## 情報源
- URL: https://youtube.com/watch?v=6GqQaaGb57w
- チャンネル: 不明（日本語実践系チャンネル）
- 投稿日: 2026-05-28前後
- スコア: 85/100

## 動画タイトル
【必見】Claude Codeのセキュリティを3段階で自動チェックする方法

## 主要な発見

### 3段階セキュリティチェックプラグイン

| 段階 | タイミング | 手法 | コスト |
|------|-----------|------|--------|
| 第1段階 | ファイル編集時 | パターンマッチ（静的解析） | **0円**（LLM不使用） |
| 第2段階 | ターン終了時 | 別Claudeインスタンスによるdiffレビュー | Opus 4.7使用 |
| 第3段階 | コミット/プッシュ時 | エージェント型・文脈まで読む深い監査 | Opus 4.7使用 |

### インストール
```
/install security_guidance@claude_plugins_official
```
- 再起動不要・即時有効化

### チーム全体適用
`.claude/settings.json` で有効化してコミット → クローンした全員に自動適用

### カスタムルール（2種類）
1. **静的解析向け**: `.claude/security_patterns.json`（yaml可）に正規表現でパターン追加
- 例: APIキーハードコード検知、`eval`/`innerHTML`等
2. **LLMレビュー向け**: `.claude/security_guidance.md` に自然言語でルール記述
- 例: 「このルートでは必ず権限チェックを挟むこと」

### コスト制御設定
```json
// .claude/settings.json
{
"enable_plugins": true,
"enable_stop_review": 0, // 第2段階無効化
"enable_commit_review": 0 // 第3段階無効化
}
```
- `/plugin disable` で一時停止も可能
- `enable_patterns: 0` で第1段階のみ切る

### スコープ（3段階）
- **user**: 自分のマシン全体
- **project**: リポジトリ単位（チーム共有可）
- **enterprise**: 管理者が設定

## 核心的洞察

**「AIが生成したコードを、AI（別インスタンス）が多層的・自律的に監査・修復させる」ピアレビューの仕組み**

- 人間の目視チェックではなく高速静的解析 + LLM文脈理解を組み合わせた自動ループ
- Codex Securityの「反復修復ループで50%→88%」と同じ方向性
- AIエージェント現場導入の最大障壁「セキュリティリスク」への実践的解答

## アクションアイテム
- `/install security_guidance@claude_plugins_official` をshadow Claude Codeに導入
- vvv-bots用 `.claude/security_guidance.md` でプロジェクト固有ルール定義
- 第1段階（無料）だけ有効化して試験運用 → コスト0で基本保護
- `.claude/security_patterns.json` にAPIキー・DBパスワードパターン追加