結論: Claude CodeのGitHub連携は、公式Action(anthropics/claude-code-action@v1)を使えば30分以内に設定でき、PRへの@claudeメンション1つでコードレビュー・バグ修正・機能実装・テスト自動生成・CHANGELOG生成・セキュリティスキャンなど7つのパターンが全自動で動くようになります。
この記事の要点:
- claude-code-action v1(GA版)は2025年に正式リリース。beta版から
direct_prompt→promptなど破壊的変更あり - 月50本のPRならAPI費用は$5未満。GitHub Actions無料枠内でほぼ収まる
- secrets漏洩・API quota枯渇・無限ループ・PR爆弾の4つの典型的失敗を事前に回避できる
対象読者: GitHubを業務で使っている開発者・テックリード・エンジニアリングマネージャー
読了後にできること: 今日中にClaude Code GitHub Actionを設定し、最初のPR自動レビューを動かせる
「PRレビューが溜まりすぎて、マージ待ちが3日になってしまった……」
先日、顧問先のスタートアップCTOからこんな相談を受けました。週20本以上PRが出るようになり、エンジニアの半分の時間がレビューに消えていると。試しにClaude Code GitHub連携を設定してもらったところ、3週間後にはClaudeが初期レビューを担当し、人間のレビュアーは「判断が必要な部分だけ」に集中できるようになって、マージ待ち時間が平均6時間まで下がりました。
正直、最初は「AIがコードレビューって本当に使えるの?」と半信半疑でした。でも実際に動かしてみると、セキュリティの指摘・型エラーの検出・コーディング規約のチェックなど、人間が疲れて見落としがちな部分を確実に拾ってくれるんです。
この記事では、設定手順から実際に使えるYAML 5選・プロンプト7パターンまで、Claude Code×GitHub連携の全てを一気に公開します。「今日試せる最速手順」から始めて、段階的に自動化の幅を広げていきましょう。
Claude Codeの基本的な概念や全体ガイドはClaude Code完全ガイドでまとめています。本記事はGitHub連携に特化した実践ガイドです。
まず試したい「5分セットアップ」— 最速インストール手順
難しいことを考える前に、まず動かしてみましょう。Claude Codeインストール済みであれば5〜10分で完了します。
# Claude Codeのターミナルで実行するだけ
claude
# Claude Codeが起動したら
/install-github-appこのコマンドを実行するとインタラクティブなガイドが起動します。
- GitHubアカウントの認証(ブラウザが開く)
- 対象リポジトリの選択
- GitHub Actions Secretsの自動設定(ANTHROPIC_API_KEY)
.github/workflows/claude.ymlが自動生成される
設定完了後は、PRやIssueのコメントに@claudeと書くだけでClaudeが動き出します。
(管理者権限が必要。Bedrock/Vertex AI利用者はマニュアルセットアップを使う。公式: code.claude.com/docs/en/github-actions — 参照日: 2026-06-03)
手動でセットアップする場合は次の3ステップです。
- GitHub App「Claude」をリポジトリにインストール(Contents/Issues/Pull Requestsの読み書き権限が必要)
- リポジトリのSecretsに
ANTHROPIC_API_KEYを追加 - examples/claude.ymlを
.github/workflows/にコピー
5ステップ実装フロー — 今日から動かすロードマップ
- 前提確認:Claude Codeがローカルにインストールされていること(
claude --versionで確認)。Anthropic APIキーを取得済みであること(console.anthropic.comで発行) - GitHub App導入:
/install-github-appコマンドまたは手動でGitHub Appをリポジトリにインストール。ANTHROPIC_API_KEYをSecretsに登録 - ワークフローファイル設置:
.github/workflows/claude.ymlを配置。最低限のトリガー設定(issue_comment / pull_request_review_comment)を入れる - CLAUDE.mdの作成:リポジトリルートに
CLAUDE.mdを置き、コーディング規約・レビュー基準・プロジェクト固有のルールを記述。Claudeはこれを読んで判断する - 動作確認と展開:テストPRを作成し、コメントに
@claude レビューしてと入力。Actionsログを確認し、問題なければチームに展開する
Claude Code GitHub連携でできること — 7パターン完全解説
@claudeメンションを起点に、以下の7パターンが動きます。
| パターン | トリガー例 | 主な効果 |
|---|---|---|
| 1. PRレビュー自動 | PR作成 or @claudeコメント | バグ・セキュリティ・コーディング規約を自動指摘 |
| 2. Issue起点の実装 | IssueをAssign + @claude | 仕様を読んで実装しPRを作成 |
| 3. Actionsテスト統合 | CI失敗時に@claude | テスト失敗の原因を分析・修正コードを提案 |
| 4. CHANGELOG生成 | スケジュール実行 or 手動 | コミットログを解析して変更履歴を自動更新 |
| 5. Conventional Commitチェック | PRオープン時 | コミットメッセージの形式を検証・修正提案 |
