AIが自動でコードを書いてくれるClaude Code、めちゃくちゃ便利ですよね。でも、いざ使ってみると「思った通りのコードを書いてくれない」「勝手に意図しないコマンドを実行されて焦った」という経験をした人もいるのではないでしょうか。実は、Claude Codeのルール設定を正しく行うことで、AIの動きを自分好みにコントロールし、開発の安全性をグッと高めることができるんです。この記事では、初心者の方でも迷わずに実践できるClaude Codeのルール設定のやり方や、安全に使いこなすためのコツを分かりやすく解説しますね。
- Claude Codeにおける設定ファイルの優先順位と役割の基本
- オンボーディングをスムーズにするCLAUDE.mdの書き方
- 特定のファイルやディレクトリだけに動的ルールを適用する方法
- 勝手なコマンド実行をブロックするセキュリティ対策とフックの登録手順
効率的なclaude codeのルール設定とは
Claude Codeを快適に使うための第一歩は、設定がどのように管理されているかを理解することです。どこにどんなルールを書けばAIが正しく認識してくれるのか、基本の仕組みを見ていきましょう。
基本となる設定ファイルの優先順位
Claude Codeの設定は、適用される範囲(スコープ)に応じていくつかの階層に分かれているのが特徴です。設定がぶつかったときは、より狭い範囲(ローカルや管理設定)が優先される仕組みになっています。
具体的な優先順位は以下の通りです。管理設定(Managed)が最も強く、その次にコマンドライン引数、ローカル設定、プロジェクト設定、ユーザー設定という順番で評価されます。基本的には、プロジェクト全体で共有したいルールは「Project Scope」、自分だけのPC固有の設定は「Local Scope」や「User Scope」に分けて書くのがおすすめかなと思います。この優先順位をしっかりと頭に入れておかないと、「設定ファイルを書き換えたのに、なぜかClaude Codeの挙動に反映されない…」といったトラブルで時間を無駄にしてしまう原因になるので注意してくださいね。
| 設定スコープ | ファイル名・物理パス | Git管理 | 主な役割 |
|---|---|---|---|
| Managed(管理設定) | /etc/claude-code/managed-settings.json など | ❌ | 組織全体で強制する上書き不可能なポリシー |
| Local Scope | .claude/settings.local.json | ❌ | 開発者個人のマシン固有のデバッグ設定など |
| Project Scope | .claude/settings.json | ✅ | チーム共通のツール権限やHooksの定義 |
| User Scope | ~/.claude/settings.json | ❌ | マシンの全プロジェクトに横断適用する設定 |
ちなみに、Windows環境で古いパス(C:\ProgramData\ClaudeCode\…)を使っている場合は、バージョン2.1.75以降で非サポートになっているので注意してくださいね。C:\Program Files\ClaudeCode\managed-settings.json への移行が必要になります。OSのアップデートやツールのメジャーバージョンアップのタイミングで、ファイルの参照位置がガラッと変わることはよくあります。動作がおかしいなと感じたら、まずは現在公式が推奨しているパスに設定ファイルが正しく配置されているか、環境変数なども含めて一度チェックしてみるのが確実かなと思います。
オンボードを助ける設定ファイル
新しくプロジェクトに参加したとき、AIに「このプロジェクトの概要やビルドコマンド」を一瞬で理解させたいですよね。それを叶えるのが、プロジェクトのルートディレクトリに配置するCLAUDE.mdです。
CLAUDE.mdは、Claude Codeが起動したときに常時ロードされる「前提知識(オンボーディングドキュメント)」として機能します。ここに標準のビルドコマンドや使用するテストフレームワークなどを書いておくだけで、AIの迷走を大幅に減らすことができますよ。例えば、開発環境をDockerで構築しているプロジェクトなのか、それともローカルのNode.js環境をそのまま使うのか、といった背景情報をClaude Codeは事前には知り得ません。こうしたプロジェクト固有の「当たり前のルール」を明文化してトップディレクトリに置いておくことで、AIが自律的に状況を判断し、まるで長年そのプロジェクトに関わってきたチームメンバーであるかのようにスムーズに動き出せるのが大きな魅力かなと思います。
