スポンサーリンク

なぜ「お作法」が必要か——実際の事故から学ぶ

Claude Codeは強力なツールです。しかし「すごいAIが全部やってくれる」と思って使い始めると、重大なミスにつながることがあります。

この事故が示すのは「AIが危険かどうかを判断してくれる」という思い込みの危険さです。Claude は求められたことを実行します。「やってはいけないこと」を事前にルールとして設定するのは、人間側の仕事です。

まず最初にやる3つのこと

Git の基本：「セーブポイント」と「作業の分け方」を理解する

Claude Codeと一緒に開発するにあたって、Git の概念だけは最低限理解しておく必要があります。難しいものではありません。

シークレット管理：絶対に漏らしてはいけない情報

APIキー・パスワード・データベースの接続情報は、コードに直接書いてはいけません。これは 「絶対のルール」 です。GitHubなどにコードを上げた瞬間、ボットが数分で検知して悪用されます。

# コードに直接書く
api_key = "sk-ant-api03-xxxx"
password = "P@ssw0rd123"

# .env ファイルに書く（gitignoreに追加）
ANTHROPIC_API_KEY=sk-ant-api03-xxxx
DB_PASSWORD=P@ssw0rd123

# コードからは名前で参照する
api_key = os.environ.get("ANTHROPIC_API_KEY")

プロジェクト開始時に必ず作る .gitignore

.gitignore は「Gitに管理させないファイルのリスト」です。チームの誰かが間違えて秘密情報をコミットしても、このファイルがあれば防ぐことができます。

# .gitignore（プロジェクトのルートに作成）

# ========================================
# 最重要：シークレット・パスワード類
# ========================================
.env
.env.local
.env.*.local
*.pem
*.key

# ========================================
# Claude Code の個人設定（人によって異なるもの）
# ========================================
.claude/settings.local.json
CLAUDE.local.md

# ========================================
# 開発ツールが自動生成するもの（チームで共有不要）
# ========================================
node_modules/
__pycache__/
.DS_Store
*.swp
dist/
build/

CLAUDE.md：チームのルールをClaudeに伝える

CLAUDE.md は Claude Code がセッション開始時に必ず読み込むファイルです。プロジェクトルートに置いてチーム全員でGitに共有することで、「このプロジェクトのルール」をClaudeに記憶させることができます。

# CLAUDE.md（プロジェクトルートに置く・gitにコミットする）

## プロジェクト概要
社内の受発注管理システム（Next.js + PostgreSQL）
- 本番環境: AWS ap-northeast-1
- 開発環境: ローカルDocker

## コマンド
- 開発サーバー起動: npm run dev
- テスト実行: npm run test
- 型チェック: npm run typecheck

## コーディングルール
- 変数名・コメントは日本語でもOK
- TypeScriptを使用（型を省略しない）
- APIは /api/ 配下に置く

## Gitのルール
- ブランチ名: feature/機能名, fix/バグ名
- mainへの直接pushは禁止（必ずPRを経由）
- コミット前に npm run test が通っていること

## 絶対禁止事項（重要）
- .envファイルはコミットしない
- 本番DB（URL に "prod" が含まれる）への直接操作は禁止
- terraform destroy は実行しない
- rm -rf は実行しない

## 必要な環境変数（値はコードに書かず .env で管理）
- DATABASE_URL: PostgreSQL接続文字列
- NEXT_PUBLIC_API_URL: APIのベースURL
- ANTHROPIC_API_KEY: AI機能用

権限設定：Claudeに「何を許して、何を禁じるか」

Claude Code には、できることの範囲を設定する仕組みがあります。初心者やチームに初めてAI開発を導入する場合は、まず「計画モード（plan）」から始めることを強くお勧めします。

4つの権限モード

チーム共有の権限設定ファイル

プロジェクトに .claude/settings.json を作ってGitにコミットすることで、チーム全員に同じ制限を適用できます。

// .claude/settings.json（チーム共有・gitにコミットする）
{
  "permissions": {
    "defaultMode": "plan",
    "allow": [
      "Bash(npm run *)",
      "Bash(git status)",
      "Bash(git log *)",
      "Bash(git diff *)",
      "Bash(git add *)",
      "Bash(git commit *)",
      "Bash(git checkout *)",
      "Bash(git branch *)"
    ],
    "deny": [
      "Bash(git push --force *)",
      "Bash(rm -rf *)",
      "Bash(terraform destroy *)",
      "Bash(terraform apply *)",
      "Bash(DROP TABLE *)",
      "Bash(DROP DATABASE *)",
      "Read(./.env)",
      "Read(./.env.*)"
    ]
  }
}

Planモードの使い方：「確認してから動く」習慣

初心者が Claude Code で最も陥りやすい罠が「なんとなくAIに任せる」ことです。指示が曖昧だと Claude は「それらしいが間違った動作」をすることがあります。

「いい感じにして」
「ログイン周りのバグを直して」
「パフォーマンスよくして」

「セッション切れ後のログインが失敗すると
報告がある。src/auth/ でトークン
リフレッシュ処理を確認して。問題を
再現するテストを書いてから修正して」

Planモードを使うと、Claude はまず「何をするか」の計画だけを提示します。計画を確認して問題なければ実行を承認する——このワンクッションが、重大ミスを防ぐ最大の安全弁です。

# コマンドラインからPlanモードで起動
claude --permission-mode plan

# Claude に計画を立てさせる例
「Google OAuth ログインを追加したい。
どのファイルを変更する必要があるか、
セッションフローはどうなるか、計画を立てて」

# → Claudeが計画を提示 → 問題なければ「実行して」と指示

Claude に指示するときのコツ：「テスト込み」で頼む

Claude Code のベストプラクティスとして公式にも明記されているのが「テストを書かせてから実行させる」という手順です。テストがあれば Claude は自律的に品質を確認できます。

「メールアドレスを検証する
関数を作って」

「メールアドレスを検証する関数を作って。
以下のケースで確認して：
- user@example.com → 有効
- invalid → 無効
- user@.com → 無効
- @example.com → 無効
実装後にテストを実行して結果を見せて」

コンテキストのリセット：長い会話が逆効果になるとき

Claude Code は会話の文脈（コンテキスト）を積み上げながら作業します。しかし長くなりすぎると、前のタスクの設定が新しいタスクに干渉したり、指示を「忘れる」ことがあります。

チームで Claude Code を使い始める4週間ロードマップ

やってはいけない「5大NG」