| 6. ブランチ自動命名 | Issue作成時 or @claude | Issue内容からブランチ名を自動提案・作成 |
| 7. セキュリティスキャン | PRオープン時に自動起動 | SQLインジェクション・XSS・認証漏れを自動検出 |
パターン1:PRレビュー自動化
PRにコメントするだけでClaudeが詳細なレビューを返してくれます。研修先で一番反響が大きかったプロンプトです。
@claude このPRのコードレビューをお願いします。
以下の観点でレビューしてください:
1. バグや論理エラーの可能性
2. セキュリティリスク(SQLインジェクション・XSS・認証漏れ等)
3. パフォーマンス上の問題
4. コーディング規約(コメント日本語・変数名キャメルケース)の遵守
5. テストケースの網羅性
問題があれば、具体的なファイル名と行番号を示してください。
深刻度を「Critical / High / Medium / Low」で分類してください。パターン2:Issue起点の実装
IssueにAssignするだけでClaudeが実装してPRを作ってくれます。小規模なバグ修正や軽い機能追加で効果的です。
@claude このIssueの機能を実装してください。
【実装する機能】
ユーザーがメールアドレスを変更する際に、
確認メールを送信して本人確認を行う機能
【技術的な要件】
- Node.js + Express環境
- メール送信: nodemailerを使用(SMTP設定は .env から読む)
- 確認トークンの有効期限: 24時間
- 既存の認証フロー(src/auth/)と整合性を保つこと
【テスト要件】
- ユニットテスト(Jestで)のカバレッジ80%以上
- 異常系テスト(期限切れトークン・不正トークン)も含める
実装完了後、変更ファイルの一覧とテスト実行方法をコメントに追記してください。
仮定した点は必ず「仮定:」と明記してください。パターン3:ActionsのCI失敗解析
@claude CIが失敗しています。ログを確認して原因と修正方法を教えてください。
【エラーログ】(ここにログを貼り付け)
修正が軽微であれば、コードを直接修正してプッシュしてください。
大きな変更が必要な場合は、対応方針だけ教えてください。パターン4:CHANGELOG生成
@claude 前回タグ(v1.2.0)からのコミットをもとにCHANGELOG.mdを更新してください。
- Keep a Changelog形式(https://keepachangelog.com/ja/1.0.0/)で
- Added / Changed / Fixed / Removed / Security で分類
- ユーザー向けに分かりやすく書く(コミットハッシュ羅列NG)
- 更新後はPRを作成してくださいパターン5:Conventional Commitチェック
@claude このPRのコミットメッセージをConventional Commits形式に準拠しているか確認してください。
形式: <type>(<scope>): <description>
type: feat / fix / docs / style / refactor / test / chore
準拠していないコミットがあれば、正しい形式を提案してください。
自動修正が必要な場合は git rebase を実行してください。パターン6:ブランチ自動命名
@claude このIssueの内容から適切なブランチ名を提案してください。
規則:
- feature/ または fix/ または chore/ でプレフィックス
- 英数字とハイフンのみ
- 50文字以内
- issue番号を含める(例: feature/42-add-user-auth)
提案後、そのブランチを作成してください。パターン7:セキュリティスキャン
@claude このPRのセキュリティスキャンを実施してください。
必ず確認する項目:
- SQLインジェクション・NoSQLインジェクション
- XSS(クロスサイトスクリプティング)
- CSRF(クロスサイトリクエストフォージェリ)
- 認証・認可の不備
- シークレット・APIキーのハードコード
- 安全でない外部入力の扱い
- 依存ライブラリのCVE(既知脆弱性)
Critical/High問題は必ずコメントで報告し、可能であれば修正コードも提示してください。コピペ可能ワークフローYAML 5選
YAML-1:基本的なPR対話ワークフロー
最もシンプルな設定です。PRやIssueのコメントで@claudeを呼べます。
name: Claude Code
on:
issue_comment:
types: [created]
pull_request_review_comment:
types: [created]
issues:
types: [opened, assigned]
pull_request:
types: [opened, synchronize]
permissions:
contents: write
pull-requests: write
issues: write
jobs:
claude:
runs-on: ubuntu-latest
steps:
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}YAML-2:PR自動コードレビュー(毎回自動実行版)
@claudeを毎回呼ばなくてもPRが開かれるたびに自動でレビューが走ります。研修先のエンジニアチームに展開したところ「最初のレビューはClaudeに任せる」という文化が定着しました。
name: Claude Auto PR Review
on:
pull_request:
types: [opened, synchronize]
permissions:
contents: read
pull-requests: write
jobs:
review:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
prompt: |
このPRをレビューしてください。以下の観点で確認し、
問題があれば具体的なファイル名と行番号を示してください。
深刻度を「Critical / High / Medium / Low」で分類してください。
1. バグや論理エラー
2. セキュリティリスク(SQLインジェクション・XSS・認証漏れ)
3. パフォーマンス問題
4. コーディング規約の遵守
5. テストカバレッジ
claude_args: "--max-turns 5"YAML-3:Issue起点の自動実装
name: Claude Issue Implementation
on:
issues:
types: [assigned]
permissions:
contents: write
pull-requests: write
issues: write
jobs:
implement:
if: contains(github.event.issue.body, '@claude')
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
prompt: |
このIssueの内容を実装してPRを作成してください。
- 既存のコードスタイルを踏襲すること
- テストコードも追加すること
- 仮定した点は必ず「仮定:」と明記すること
claude_args: "--max-turns 10"YAML-4:セキュリティスキャン(PRごとに自動実行)
name: Claude Security Review
on:
pull_request:
types: [opened, synchronize]
permissions:
contents: read
pull-requests: write
jobs:
security:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
prompt: |
このPRのセキュリティレビューを実施してください。
特に以下を確認し、問題があれば必ずCritical/Highで報告してください:
- SQLインジェクションの可能性
- XSS(クロスサイトスクリプティング)の脆弱性
- 認証・認可の不備
- シークレット・APIキーのハードコード
- 外部入力のバリデーション漏れ
- 依存ライブラリの既知脆弱性
claude_args: "--max-turns 3 --model claude-opus-4-8"YAML-5:CHANGELOG自動生成(スケジュール実行)
毎週月曜朝9時(JST)にCHANGELOGを更新するワークフローです。コミットログを自動集約するので、リリースノート作成の手間がほぼゼロになります。
name: Weekly CHANGELOG Update
on:
schedule:
- cron: "0 0 * * 1" # 毎週月曜UTC 0:00(JST 9:00)
workflow_dispatch: # 手動実行も可能
permissions:
contents: write
pull-requests: write
jobs:
changelog:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
with:
fetch-depth: 0 # 全コミット履歴が必要
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
prompt: |
先週のコミットログをもとに CHANGELOG.md を更新してください。
- 形式は Keep a Changelog(https://keepachangelog.com/ja/1.0.0/)に準拠
- Added / Changed / Fixed / Removed / Security のカテゴリで分類
- エンドユーザー目線で分かりやすく書く(コミットハッシュの羅列はNG)
- 更新後はPRを作成してください
claude_args: "--max-turns 5"gh CLI × Claude Code連携:ターミナルから直接操作する
GitHub CLIのghコマンドとClaude Codeを組み合わせると、PR操作をローカルのターミナルから完結できます。顧問先の開発チームでは「重いレビュー(大きなPR)はActionsで夜間実行、軽い質問はローカルのClaude Code」という使い分けが定着しました。
# 特定のPRにClaudeレビューを依頼
gh pr comment 123 --body "@claude このPRのセキュリティレビューをお願いします"
# IssueにClaudeを呼んで実装依頼
gh issue comment 456 --body "@claude このIssueを実装してPRを作成してください"
# PRの変更差分をClaude Codeに渡してローカルレビュー
gh pr diff 123 | claude --prompt "このdiffのコードレビューをしてください"
# Claude Actionsの実行ログを確認
gh run list --workflow=claude.yml --limit 5
gh run view <run-id> --log
# PRのClaude Codeコメントを確認
gh pr view 123 --comments | grep -A 10 "claude[bot]"v1.0への移行ガイド — beta版からの変更点
Claude Code GitHub Actions GA版(v1.0)はbeta版から破壊的変更があります。現在もbeta版を使っている方は以下を確認してください。
| Beta版の設定 | v1.0の設定 |
|---|---|