さらに、CLAUDE.mdに記述しておくべきおすすめの要素としては、「コードスタイル(セミコロンの有無、インデントのスペース数)」「主要なディレクトリ構造の解説」「本番環境と検証環境の切り替え方法」などが挙げられます。これらが網羅されていると、Claude Codeがコードを自動生成した際に「プロジェクトの既存コードから浮いてしまう」といった、AI特有のチグハグな実装を防ぐことができます。新しく入ってきた人間のエンジニア向けに作成するオンボーディング資料を、よりシンプルかつ箇条書きでAI向けに最適化してあげるようなイメージで作成すると、非常に精度の高いCLAUDE.mdが完成するのでおすすめですよ。
設定ファイルの行数を抑えるコツ
AIにあれこれ指示したくて、CLAUDE.mdに大量のルールを書き込んでしまう気持ちはよく分かります。でも、ファイルが肥大化すると逆にAIが指示を読み飛ばしたり、コンテキスト(トークン)を無駄に消費してしまったりする原因になるんです。結果として、APIのレスポンスが遅くなったり、従量課金のトークン消費量が跳ね上がってしまったりと、運用面でのデメリットも増えてしまいます。
CLAUDE.mdを効果的に動かす黄金則
1ファイルあたりの記述は、目安として100行〜200行以下に収めるように調整しましょう!具体的かつ客観的な文章で、簡潔に記述するのがコツです。
行数を抑えつつ効果的な設定を作るためには、抽象的な表現を徹底的に排除することが重要です。例えば、「綺麗なコードを書いてください」とか「セキュリティに配慮してください」といった曖昧な指示は、AIにとって解釈の幅が広すぎてあまり意味をなしません。そうではなく、「非同期処理には必ず async/await を使用し、Promise.then は禁止する」「外部からの入力値には必ず inputValidation() を通すこと」といったように、誰もが同じ実装をイメージできるレベルまで具体化して、短い弾丸(箇条書き)で書き並べるのが最も打率の高いアプローチになります。情報量を薄めずに文字数を減らすミニマリズムを意識することで、Claude Codeのパフォーマンスを限界まで引き出すことができるかなと思います。
一時的な指示を与えるシャープマーク
「今日の開発中だけ、一時的にコメントを英語で統一させたい」「この作業の間だけ、特定の命名規則を守らせたい」なんて場面もありますよね。だからといって、その都度CLAUDE.mdを書き換えるのはちょっと面倒ですし、Gitの差分に無駄なコミットが残ってしまうのも避けたいところです。
そんなときは、会話(プロンプト)の中で#(シャープマーク)で挟んで指示を出す方法がとても便利です。例えば「#コメントは英語で統一してください#」のように伝えると、CLAUDE.mdの記述よりも優先して動的にルールを解釈してくれます。一時的なコントロールにはこれが一番スマートかもですね。チャットの対話セッションの中でこのシャープマーク付きの指示を投げると、Claude Codeはそのセッションが終了するまでの間、あるいは別の指示で上書きされるまでの間だけ、そのマインドセットを強力に維持してくれます。そのため、特定の不具合(バグ)の緊急デバッグ作業や、一時的なリファクタリング作業など、スコープが非常に限定されているタスクを依頼する際には、この手法が抜群の威力を発揮します。
また、このシャープマークによる動的指示は、複数のルールを組み合わせて使うことも可能です。「#新しい依存ライブラリは追加しないでください##型定義は必ず厳格に行ってください#」といった形で、その時々の作業フェーズに応じたピンポイントな制約を課すことで、AIが余計な提案をしてくるのを防ぎ、目の前のタスクに100%集中させることができます。設定ファイルを汚すことなく、会話の文脈の中だけでAIの挙動をチューニングできるこのテクニックは、Claude Codeを使いこなす上で絶対に覚えておきたい必須スキルのひとつですね。
特定のパスだけに適用する手法
プロジェクトが大きくなってくると、「API関連のファイル」と「フロントエンドの画面ファイル」で守らせたい規約が変わってくると思います。すべてを1つの場所に書くと容量が足りなくなるので、そんなときは.claude/rules/というディレクトリを活用しましょう。
