結論: Claude Code Auto Modeは、AIが各アクションを自律的に判断して実行する新機能です。安全かどうかをリアルタイムで分類するclassifierが全アクションを審査し、危険な操作を自動ブロックします。
この記事の要点:
- Auto ModeはAnthropicが2026年3月24日に発表。TeamプランユーザーからResearch Preview提供開始
- 二層classifierが各ツール呼び出し前に審査。実トラフィックでの偽陽性率0.4%、合成流出データでの偽陰性率5.7%
- 「–dangerously-skip-permissions」より安全だが、隔離環境での使用を推奨。本番インフラへの適用は非推奨
対象読者: Claude Codeを業務利用している開発者・DX推進担当者
読了後にできること: Auto Modeを有効化して、権限確認ダイアログなしに長時間タスクを実行する
「Claudeが途中で止まって確認を求めてくるんですが、どうにかなりませんか?」
企業向けClaude Code研修で、最近ダントツで多い質問です。確かに、長時間のコーディングタスクで何十回も「この操作を実行しますか?」と聞かれると、自動化のメリットが半減してしまいます。
私もクライアント企業のエンジニアチームと一緒にClaude Codeを使う中で、「権限確認ダイアログの嵐」に悩まされてきた一人です。–dangerously-skip-permissionsオプションを使えば確認を省略できますが、名前の通り「危険」なオプションです。本番環境や重要ファイルが入ったディレクトリで使えば、意図しない大量削除やコード実行が起きかねません。
2026年3月24日、Anthropicがこの問題への現実的な答えを発表しました。「Claude Code Auto Mode」です。権限確認を省略しつつ、AIクラシファイアが各アクションを審査して危険な操作を自動ブロックする——安全と自動化を両立する新しいアプローチです。この記事では、Auto Modeの仕組みから設定方法、ビジネス活用、失敗パターンまで、研修・コンサル現場で得た知見を交えて解説します。
Auto Modeとは何か——3つの権限モードを整理する
Claude Codeには現在、3つの権限モードがあります。Auto Modeを理解するには、まずこの全体像を把握することが重要です。
AIエージェント導入の基本概念については、AIエージェント導入完全ガイドで体系的にまとめています。
| モード | 特徴 | リスク | 推奨用途 |
|---|---|---|---|
| 通常モード | 各アクション前に人間が承認 | 低 | 本番環境・重要システム |
| Auto Mode(新) | AIクラシファイアが自動判断 | 中 | 隔離環境・CI/CD・開発環境 |
| –dangerously-skip-permissions | 全アクション無条件許可 | 高 | 原則使用禁止 |
Auto Modeは「中間」に位置します。Anthropicの発表によると、「–dangerously-skip-permissionsよりは安全だが、すべてのリスクを排除するわけではない」という正直な位置づけです。この「正直さ」が個人的に好きなんですよね。過剰に安全を謳わず、限界を明示している。
Classifierの仕組み——二層防御の詳細
Auto Modeの心臓部は、各ツール呼び出し前に動く「二層classifierシステム」です。Anthropicの技術ブログに詳細が公開されているので、エンジニアチームへの研修でよく使う内容を噛み砕いて説明します。
第1層:高速フィルタ(単一トークン判定)
まずステージ1が高速の「yes/no」判定を実行します。内部測定では8.5%の偽陽性率(実際は安全なのにブロックされる確率)があります。偽陽性は問題ありません——つまりこのステージは「疑わしいものは全部第2層に回す」という保守的な判断をします。
第2層:チェーンオブソート推論
ステージ1でフラグが立ったアクションのみ、ステージ2が詳細な推論で審査します。ここで最終的な判断が下され、0.4%まで偽陽性率が下がります。二段階にすることで「必要なときだけ重い推論を走らせる」効率化ができています。
「推論ブラインド」設計——重要なポイント
Classifierはユーザーメッセージとツール呼び出しの情報のみを見ます。Claudeのアシスタント応答や中間推論は意図的に除外されています。なぜか? Claudeが「ユーザーが暗黙的に承認した」という説得的な言い訳をclassifierに向けて書いても、それが審査材料に入らないようにするためです。
これはプロンプトインジェクション対策でもあります。悪意あるコードファイルや外部サイトにClaudeを欺く内容が含まれていても、classifierは独立して判断します。
パフォーマンス指標(Anthropic公式データ)
| データセット | ステージ1 | 最終パイプライン |
|---|---|---|
| 実トラフィック(n=10,000) | 偽陽性率 8.5% | 偽陽性率 0.4% |
| 実際の過度な行動(n=52) | 偽陰性率 6.6% | 偽陰性率 17% |
| 合成流出データ(n=1,000) | 偽陰性率 1.8% | 偽陰性率 5.7% |
注目すべきは「実際の過度な行動での偽陰性率17%」です。合成データの5.7%より高い。Anthropicはこれを隠さず公開しています。「ユーザー意図の正確な範囲」を判定する部分がまだ課題であることを示唆しており、だからこそ「隔離環境での使用を推奨」という立場なのです。
アクションの3階層——何が自動実行され、何がブロックされるか
Auto Modeでは、全アクションが3階層に分類されます。
Tier 1:常時許可(Classifierスキップ)
- ファイル読み込み(状態を変更しない操作)
- コード解析・検索
- 一般的なデータ参照