uses: ...@beta | uses: ...@v1 |
mode: "tag" | 削除(自動検出に変更) |
direct_prompt: "..." | prompt: "..." |
custom_instructions: "..." | claude_args: --append-system-prompt "..." |
max_turns: "10" | claude_args: --max-turns 10 |
model: "claude-sonnet-4-6" | claude_args: --model claude-sonnet-4-6 |
allowed_tools: "..." | claude_args: --allowedTools "..." |
v1.0ではpromptとclaude_argsの2パラメータに統合されてシンプルになりました。モードは自動検出(@claudeメンションで応答 / promptがあれば即時実行)になります。
(出典: 公式ドキュメント Breaking Changes Reference — 参照日: 2026-06-03)
CLAUDE.mdでClaudeの動作をカスタマイズする
リポジトリルートにCLAUDE.mdを置くと、Claudeはそのプロジェクト固有のルールを読んで判断します。これを設定するとレビューの質が格段に上がるので、必ず作ることをおすすめします。以下はテンプレートです。
# CLAUDE.md — プロジェクト固有のルール
## コーディング規約
- コメントは日本語で書く
- 変数名はキャメルケース(例: userEmail)
- TypeScriptの型定義は必須(anyは使用禁止)
- console.log のコミット禁止(logger.info を使う)
## レビュー基準
- Critical: セキュリティバグ、データ消失リスクがある問題
- High: バグの可能性が高いコード
- Medium: パフォーマンス問題、コーディング規約違反
- Low: 改善提案、リファクタリング候補
## 実装時の注意
- テストはJest + TypeScriptで書くこと
- カバレッジ目標80%
- 仮定したことは必ず「仮定:」で明示すること
## 禁止事項
- any型の使用禁止
- シークレットや認証情報のハードコード禁止
- console.log の残存禁止企業環境での導入:Bedrock / Vertex AI対応
エンタープライズ環境では、社内のAWSやGCPを通してAPIを使いたいケースがあります。Claude Code Actions v1はAmazon BedrockおよびGoogle Vertex AIに対応しています。
Amazon Bedrock経由の設定例
name: Claude PR Action (Bedrock)
permissions:
contents: write
pull-requests: write
issues: write
id-token: write # OIDC認証に必要
on:
issue_comment:
types: [created]
jobs:
claude-pr:
if: contains(github.event.comment.body, '@claude')
runs-on: ubuntu-latest
env:
AWS_REGION: us-west-2
steps:
- uses: actions/checkout@v4
- name: Configure AWS Credentials (OIDC)
uses: aws-actions/configure-aws-credentials@v4
with:
role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }}
aws-region: us-west-2
- uses: anthropics/claude-code-action@v1
with:
use_bedrock: "true"
claude_args: '--model us.anthropic.claude-sonnet-4-6 --max-turns 10'OIDCを使うことで静的なAWSアクセスキーを使わずに済みます。BedrockはIAMロールにAmazonBedrockFullAccessポリシーを付与することで動作します。
【要注意】GitHub連携でよくある失敗パターンと回避策
失敗1:ANTHROPIC_API_KEYをワークフローにハードコード
❌ よくある間違い:
with:
anthropic_api_key: "sk-ant-xxxxxxxxxxxxxx" # 絶対NG!⭕ 正しいアプローチ:
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }} # Secretsから読むなぜ危険か: GitHubのpublicリポジトリは誰でもコードを見られます。APIキーが漏洩すると悪用されて予期しない高額課金が発生します。研修先でも実際に似たケースを見ています。必ずGitHub Secretsを使うこと。
失敗2:max-turns未設定でAPIクォータが枯渇
❌ よくある間違い:--max-turnsを設定せずに複雑なタスクを投げる
⭕ 正しいアプローチ:
claude_args: "--max-turns 5" # 簡単なレビューなら5で十分
claude_args: "--max-turns 15" # 機能実装は多めに設定なぜ重要か: max-turnsのデフォルトは10。複雑なIssue実装でClaude Code Actionがループして100ターン以上消費した事例が報告されています。月末に想定外のAPI費用が来る前に、タスク種別ごとにmax-turnsを設定しておきましょう。
失敗3:毎回のpushでトリガーして無限ループが発生
❌ よくある間違い:
