コードを書いている途中、こんな画面が出てきた経験はありませんか。
Do you want to proceed? ❯ 1. Yes 2. Yes, and don't ask again for... 3. No
ファイルを読むだけで確認。コマンドを実行するたびに確認。長時間のタスクを走らせると、何十回も承認ボタンを押し続けることになります。しかも、ちょっと席を外したり、夜間バッチで動かそうとすると、途中で止まって朝になっても終わっていない——そんな経験、思い当たる方も多いのではないでしょうか。
この「承認地獄」への回答として、Anthropicが2026年3月24日、Claude Codeに新しいパーミッションモード「オートモード(Auto Mode)」を発表しました。今回はこの機能の仕組みから設定方法、実際に使えるシーンまで、しっかり掘り下げて解説します。
- そもそも承認地獄とは? Claude Codeの根本的な課題
- オートモードとは何か? 「第三の道」の仕組み
- 3つのモードを徹底比較
- 具体的な活用シーン:どんな作業で役立つか
- 注意点とリスク:オートモードを過信してはいけない理由
- 他のツール・アプローチとの比較
- 利用可能なプランとモデル
- まとめ:オートモードは「ちょうどいい自律性」への第一歩
そもそも承認地獄とは? Claude Codeの根本的な課題
デフォルトは「超保守的」な設計になっている
Claude Codeのデフォルト設定は意図的に保守的に設計されており、ファイルの書き込みやBashコマンドの実行のたびに人間の承認を求めます。安全のためとはいえ、これが大規模なタスクの妨げになっていました。
たとえば「プロジェクト全体のimport文をリファクタリングして」という指示を出すと: - ファイルAの変更 → 承認 - ファイルBの変更 → 承認 - テスト実行 → 承認 - ファイルCの変更 → 承認 - …(以下、延々と続く)
Anthropicの調査によると、1セッションあたりのツールコール数は9.8回から21.2回へ116%増加しています。操作が増えるほど、承認の手間も倍増するわけです。
「危険なやつ」で逃げていたエンジニアたち
この課題に直面したエンジニアたちが使ってきた抜け道が、--dangerously-skip-permissionsというオプションです。名前からして怖いのですが、これはすべての承認を無条件にスキップする、いわば「全部いいよモード」です。
このフラグを使えば長時間タスクが止まらなくなりますが、危険で破壊的な結果を招く可能性があり、隔離された環境の外での使用は推奨されていません。実際、ファイルを大量に誤削除したり、本番環境のデータを操作してしまったという事例も出ています。
つまりエンジニアたちは「毎回承認して作業が遅くなる」か「全スキップして危険を冒す」かという、どちらも微妙な二択を迫られていたわけです。
オートモードとは何か? 「第三の道」の仕組み
クラシファイアが仕分けする賢い中間地点
オートモードは、全スキップよりも少ないリスクで長時間タスクを実行できる中間の選択肢です。各ツール呼び出しが実行される前に、クラシファイア(分類器モデル)がファイルの大量削除、機密データの流出、悪意あるコードの実行といった破壊的なアクションがないかをチェックします。
クラシファイアというのは、アクションの安全性を自動で判定するAIのことです。具体的には:
- 低リスクと判断されたアクション → そのまま自動実行
- 高リスクと判断されたアクション → ブロックし、Claudeに別のアプローチを取るよう促す
- ブロックが続く場合 → 最終的に人間への承認要求を出す
ツールの結果がクラシファイアに届かないため、ファイルや Webページにある悪意ある内容がクラシファイアを直接操作することはできません。つまり、プロンプトインジェクション攻撃(ファイルの中に悪意ある命令を埋め込む攻撃)への耐性も持っています。
クラシファイアの正体はSonnet 4.6
オートモードの安全チェックはClaude Sonnet 4.6を使って実装されています。各アクションが実行される前に、別のクラシファイアモデルが会話を確認し、そのアクションが依頼された内容と一致するかどうかを判断します。タスクの範囲を超えたエスカレーション、信頼されていないインフラへのアクセス、ファイルやWebページで遭遇した悪意あるコンテンツによって誘導されていると思われるアクションはブロックします。
メインのセッションで別のモデル(Opusなど)を使っていても、クラシファイアは常にSonnet 4.6が担当するという設計になっています。
3つのモードを徹底比較
Claude Codeのパーミッションモードは、オートモードの登場によって実質的に3択になりました。整理するとこうなります。
| モード | 承認の方法 | リスク | 向いているシーン |