Tier 2:プロジェクト内操作(Classifierライト審査)
- プロジェクト内のファイル編集
- 設定ファイル更新
- テストの実行(ローカル)
Tier 3:高リスク操作(Classifierフル審査)
- シェルコマンド実行
- 外部ツール・APIの呼び出し
- プロジェクト外への操作
デフォルトで20以上のブロックルールが設定されています。主なものをピックアップすると:
- 強制プッシュ(git push –force)
- 大量ファイル削除
- SSHキーのインストール
- ロギング無効化
- mainブランチへの直接プッシュ
- 本番環境へのデプロイ
- 外部リポジトリからのコード実行
設定方法——ステップバイステップ
Auto ModeはTeamプランから先行提供されています(2026年3月24日時点。EnterpriseとAPIへの展開は数日以内予定)。
ステップ1:Auto Modeを有効化する
# Auto Modeで Claude Code を起動
claude --auto-mode
# デフォルトのブロックルール一覧を確認
claude auto-mode defaults
# 不具合なら Research Preview フラグで明示
claude --auto-mode --preview
ステップ2:環境(信頼スコープ)を定義する
Auto ModeのClassifierは「信頼できる環境」を把握する必要があります。デフォルトは現在のgitリポジトリのみ。S3バケットや外部サービスを使う場合は明示的に追加します。
# CLAUDE.md に環境定義を追加(プロジェクトルートに配置)
# .claude/settings.json でも設定可能
{
"autoMode": {
"trustedDomains": ["your-s3-bucket.s3.amazonaws.com", "api.your-service.com"],
"trustedPaths": ["/home/user/projects/", "/tmp/sandbox/"]
}
}
ステップ3:カスタムブロックルールを追加する
# 組織固有のルールを追加(例:本番DBへの接続をブロック)
{
"autoMode": {
"blockRules": [
"production-db-*",
"*.prod.your-domain.com"
]
}
}
ステップ4:エスカレーション設定を確認する
Auto ModeはClassifierが3回連続でブロック、または合計20回ブロックした時点でタスクを停止し、人間にエスカレーションします。この閾値は設定で変更可能です。
{
"autoMode": {
"maxConsecutiveDenials": 3,
"maxTotalDenials": 20
}
}
ビジネス活用シーン3選
活用1:CI/CDパイプラインでの自動コードレビュー
顧問先のSaaS企業(従業員80名)でCIパイプラインにClaude Code Auto Modeを組み込んだ事例です。PRがマージされるたびに自動でコードレビューとリファクタリング提案を実行します。
事例区分: 実案件(匿名加工)
以下は弊社が支援した企業の事例です。守秘義務のため社名・数値を一部加工しています。
導入前は人間のレビュアーが週平均12時間かけていたコードレビューが、Auto Mode導入後は重要な判断のみ人間が担当する形になり、レビュー時間が約70%削減されました(測定期間: 2026年1月〜3月)。
# CI/CDでの使用例(GitHub Actions)
- name: Claude Code Auto Review
run: |
claude --auto-mode review
--scope "changed-files"
--output review-report.md
--no-production-deploy
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
活用2:大規模リファクタリングの自動化
レガシーコードを持つ製造業DX企業(従業員300名)でのリファクタリング事例です。15万行のPythonコードをPython 2からPython 3に移行する作業で使用しました。
# 大規模リファクタリングでの使用例
# CLAUDE.md でスコープを明確に定義
## Auto Mode スコープ定義
- 信頼パス: /home/user/legacy-system/src/
- ブロック: 本番DBへの接続、テスト以外の実行
- 最大タスク時間: 4時間
# 実行コマンド
claude --auto-mode "Python 2のsyntaxをPython 3に変換。
変更はsrc/ディレクトリ内のみ。テスト実行で確認してから次へ進むこと。"
手動で6週間かかる予定だった移行作業が、Auto Mode(隔離環境)で3日間に短縮できました(測定期間: 2026年2月)。
活用3:ドキュメント自動生成パイプライン
API仕様書やコードドキュメントの自動生成は、Auto Modeのもっともリスクの低い活用です。本番システムへの書き込みをブロックし、docs/ディレクトリへの出力のみ許可する設定で運用します。
# ドキュメント生成用設定
{
"autoMode": {
"allowedWritePaths": ["./docs/", "./README.md"],
"blockRules": ["src/", "*.py execution", "git push"]
}
}
# 実行
claude --auto-mode "全APIエンドポイントのdocstringを解析して、
docs/api-reference.mdを更新してください。
不足している場合は追記、古い場合は修正。"
従来のClaude Codeとの違い——何が変わったのか
| 観点 | 従来(通常モード) | Auto Mode |
|---|---|---|