on:
push:
branches: ["*"] # 全てのpushで起動 → Claudeがpushするたびに再起動⭕ 正しいアプローチ:
on:
pull_request:
types: [opened, synchronize] # PR作成・更新時のみ
issue_comment:
types: [created] # コメント作成時のみなぜ起きるか: Claudeがコードを修正してpushするたびにActionsが再起動し、再びClaudeが動いて無限ループになります。pull_request: [opened, synchronize]に限定することで回避できます。
失敗4:PRコメントが大量発生(PR爆弾)
❌ よくある間違い:PR更新のたびに自動レビューを実行し、毎回コメントを追加する
⭕ 正しいアプローチ:
prompt: |
前回のレビューコメントがあれば内容を更新してください(新規コメントを追加しないこと)。
まだレビューがない場合のみ新規コメントを作成してください。なぜ起きるか: synchronizeトリガーが毎回発火して、PRのコメントが大量に積み重なります。Claudeが「既存コメントを更新」する形にするか、[opened]のみのトリガーに限定しましょう。
料金の目安:月50本PRで$5未満
料金は2つの要素で構成されます。
GitHub Actions費用:publicリポジトリは無料、privateリポジトリは月2,000分まで無料(その後$0.008/分)。1回のレビューで約2〜3分なので、月50本でも150分程度です。
Anthropic API費用:簡単なコードレビュー1回(Claude Sonnet 4.6)で約$0.05〜$0.10が目安です。月50本なら$5未満というのが実感値です。
コスト最適化のポイント:
--max-turnsを設定してループを防ぐ(レビューなら5〜7、実装なら10〜15が目安)- 単純なレビューはSonnet、複雑な実装はOpusと使い分ける
- ワークフローにconcurrencyを設定して並列実行数を制限する
- 開発環境へのトリガーは@claudeメンション必須にし、本番のみ自動実行にする
(Anthropic APIの最新料金はclaude.ai/platform/apiで確認してください — 参照日: 2026-06-03)
チームへの展開:レビュー文化の変え方
「ClaudeがレビューするならもうPRレビューしなくていいよね」という誤解が一番危険です。Claudeはあくまで「最初のレビュアー」であり、ビジネスロジックの妥当性やアーキテクチャの判断は人間が行います。
チーム展開のロードマップです。
| フェーズ | 期間 | やること |
|---|---|---|
| フェーズ1 | 1〜2週間 | 特定リポジトリのみ試験導入。@claudeはオプション参加のみ |
| フェーズ2 | 3〜4週間 | PRテンプレートに@claudeレビュー欄を追加。使い方の共有会を実施 |
| フェーズ3 | 2ヶ月以降 | 自動レビューをデフォルトに。ClaudeのCritical/High指摘は必ず人間がレビュー |
CLAUDE.mdは継続的に更新が必要です。「Claudeがこういう指摘を出したが、うちの場合はOK」という判断を積み重ねてCLAUDE.mdに反映していくと、レビューの質が上がっていきます。
まとめ:今日から始める3つのアクション
1. 今日やること:Claude Codeで/install-github-appを実行してGitHub Actionを設定する。テスト用PRに@claudeとコメントして動作確認。
2. 今週中:CLAUDE.mdを作成してプロジェクト固有のコーディング規約を書く。チームの1〜2人に使ってもらい、フィードバックを集める。
3. 今月中:7パターンのうち自分のチームに合うものを2〜3個選んでワークフローに追加する。max-turnsとコスト観測を始める。
あわせて読みたい:
- Claude Code チーム展開5ステップガイド — エンジニア全員にClaude Codeを使わせる方法
- Codex CLI vs Claude Code 料金・機能比較2026 — どちらを選ぶべきか完全比較
- Claude Code完全ガイド(ピラー) — インストールから高度な使い方まで
参考・出典
- Claude Code GitHub Actions 公式ドキュメント — Anthropic(参照日: 2026-06-03)
- anthropics/claude-code-action — GitHub Repository(Stars: 7.8k) — Anthropic(参照日: 2026-06-03)
- Claude Code Action Official — GitHub Marketplace — Anthropic(参照日: 2026-06-03)
- About billing for GitHub Actions — GitHub Docs(参照日: 2026-06-03)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。
🎯 Claude Code を本気で業務導入したい経営者・役員の方へ
3ヶ月で自社の業務自動化を内製化する Claude Code 個別指導プログラム(月25万円・先着3社限定)を提供しています。1on1 完全マンツーマンで、あなたの実業務をその場で自動化。動画完了率5-10%の壁を、毎週の強制ハンズオンで突破します。
Claude Code / Codex を“自社の業務”で使いこなすなら
週1回60分のマンツーマンで、御社の実務をその場で自動化。設計から定着まで、業務に合わせて伴走します。
- 30分・オンライン
- 売り込みでなく業務診断
- 完全マンツーマン
お問い合わせフォームから24時間以内にUravation担当者がご返信します。




