く必要がなく、スケジュールで回せるようになった。
2. Directory-level targeting(ディレクトリ単位の対象指定)
リポジトリ丸ごとではなく、認証コード周辺など特定ディレクトリだけを対象にできる。ノイズと実行時間を抑えやすい。
3. CSV and Markdown exports(CSV / Markdown エクスポート)
検出結果をスプレッドシート / Jira / 社内 Wiki などに流し込める形で書き出せる。
4. Webhook notifications for new findings(新しい指摘だけ Webhook 通知)
差分通知。Slack / 既存のチケット管理ツールに「今回新しく出た issue」だけ流せる。
5. **Dismissals that carry forward across scans(dismiss が次回以降に
引き継がれる) 「これは誤検知 / 既知 / 受容済み」と人間が判断したものは、次のスキャンでまた湧いて出てこない。運用が長期化しても疲弊しにくい設計。**
元投稿の前段で「2 月の research preview 以降、数百の組織が本番コードで使い、既存スキャナが見逃していた issue を捕捉した」と述べられています。これは Anthropic 側の主張で、第三者検証データではない点に注意。
誰にどう効くか
・小〜中規模の開発チーム: 専用 SAST(Snyk / Semgrep Cloud / Veracode など)を別途入れる前段階として、Claude Code Security を CI 常設 に置く選択肢が現実的になります。GitHub Action と Webhook を組めば、 PR ベースで「新しい指摘だけ Slack に流す」運用が普通の Claude Code サブスクの中で完結します。
・外注コードを受け取る非エンジニア運営者: 受け取った成果物にセキュリティ観点のレビューを 1 段挟みたい時、「Claude Code を開いてそのリポジトリを読み込み、定期スキャンを ON にしておく」だけで最低限のチェックが走ります。レポートは Markdown / CSV で書き出せる ので、エンジニアでなくても上席に共有しやすい。
・既に研究プレビュー版を使っていたチーム: これまで「単発スキャン → ノイズに飲まれる」「同じ誤検知が毎回出る」で詰まっていた人は、 dismiss の引き継ぎ が一番効く更新だと思います(筆者注)。