Claude Code を CI/CD に組み込む|ヘッドレス実行・GitHub Actions・セキュリティ設計(2026)
Claude Code を CI/CD に組み込んで PR レビュー・lint 修正・テスト生成を自動化する方法を、ヘッドレス実行(claude -p)と GitHub Actions(anthropics/claude-code-action)の具体例+プロンプトインジェクション・権限・コスト・シークレットのセキュリティ設計とセットでまとめます。
目次 クリックで開く
Claude Code は対話的に使うだけでなく、CI/CD パイプラインに組み込んで「PR レビュー・lint やテストの自動修正・テスト生成・定型タスク」を自動化できます。ただし本番の自動化フローに AI エージェントを入れる以上、権限・コスト・プロンプトインジェクションを設計しておく必要があります。本記事では、ヘッドレス実行と GitHub Actions での組み込み方を、セキュリティ設計とセットで整理します。組織での運用統制全般はClaude Code セキュリティ運用の決定版を前提にしています。
ヘッドレス(print)モードの基礎
CI/CD で Claude Code を動かす中心は、対話画面を介さないヘッドレス実行です。claude -p(--print)で、プロンプトを渡して結果を標準出力に返します(以前の --headless フラグを置き換えた非対話モードです)。スクリプトやパイプラインから呼び出すのに向いています。
# lint エラーを修正させ、使えるツールと回数を制限して実行
claude -p "npm run lint のエラーを修正して" \
--allowedTools "Edit,Bash(npm run lint)" \
--max-turns 5 \
--output-format jsonポイントは、対話モードでは人間が都度承認していた操作を、CI ではフラグで事前に縛ることです。--allowedTools で使えるツールを限定し、--max-turns で暴走と費用を抑え、--output-format json で後続処理が結果をパースできるようにします。
GitHub Actions で動かす
GitHub では公式の anthropics/claude-code-action を使うのが簡単です。@claude メンション、Issue の割り当て、あるいはワークフローの自動タスクをトリガーに起動できます。コードは GitHub のランナー上に留まり、「secure by default(既定で安全)」を謳っています。
# .github/workflows/claude.yml(最小例)
name: claude
on:
issue_comment:
types: [created]
jobs:
claude:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: anthropics/claude-code-action@v1
with:
anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}認証は API キーを CI のシークレット管理(GitHub Actions Secrets など)に格納し、コードやログに出さないのが原則です。長期間有効なキーよりも、OIDC(ワークロード ID 連携)で短命の資格情報を発行する方が安全です。Amazon Bedrock・Google Vertex AI・Microsoft Foundry 経由の認証にも対応しているので、既存のクラウド統制に合わせられます。
CI/CD 特有のセキュリティリスクと対策
CI に AI を入れるときに見落とされがちなのが、パイプラインそのものが攻撃面になるという点です。対話なら人間が画面で気づけますが、自動実行では誰も見ていません。
| リスク | 対策 |
|---|---|
| プロンプトインジェクション (PR・Issue 本文は外部入力) |
信頼できないコントリビューターの入力で AI を走らせない。@claude トリガーを権限者に限定し、fork からの PR では実行しない。 |
| 過剰な権限 | --allowedTools でツールを絞る。書き込み・デプロイ・外部送信は AI に直接させず、人のレビューを挟む。 |
| 自動マージの暴走 | AI の変更は必ず PR として提案し、マージは人が承認。AI に git push や merge を直接させない。 |
| コストの暴走 | --max-turns・予算上限・トリガー条件の限定で、無限ループや大量実行を防ぐ。 |
| シークレットの露出 | リポジトリのシークレットや .env を AI のコンテキストに入れない。permissions.deny で読み取りを遮断する。 |
特に重要なのは「AI の出力をそのまま本番に通さない」ことです。CI/CD は仕組み上、人の目を飛ばして本番へ到達しやすい経路です。Claude Code を入れる位置は、「提案(PR・コメント)まで」に留め、デプロイや本番反映の手前には必ず人間の承認ゲートを置きます。
CI/CD での実用ユースケース
「提案 → 人が承認」を前提にすれば、CI/CD は Claude Code の効果が出やすい場所です。
- PR レビュー補助:差分に対してレビューコメントを自動生成し、観点漏れを減らす。
- lint・型エラーの自動修正 PR:失敗した lint/型チェックを修正する PR を自動で起票する。
- テスト生成:変更箇所に対するテストケースのドラフトを作る。
- Issue → 実装ドラフト:Issue の内容から実装方針や雛形 PR を提案する。
- ドキュメント更新:コード変更に追随して README や仕様書の差分を提案する。
ローカル開発側でも、hooks でコミット前に lint・テストを走らせる自動化と組み合わせると効果的です(hooks による lint・テスト自動化)。
運用統制・MCP との接続
CI/CD への組み込みは、Claude Code の運用統制の一部として設計するのが筋です。権限モード・サンドボックス・マネージド設定・監査といった全体像はClaude Code セキュリティ運用の決定版に、外部ツールを MCP で繋ぐ場合のリスクと対策はClaude Code × MCP のセキュリティにまとめています。CI から MCP を使うなら、接続する MCP は許可制にし、本番データに触れる経路は特に厳格に絞ります。導入前の基本設定は導入前セキュリティチェックリストもあわせてご覧ください。
まとめ
Claude Code の CI/CD 組み込みは、「ヘッドレス(claude -p)で呼び出す → GitHub Actions などにトリガーを設計する → 権限・コスト・プロンプトインジェクションを縛る → 出力は提案に留めて人が承認する」という順序で考えると安全に進められます。自動化の価値は大きいですが、AI を本番経路に直結させないことが前提です。提案までを任せ、最後の一歩は人が握る――この線引きを最初に設計しておくことが、CI/CD で AI を使い続けるための条件です。
Claude Code の CI/CD 組み込み・自動化設計をご相談ください
どのタスクを、どの権限で、どこに人の承認ゲートを置くか――Aurant が中立の立場で、CI/CD への安全な組み込み設計と、すでに動いているパイプラインのセカンドオピニオンを支援します。
執筆・監修
Aurant Technologies アーキテクト・コンサルタント
業務システムの段階移行・内製化支援と、AI エージェントのセキュアな導入設計が専門。本記事は公開された一次情報と実プロジェクトの観測値をもとに執筆しています。
AI・業務自動化
ChatGPT・Claude APIを活用したAIエージェント開発、n8n・Difyによるワークフロー自動化で繰り返し業務を削減します。まずはどの業務をAI化できるか診断します。