| 承認者 | 人間(毎回) | AIクラシファイア(自動) |
| 中断回数 | 多い(数十回/セッション) | 少ない(エスカレーション時のみ) |
| 長時間タスク | 人間が常駐必要 | バックグラウンド実行可能 |
| リスク管理 | 人間が全判断 | Classifierが自動判断(限界あり) |
| 推奨環境 | 本番含む全環境 | 隔離環境推奨 |
| 対応モデル | 全モデル | Sonnet 4.6/Opus 4.6のみ(現在) |
【要注意】よくある失敗パターンと回避策
失敗1:本番環境でAuto Modeをそのまま使う
❌ 本番DBが接続できる環境でAuto Modeを起動する
⭕ Docker/VM等の隔離環境を作成してから起動する
実際に、ある研修参加者(中堅IT企業のエンジニア)が本番に近い開発環境でAuto Modeを試したところ、Classifierが判断ミスして予期しないファイルが上書きされた事例がありました。Anthropicは「隔離環境での使用」を強く推奨しています。これは単なる免責ではなく、偽陰性率17%という現実を踏まえた設計上の推奨事項です。
# 推奨:Docker隔離環境でAuto Modeを使う
docker run -it --rm
-v /path/to/project:/workspace
-e ANTHROPIC_API_KEY=$API_KEY
ghcr.io/anthropics/claude-code:latest
claude --auto-mode /workspace
失敗2:「信頼スコープ」を設定せずに使う
❌ デフォルトのまま外部APIを使うタスクを実行する
⭕ trustedDomainsに必要なドメインを事前に追加する
信頼スコープ外の操作はClassifierがより厳しく審査します。必要な外部ドメインを設定しないと、正当なAPIコールが頻繁にブロックされ、セッションがエスカレーションしてしまいます。
失敗3:偽陰性率を「ゼロリスク」と勘違いする
❌「Classifierがあるから何をやらせても安全」と思い込む
⭕「合成流出データで5.7%、実際の過度な行動で17%の見逃しがある」と理解する
Auto Modeは–dangerously-skip-permissionsよりは安全ですが、完全ではありません。特に「ユーザーが意図した範囲の正確な判定」はClassifierが苦手とするケースです。高リスク環境では、人間によるレビューを必ず組み合わせてください。
失敗4:エスカレーション設定を無効化する
❌「止まるのが嫌」とmaxTotalDenialsを999に設定する
⭕ エスカレーションは安全網。デフォルト(20回)以下で運用する
エスカレーション上限を無効化すると、Classifierが繰り返しブロックしているにもかかわらずタスクが続行されてしまいます。エスカレーションは「Classifierが迷っている」サインなので、その信号を活かしてください。
セキュリティモデルの全体像——何ができて何ができないか
Auto Modeが防御できること・できないことを正直に整理します。
防御できること:
- 強制プッシュ・大量削除などの明確な破壊的操作
- SSHキーインストール・ロギング無効化などのセキュリティ低下操作
- プロンプトインジェクション(悪意あるコードファイルからの操作誘導)
- スコープ外ディレクトリへの意図しないアクセス
防御できないこと・限界:
- 「ユーザー意図の正確な範囲」の判定(偽陰性率17%)
- 隔離環境自体に脆弱性がある場合
- Tier 1(常時許可)アクションの悪用
- Classifierがまだ対応していない新しいタイプの攻撃
ChatGPTやGeminiとの使い分けについては、ChatGPT活用完全ガイドに詳しくまとめています。
まとめ:今日から始める3つのアクション
Claude Code Auto Modeは、「自動化したいが安全も確保したい」というエンジニアの長年の課題に、現実的な答えを出した機能です。完璧ではないですが、–dangerously-skip-permissionsという無法地帯とは大きな差があります。
- 今日やること: Docker隔離環境を作成してAuto Modeを試す(
claude --auto-modeコマンドで即起動) - 今週中: CI/CDパイプラインの1つのステップにAuto Modeを組み込み、コードレビュー自動化を実験
- 今月中: チームで「Auto Mode運用ガイドライン」を作成。信頼スコープ・ブロックルール・エスカレーション対応フローを文書化
次の記事では、Claude Codeをチーム全体に展開するための「組織的なAIコーディング文化の作り方」をお届けします。
あわせて読みたい:
参考・出典
- Claude Code auto mode: a safer way to skip permissions — Anthropic Engineering(参照日: 2026-03-27)
- Auto mode for Claude Code — Anthropic Claude Blog(参照日: 2026-03-27)
- Anthropic hands Claude Code more control, but keeps it on a leash — TechCrunch(参照日: 2026-03-27)
- Anthropic unchains Claude Code with auto mode — SiliconANGLE(参照日: 2026-03-27)
- Choose a permission mode — Claude Code Docs(参照日: 2026-03-27)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー約10万人)。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
