作ったサイト、ハッキングの危険は？ /security-reviewで公開前5分点検

バイブコーディングでさっと作ったログインフォーム、顧客情報の入力ページ...ちゃんと動くのは確認したけれど、「これハッキングされたらどうしよう」という不安は消えません。セキュリティは専門領域なので、初心者が自分で対応するのは難しいのです。/security-reviewはその点検をAIに任せるコマンドです。公開直前の5分でいいのです。

定義

/security-reviewはコードのセキュリティ脆弱性（ハッキングの危険）を集中点検するコマンドです。一般的なコードレビューが「うまく書けているか」を見るなら、これはただ「破られる穴がないか」だけを掘り下げます。主にこういう危険を指摘します。

• インジェクション攻撃: 入力欄に悪意あるコードを入れてシステムを操る攻撃
• 認証の穴: ログイン・権限チェックが甘く、他人の情報にアクセスされる問題
• データ漏えい: パスワード・APIキーのような機密情報が漏れ出す問題

使い方（難易度別）

基礎 — セキュリティ点検を回す

チャット欄に入力します。

/security-review

するとClaude Codeが最近変更したコードをさらってセキュリティの危険を分析します。終わると「ここで入力値の検証が抜けています」「この部分でキーがそのまま露出しています」といった危険項目の一覧を危険度とともに見せます。何がなぜ危険か、どう直せばいいかまで教えてくれます。

応用 — 公開前ルーティンにする

機能完成した。公開前に /security-review 回して

機能を全部作ったあと、リリースする直前にいつも一度回す習慣をつけましょう。リリースチェックリストの固定項目に入れておけば、セキュリティ点検をうっかり忘れることがなくなります。

発展 — 品質・セキュリティの二重点検

/code-review

まず/code-review（コード品質レビュー）でコードがうまく書けているか見たあと、続けてセキュリティを点検します。

/security-review

品質 → セキュリティの順で二度こすと、リリース前に捕まえられる問題をほぼすべてふるい落とせます。

よくある落とし穴 — 「引っかからなかったから安全」ではありません

/security-reviewで何も出なかったからといって100%安全なわけではありません。これはよくある危険を素早く一次でふるい落とすツールです。それでも回さないのとは天と地の差です。入力値の検証漏れのような初心者がよく見落とす穴は確実に捕まえてくれます。「完璧な保証」ではなく「安い一次防衛線」と考えればいいのです。特に顧客データを扱うコードなら必ず通してください。

実例

顧客の問い合わせを受ける入力フォームを作ったことがあります。画面上ではちゃんと動いていましたが、公開前に/security-reviewを回してみると入力値の検証が抜けている部分を指摘してくれました。そのまま上げていたら、誰かが入力欄に悪意あるコードを入れていたずらできる状態でした。リリース前に発見して防ぎ、5分の投資で事故一つを予防したわけです。

もっとこう使えます

• 公開前ルーティン: リリースチェックリストの固定項目として毎回一度ずつ。
• 二重点検: /code-review（品質レビュー）のあと/security-review（セキュリティ）で二度こす。
• 何を見るか: インジェクション・認証の穴・機密情報の露出など代表的な危険を点検。
• 顧客データを扱うときは必須: フォーム・ログイン・決済のように個人情報が行き交うコードには必ず回しましょう。

ヒント: セキュリティレポートで危険を発見したら、その場で「この脆弱性を直して」と頼めばいいのです。発見と修正を一つの流れでつなげましょう。

まとめ

肝心なのは一文です。公開前のセキュリティ点検を習慣にしろ。セキュリティは専門家でなくても/security-review一行で一次防衛線を張れます。特に顧客情報を扱うなら選択ではなく必須です。事故は起きてからでは遅いのです — 5分の点検が一番安い予防策です。

基準: Claude Code v2.1.154 (2026.05)