このディレクトリの中にMarkdownファイル(例:api-rules.mdなど)を作り、ファイルの先頭に「YAMLフロントマター」と呼ばれる形式で対象のファイルパスを指定します。こうすることで、AIがそのファイルを編集する瞬間にだけ、ルールが自動で読み込まれるようになります。例えば、フロントエンド(src/components/)のコンポーネントを修正しているときはUIデザインシステムやCSSの命名規則に関するルールが適用され、バックエンド(src/api/)のコードを触っているときはデータベースの接続ルールや認証チェックのルールが自動的に読み込まれる、といった高度な切り替えがノーコードで実現できるんです。
記述例はこんな感じです:
---
paths: src/api/**/*.ts, tests/**/*.test.ts
---
### API実装規約
・入力パラメータのバリデーションを必須とする。このようにディレクトリベースでルールを細分化して管理することで、大規模なモノレポ(Monorepo)構成のプロジェクトであっても、Claude Codeのコンテキストを圧迫することなく、常に最適な開発規約をAIにインプットし続けることが可能になります。全体の共通ルールはCLAUDE.mdに記述し、各モジュール固有の深い専門知識や細かなバリデーションルールは `.claude/rules/` 以下に隠蔽しておく。この「関心の分離」をしっかり設計しておくことが、大規模開発でClaude Codeを破綻させずに運用していくための最大の鍵になるかなと思います。
動的な適用を確認する絵文字テスト
設定したルールが、狙ったタイミングで本当にAIに読み込まれているか不安になることもありますよね。特に `.claude/rules/` で複雑な正規表現やワイルドカードを使ったパス指定を行っている場合、意図した通りにマッチングしているかどうかは目視では確認しづらいものです。そんなときに試してほしいのが「絵文字マーカーテスト」です。
やり方はとても簡単で、ルールファイルの冒頭に「🔌API」や「📝MD」といったユニークな絵文字を書いておくだけです。AIが該当するディレクトリのファイルを操作するとき、チャット画面のバックグラウンドなどでその絵文字が表示されるのを確認できれば、ルールが適切にマージされている証拠になります。もし、API関連のファイルを編集しているはずなのに、コンソールやログのどこにも「🔌」の絵文字が現れなければ、パスの記述ミスやタイポによってルールが無視されている可能性が高い、と一発で判断できるわけです。ビジュアルでパッと分かるので安心ですね。
この手法は、チームでClaude Codeの設定ファイルを共同管理しているときにも非常に役立ちます。「新しく追加したフロントエンドの規約が、メンバーの開発環境でもちゃんと動いているか」をデバッグする際、「コンポーネントを触ったときに🎨の絵文字が出てる?」と確認し合うだけで原因究明が完了します。AIの内部状態やコンテキストの読み込み状況というのはブラックボックスになりがちですが、こうして人間が直感的に理解できる「絵文字マーカー」を仕込んでおくことで、開発中のちょっとした不安やストレスを綺麗に解消できるので、ぜひ取り入れてみてほしいライフハックかなと思います。
初心者でも安全なclaude codeのルール設定
ここからは、Claude Codeをより安全に自律走行させるための、少し踏み込んだ設定について紹介します。機械的なチェックを組み合わせることで、開発効率がさらに跳ね上がりますよ。
登録手順から獲るフックの活用
言葉でルールを書いておくだけでは、AIがうっかり指示を無視してしまうこともあります。どれだけ優秀なAIであっても、複雑な文脈の中では一時的にルールを見落としてしまう「ハルシネーション(幻覚)」のような現象はゼロにはできません。そこで役立つのが、ファイルの編集前後のタイミングで自作のスクリプトを実行できるHooks(フック)機能です。
フックを有効にするには、設定ファイルを直接手動で書き換えるのではなく、以下の手順でコマンドラインから登録する必要があります。正しいプロセスを踏むことで、構文エラーなどを防ぎ安全に組み込むことができます。
Hooks의 登録ステップ
- プロジェクトのルートで
claudeを起動する - コンソールで
/hooksと入力してメニューを開く - 発火させたいイベント(例:ツール実行後の PostToolUse)を選ぶ
- 「+ Add new matcher…」を選び、対象コマンド(Write|Editなど)を指定する
- 実行したいスクリプト(./.claude/base-rule.sh など)を登録する
- 設定の保存先をプロジェクト設定にして保存し、セッションを再起動する