|---|---|---|---|
| デフォルトモード | 毎回手動で確認 | 最低 | 慎重に進めたいとき、本番に近い環境 |
| オートモード | AIクラシファイアが自動判定 | 中程度 | 長時間タスク、隔離環境での開発 |
| dangerously-skip | すべてスキップ(全自動) | 最高 | 完全隔離のサンドボックスのみ |
Shift+Tabで切り替え
Claude Codeでは、Shift+Tabキーを押すたびにモードを切り替えられます。オートモードを有効にするには、まず次の手順が必要です。
CLIの場合:
claude --enable-auto-mode
その後、Shift+Tabでオートモードに切り替えます。
VS Code・デスクトップアプリの場合: 設定(Settings)→「Claude Code」でオートモードをオンにし、セッション内のモードセレクターから選択します。
企業向けの管理設定:
Enterprise管理者は、managed settingsに"disableAutoMode": "disable"と設定することで、組織全体でオートモードを無効化できます。
具体的な活用シーン:どんな作業で役立つか
シーン1:大規模リファクタリング(一番の本命)
モノレポ全体のimport文を整理したり、関数の型定義を一括追加したりするとき、デフォルトモードでは何十回もの承認が発生します。
オートモードなら「ファイルの読み取り → 書き換え → テスト実行」のサイクルを自動で回し続けてくれます。途中でワイルドカード削除のような危険なパターンが出てきたら、その操作だけがブロックされて別のアプローチに切り替わるので、巻き添え被害を防ぎつつ作業が進みます。
Anthropic社内では55%のエンジニアが毎日デバッグにClaude Codeを使用しています。オートモードなら「コード修正→テスト実行→結果確認→再修正」のサイクルを、承認なしで回し続けられます。
シーン2:テスト追加・ドキュメント自動生成
Anthropicの調査では、Claude支援タスクの44%は「やりたくなかった」タスクの自動化、27%は「AIなしでは実施しなかった」新規タスクでした。テストの追加、ドキュメント生成、リファクタリングなど、後回しにしがちな作業こそオートモードの出番です。
テストを書くのが面倒でつい後回しにしてしまう——そういう「やるべきとわかっているけどつい避けてしまう作業」をオートモードで一気に流してしまう、という使い方は実用的だと思います。
シーン3:夜間バッチ・席を外しながらの長時間処理
大きな機能を追加する場合、途中でClaude が止まって翌朝確認したら50%のところで「続けていいですか?」と聞かれていた——という経験をしたことがある方もいるかもしれません。
オートモードなら、低リスクと判断された操作は人間なしで進み続けます。問題のあるアクションだけが止まるので、朝に確認したときのダメージが最小限になります。
シーン4:コードベース全体の理解(読み取り主体の作業)
新しいプロジェクトに入ったとき、複数ファイルを横断的に読み込む作業があります。ファイル読み取りは低リスク操作なので、オートモードとの相性が抜群です。
コードを読んで把握するフェーズはそもそもリスクが低い操作ばかり。オートモードで一気にコードベースを理解させてしまうのは効率的です。
注意点とリスク:オートモードを過信してはいけない理由
クラシファイアは完璧ではない
オートモードは--dangerously-skip-permissionsに比べてリスクを下げますが、完全に排除はできません。クラシファイアが一部のリスクある操作を通してしまうこともあります。たとえばユーザーの意図が曖昧な場合や、Claudeが環境についての情報を十分に持っていない場合が該当します。逆に、無害なアクションをブロックしてしまうこともあります。
具体的には:
- pip install -r requirements.txt のような宣言済み依存関係のインストールは許可されますが、それ自体がサプライチェーン攻撃の温床になりうる
- 環境に関するコンテキストが少ないと、誤判定の可能性が上がる
- セキュリティ上重要な制限は、オートモードだけに頼らないこと
Anthropicはクラシファイアの安全基準の内部詳細を公開していないため、どのように安全かどうかを判断しているのかは、開発者にとってまだ不透明な部分があります。
隔離環境での使用が前提
コスト面でも考慮が必要です。オートモードはトークン消費量、費用、ツールコールのレイテンシに若干の影響が出る可能性があります。各アクションに対してクラシファイアが動くため、通常モードより処理が増えるのは避けられません。自動化パイプラインで大量に使う場合は、コストが積み上がる点を把握しておく必要があります。
