Anthropicは2026年5月27日、AIコーディングツール「Claude Code」向けの公式拡張機能「security-guidance plugin」を公開した。PC Watch(稲津 定晃記者)が報じたこの機能は、コードを記述しながら同一セッション内でセキュリティ脆弱性を自動検出・修正できる点が特徴だ。
security-guidance pluginとは何か
security-guidance pluginは、開発者がコードを書く流れを止めることなく、セキュリティ問題をコーディング中に検出・修正できる仕組みを提供する。従来、セキュリティレビューはプルリクエストの段階で人間のレビュアーが担うことが多かったが、このプラグインはその前工程——コードを書いているその瞬間——に問題を潰す設計になっている。
3段階のセキュリティチェックフロー
PC Watchの報道によると、同プラグインは以下の3段階でコードを継続的にチェックする:
- ファイル編集時の高速パターンマッチ — リアルタイムで既知の脆弱性パターンを即時検出
- ターン終了時のバックグラウンドレビュー — 編集が一段落した後にまとめてセキュリティ評価
- コミット時の詳細なエージェントレビュー — コミット直前にエージェントが深く分析・修正提案
SQLインジェクションやコマンドインジェクションといったインジェクション脆弱性、安全でない逆シリアル化(Insecure Deserialization)など、OWASPが長年警告してきた典型的な問題を、プルリクエストに到達する前の段階で捕捉できる。
Anthropic社内での効果
Anthropic自身が同プラグインを広範に実運用しており、セキュリティ関連のコードレビューコメントが30〜40%減少したと公表している。数値として印象的なのは、セキュリティ指摘の多くが「書く段階」で回収できるということを示唆している点だ。
インストール後は自動で機能が有効化され、複雑なコマンドや設定は一切不要。プラグインマーケットプレイス(/plugins)からのインストールのみで利用を開始できる。
日本市場での注目点
同プラグインはClaude Codeの全ユーザーが追加費用なしで利用可能。Claude Codeを既に使っている日本の開発者であれば、今すぐ試せる。
競合ツールとしてはGitHub Copilotにも脆弱性検出機能が存在するが、security-guidance pluginのように「編集中→ターン完了→コミット」という3段階のシームレスな統合アプローチは、現時点では比較的珍しい設計だ。
セキュリティツールの乱立に悩む開発チームにとって、コーディング環境に直接組み込まれる方式は、別途ツールを導入・運用するよりも継続的に使われやすいという利点がある。日本企業でもAIコーディングツールの本格導入が進む中、「セキュリティの自動化」は評価軸として今後ますます重要になるだろう。
筆者の見解
このプラグインが示す方向性として注目したいのは、セキュリティを「後から確認するもの」ではなく「書きながら直すもの」として再定義しようとしている点だ。
開発者の認知負荷という観点から見ると、プルリクエスト段階でセキュリティ問題を指摘されると、開発者はすでに別のタスクに移っており、コンテキストの再読み込みコストが発生する。コードを書いた直後に問題が示されれば、そのコストはほぼゼロだ。「30〜40%削減」という数字は、この設計思想が機能していることの傍証になっている。
一方で気になるのは、自動修正の精度と誤修正のリスクだ。セキュリティ修正はビジネスロジックと密接に絡み合うことが多く、パターンマッチによる自動変更が意図しない挙動を引き起こすケースもゼロではない。「エージェントが提案した修正を盲目的に適用しない」という運用規律をチームとして確立できるかが、実務での価値を左右する要素になるだろう。
AIコーディングツールが普及する中で、「書く速度」だけでなく「安全に書ける速度」を高めるアプローチは今後のスタンダードになっていく可能性が高い。プラグインマーケットプレイスという形で機能をモジュール化したことも、エコシステムの拡張を見据えた設計として興味深い動きだ。
出典: この記事は Anthropic、脆弱性を自動修正する「Claude Code」プラグイン の内容をもとに、筆者の見解を加えて独自に執筆したものです。