このフック機能の素晴らしいところは、人間が手動で静的解析ツール(Linter)やテストコマンドを叩かなくても、Claude Code自身が「コードを書き換えた直後」に自動でスクリプトを実行し、その結果を自己フィードバックとして受け取れる点にあります。例えば、PrettierやESLintといった整形・検証ツールをPostToolUseに登録しておけば、Claude Codeがコードを生成した直後に自動でシンタックスチェックが走り、エラーがあればAIが自らそのログを読み取って勝手に修正コードを再生成してくれます。この「自動検証のサイクル」をフックによって構築することこそが、Claude Codeの真の実力を引き出すプロレベルの設定手順手順かなと思います。
無限ループを防ぐスクリプトの工夫
フックを使って「ファイル書き換え時に自動で規約チェックを走らせる」という仕組みを作るとき、1つだけ大きな注意点があります。それは、AIのサブエージェント(/agents)などがファイルを修正した際にもフックが発火し、修正 → フック発火 → 再修正 → 再発火という無限ループに陥るリスクがあることです。この状態になると、APIの呼び出しが無限に繰り返され、短時間で大量のトークンを消費してしまい、高額なコスト請求が発生する原因にもなりかねません。
これを防ぐためには、スクリプト(シェルスクリプトなど)の中で、再帰処理を防止するためのフラグ(stop_hook_activeなど)を適切に受け取って、早期に処理を抜ける(exit 0)ようなガードを入れておく工夫が大切になります。具体的には、フックが実行される際に環境変数へ特定の識別子をエクスポートしたり、一時的なフラグファイルを生成したりして、「現在、フック経由の自動修正が走っている最中であるか」をスクリプト側で判定できるように設計します。既に自動修正中であれば、それ以上の追加修正コマンドを実行せずにプロセスを終了させることで、無限ループの連鎖を確実に断ち切ることができます。初心者の方は、まずはメインエージェントの単一プロセスでシンプルに運用し、複雑なサブエージェントを組み合わせる際は、こうしたスクリプト側の防衛策を必ずセットで検討するのが確実かなと思います。
承認の手間を減らす設定
Claude Codeは標準だと、コマンドを1回実行するたびに「実行してもいいですか?(Allow?)」と人間に確認を求めてきます。これはファイル破壊や不正な外部通信を防ぐための安全なデフォルト挙動なのですが、何度も連続してボタンを押したりエンターキーを叩いたりしていると、次第に「承認ダイアログ疲労(Alert Fatigue)」に陥ってしまいますよね。最終的には、中身をろくに確認せずにすべて「Allow」を連打するようになってしまい、せっかくの確認機能が形骸化してしまうことも少なくありません。また、せっかく自動でコードを書いてもらっているのに、PCの前に張り付いていなければ開発が進まないというのも、少しもったいない気がします。
この確認を完全にスキップしてフルオートで開発させたい場合は、設定でbypassPermissionsというモードを有効にすることができます。これを有効にすると、ファイルの読み書き、パッケージのインストール、ローカルテストの実行といった一連のタスクを、Claude Codeが人間の介入なしにノンストップで一気に進めてくれるようになります。作業スピードは劇的に向上し、まるで優秀なバックエンドエンジニアにタスクを丸投げして、自分はコーヒーを飲んで待っているだけのような未来の開発体験が手に入ります。ただし、これには当然大きなリスクも伴うため、次に紹介する「安全網」のセッティングと必ずセットで導入するのが運用の大原則になります。
危険なコマンドを弾くセキュリティ
承認をスキップする設定(bypassPermissions)にした場合、AIが間違ってシステムを壊すようなコマンドを実行したら大変です。AIは文脈によって「良かれと思って」破壊的なコマンドを導き出してしまうことがあります。そこで、コマンド実行直前のイベントである「PreToolUse」フックを使って、危険な操作を物理的に検知し、ブロックする仕組みを作ります。
ブロックすべき危険なコマンドの例
- ルートフォルダを削除するような命令(
rm -rf /) - 履歴を消し去る強制プッシュ(
git push --force) - 秘密鍵やゴミファイルを一括でステージングする操作(
git add .など) - 管理者権限へ昇格するコマンド(
sudo)
