Skip to content

セキュリティレビューをClaudeに依頼する

コードレビューの中でも、セキュリティの観点は見落としがちです。Claude Codeを使えば、SQLインジェクションやXSSといった典型的な脆弱性を素早くチェックできます。

セキュリティレビューの基本的な依頼方法

Section titled “セキュリティレビューの基本的な依頼方法”

まずはシンプルなプロンプトでファイル全体をレビューさせてみましょう。ターミナルで以下のように入力します。

Terminal window
claude "このファイルのセキュリティ上の問題点をすべて指摘してください。SQLインジェクション、XSS、認証バイパスの観点で確認してください" < app/controllers/users_controller.rb

ポイントは「何を見てほしいか」を明示することです。「セキュリティを確認して」と漠然と伝えるより、脆弱性の種類を列挙したほうが精度の高い指摘が返ってきます。

プロンプト: AIへの指示文。Claude Codeへの指示の質がそのまま出力の質に影響する。

具体的な脆弱性コードを見つけてもらう

Section titled “具体的な脆弱性コードを見つけてもらう”

たとえば、以下のようなPHPコードがあるとします。

// 脆弱なコード例
$query = "SELECT * FROM users WHERE id = " . $_GET['id'];
$result = mysqli_query($conn, $query);

このコードをClaudeに貼り付けて、次のように依頼します。

上記のコードにSQLインジェクションの脆弱性がないか確認し、
安全な修正版も一緒に提示してください。

するとClaudeはプリペアドステートメントを使った修正例を提示しつつ、「なぜ危険なのか」の理由も説明してくれます。コードを直すだけでなく、チームへの説明資料としても活用できます。

定期的なセキュリティチェックをルーティン化する

Section titled “定期的なセキュリティチェックをルーティン化する”

セキュリティレビューは一度やれば終わりではありません。新しいコードが追加されるたびにチェックする習慣をつけましょう。Gitのpre-commitフックにClaudeを組み込むことで、コミット前に自動チェックを走らせることもできます。

たとえばCIパイプラインに組み込む場合は、差分だけをレビュー対象にするのがおすすめです。

Terminal window
git diff HEAD~1 | claude "このdiffにセキュリティ上の問題がないか確認してください"

変更箇所だけを渡すことで、レビューが高速になり、指摘の精度も上がります。Claude Codeをセキュリティの「もう一人の目」として活用することで、リリース前に潜在的なリスクを早期に発見できます。

コミット: Gitでファイルの変更を履歴として記録する操作。