本番環境の認証情報やライブAPIにアクセスできる環境でオートモードを使うのは危険です。隔離した開発環境や仮想マシン、コンテナの中で使うのが基本スタンスです。
バックアップを忘れずに
オートモードを実行する前に必ずgit add -A && git commit -m "checkpoint before claude auto mode"を実行すること。万が一意図しない変更が加わっても、git reset --hard HEADで完全に巻き戻せる状態を作っておく必要があります。
これはオートモードに限らずClaude Codeを使う際の基本的な心構えですが、自律度が上がる分、より重要になります。
他のツール・アプローチとの比較
オートモードと類似する概念や、現場で使われる代替手法との比較も整理しておきます。
| アプローチ | 自律度 | 安全性 | 主な用途 |
|---|---|---|---|
| Claude Code オートモード | 高(AIが判断) | 中(クラシファイア付き) | 長時間コーディング、リファクタリング |
| Claude Code デフォルト | 低(毎回確認) | 高 | 慎重な変更、本番近い作業 |
| --dangerously-skip-permissions | 最高(全自動) | 低 | 完全サンドボックスのみ |
| settings.jsonのallow/deny設定 | 中(ルール定義型) | 中(ルール精度に依存) | チーム運用、CI/CD |
| GitHub Copilot Workspace | 中 | 中 | GitHub連携の開発フロー |
| Cursor Agent | 高 | 中 | VSCode中心の開発環境 |
| OpenAI Codex CLI | 高 | 中 | ターミナルベースのコーディング |
settings.jsonとの組み合わせが現実解
オートモードと設定ファイルによる許可・拒否ルールは、組み合わせて使うのが現実的です。たとえば:
{ "permissions": { "allow": [ "Edit", "Bash(npm run lint)", "Bash(npm run test *)" ], "deny": [ "Bash(rm -rf *)", "WebFetch(domain:外部サービスのドメイン)" ] } }
こうしておくと、オートモードのクラシファイア判定に加えて、ルールベースの制限も二重にかかります。ただし、denyルールが正しく機能しない場合があるという既知の問題も報告されているため、セキュリティ上重要な制限にはdenyルールだけに依存しないようにしてください。
利用可能なプランとモデル
オートモードはClaude Teamユーザー向けのリサーチプレビューとして提供されており、EnterpriseとAPIユーザーへの展開は数日中に行われます。Claude Sonnet 4.6とOpus 4.6の両方で動作します。
現時点での利用条件をまとめると:
- 対応プラン:Team(現在)、Enterprise・API(近日中)
- 対応モデル:Claude Sonnet 4.6、Claude Opus 4.6
- 非対応:Haiku、claude-3シリーズ、Bedrock・Vertex・Foundry経由
EnterpriseとTeamでは、管理者がClaude Codeの管理設定でオートモードを有効化してからでないと、ユーザーがオンにできません。組織で使う場合は管理者側での設定が先に必要になります。
まとめ:オートモードは「ちょうどいい自律性」への第一歩
オートモードをひと言で表すと、「AIが判断を代行することで、毎回の確認なしに長時間タスクを安全に走らせられる仕組み」です。
これまでの選択肢は「毎回承認して遅くなるか」「全部スキップして危険を冒すか」の二択でした。オートモードはその間に入る第三の道で、クラシファイアという別のAIが各アクションのリスクを判定しながら進めます。プロンプトインジェクション対策も組み込まれており、設計として考えられています。
ただし、リサーチプレビューという段階であることは忘れずに。クラシファイアが完璧ではない点、隔離環境が推奨される点、コスト増加の可能性がある点は、実際に運用する前に把握しておくべきことです。
個人的には、大規模リファクタリングや後回しにしがちなテスト追加などの「やるべきとわかっているけど面倒な作業」に、オートモードを隔離環境で試してみるところから始めるのが現実的かなと思います。gitのコミットさえ手前にあれば、最悪の事態は防げます。
Anthropicの調査では、AIツール活用によるタスク完了時間の中央値は84%短縮と報告されています。その恩恵を最大限に引き出すための鍵として、オートモードは実用的な選択肢になりつつあります。まずはTeamプランで試せる環境があれば、隔離環境で小さなタスクから試してみてください。