バリデーション用のスクリプトを用意し、これらの正規表現にマッチした場合は即座に実行を差し止める(blockする)設定にしておけば、人間の監視がなくても致命的な事故を未然に防ぐことができます。例えば、Claude Codeがテストのクリーンアップ処理の一環として、誤って間違ったパスの削除コマンドを生成してしまったとしても、PreToolUseフックがその文字列をインターセプトして実行を拒否(exit 1)すれば、PCのデータが吹き飛ぶような事態を100%回避できます。自由度を最大まで高める(bypassPermissions)一方で、破滅的な一線だけはプログラムで絶対に越えさせない。この強力なセキュリティガードレールを1本通しておくことで、初めてAIのフルオート走行を安心して見守ることができるようになりますよ。これで安心して自走させられますね。
さらに安全性を高めるためのサンドボックス環境の推奨
なお、セキュリティをより万全にしたい場合は、ローカル環境で直接Claude Codeをフルオート運用するのではなく、Dockerコンテナ内やリポジトリ専用の仮想開発環境(GitHub Codespacesなど)で実行することを強くおすすめします。万が一フックをすり抜けるような未知のコマンドが実行されたとしても、コンテナの中であればホストOSや個人の大切なデータに影響が及ぶことはありません。「最悪、壊れてもコンテナごと作り直せばいい」という心理的安全性があるだけで、AIへの依頼の幅もグッと広がるかなと思います。
不要なファイルを防ぐ終了時チェック
AIが開発を終えてセッションを終了する(Session End)段階で動作する「Stopイベントフック」を導入するのもおすすめです。Claude Codeは、プログラムの挙動を確認するために、内部で様々なテンポラリファイル(一時ファイル)を出力したり、コンパイル後のキャッシュファイルを生成したりすることがよくあります。これらは開発中には必要ですが、そのまま放置されるとリポジトリが汚れる原因になります。
例えば、AIがデバッグのために一時的に作ったゴミファイルやログファイル(`debug.log` や `test-output.tmp` など)が、そのままルート直下に残されるのを防いだり、バージョン管理の外に置くべきキャッシュファイルが紛れ込んでいないかを自動でチェックさせることができます。成果物を本番環境へのプルリクエスト(PR)に回す前の、心強いガードレールになってくれますよ。セッション終了のタイミングで自動的に `git status` をクリーンにするスクリプトを噛ませておけば、人間が後から「この謎のファイルは何だろう…?」と首をかしげることもなくなります。
また、この終了時チェックフックの中で、「TODOコメントの残存チェック」や「不要な console.log の消し忘れチェック」を行うスクリプトを走らせるのも非常に合理的です。AIが実装の過程でコード内に残したデバッグ用の痕跡を、セッションを閉じる直前に綺麗さっぱりクリーンアップする。この一連の自動化フローが整っていると、Gitのコミットログやコードベースの美しさが劇的に向上します。AIにコードを書かせるだけでなく、後片付けまでしっかりやらせる仕組みを作ることが、チーム開発における運用のマナーとしても大切かなと思います。
まとめとして見直すclaude codeのルール設定
ここまで、効率的で安全な運用のための仕組みを色々と見てきました。設定ファイルの優先順位から、CLAUDE.mdの最適な行数、さらにはHooksを使ったセキュリティ対策まで、かなり実践的な内容が網羅できたのではないかと思います。最後に、学んだ知識を整理して、あなたのプロジェクトに最適な設定ができているか振り返ってみましょう。設定が複雑になりすぎていないか、定期的にメンテナンスを行うことも重要です。
自律型AIを上手に乗りこなすための「claude codeのルール設定」のポイントは、長々と文字で指示を書き連ねることではなく、役割に応じてファイルを適切に分散させ、危険な行動はフックスクリプトなどのプログラムで機械的に縛るというシステムデザインにあります。AIを単なる「気の利くチャットボット」として扱うのではなく、開発環境の一部(インフラ)として捉え、適切な権限と制約を与えることが成功の秘訣です。最初はCLAUDE.mdにシンプルなビルドコマンドを書くところから始めて、慣れてきたら少しずつセキュリティや自動化のフックを追加していくと、失敗せずに快適な開発環境が作れるかなと思います。あなたの開発ライフがより素晴らしいものになるよう、ぜひ試してみてくださいね!
