こんにちは、株式会社TIMEWELLの濱本です。
PRが10本並んだまま週末を迎える、レビューが終わらないうちに次のPRが積み上がる。この光景は、どのエンジニアリングチームでも見覚えがあると思います。しかも、AIが書いたコードの量が一気に増えた2026年の現場では、人間のレビュアーがボトルネックになる場面が一段と増えました。
Claude Codeのアップデートを追いかけていると、ここに対する答えがかなり具体的な形で揃ってきたと感じます。公式プラグインのCode Review、コミュニティ発のSuperpowers、そしてHooksと/security-review。この4つを組み合わせると、レビューの半分以上はAIに任せつつ、最終判断だけ人間が握る、という設計が現実に組めます。
今回は、各機能の役割と、実際に回すための2つのワークフロー例を順を追って紹介します。ClaudeにPRを書かせている人には、次に必ず訪れる「レビューどうする問題」の予習として読んでもらえる内容です。
Anthropic公式のCode Review Pluginは何をしているのか
2026年4月、Anthropicは自社の開発現場で使っていたコードレビュー基盤を外部向けに公開しました[^1]。リポジトリにcode-reviewプラグインをインストールすると、PRがオープンされるたび、プッシュのたび、あるいは任意のタイミングで、複数の専門エージェントがAnthropic側のインフラ上で並列にレビューを走らせる仕組みです。
観点はエージェントごとに割り振られています。ロジックエラーを追う担当、セキュリティ脆弱性を追う担当、エッジケースの破綻を追う担当、そして過去コミットとの差分からリグレッションを疑う担当。並列に走らせた結果はそのままコメント化するのではなく、verificationと呼ばれる検証ステップで一度ふるいにかけます。candidate指摘を実際のコード挙動と照合し、false positiveを落とす。この工程があるおかげで、「いかにもAIっぽい、当たり障りのない指摘」が並ぶ事態を避けられる設計になっています[^2]。
私が特に注目しているのは、「自動でapproveしない」と明言している点です。PRに対してコメントは付くものの、最終的なマージ判断は人間のレビュアーに残る。これは当たり前に見えて、AIレビュー製品では意外と抜けがちな配慮です。完全自動化にすると、AIのレビュー結果に引っ張られて人間が表面だけ確認してマージする、という別種のリスクが生まれます。Anthropicはそれを避けたかったのだと思います。
コスト面の話も触れておきます。レビュー料金はPRのサイズと複雑性に応じてスケールし、平均20分で完了する[^1]。Team・Enterpriseプランでのみ使える機能ですが、1PRあたり数分のコンピュートで済むなら、人間レビュアー1時間分の時給を考えるとかなり割がいい計算になります。
Superpowersのrequesting-code-reviewが効く場面
公式プラグインがPR単位のマクロなレビューを担うのに対し、obra/superpowersに含まれるrequesting-code-reviewスキルはタスク単位のミクロなレビューを担います[^3]。2つは競合ではなく、補完関係にあります。
Superpowersの世界では、開発タスクをwriting-plansスキルで事前に分解し、subagent-driven-developmentで小さなタスクごとに別のサブエージェントに実装させます[^4]。このとき、タスクが1つ終わるたびにrequesting-code-reviewが自動発火する。元のプランと照らして、実装が仕様から逸脱していないか、セキュリティ観点の穴が空いていないか、可読性が保たれているかを点検します。指摘はseverityでタグ付けされ、criticalが付いたら次のタスクへ進まない。
この「タスク間レビュー」が入るかどうかで、Claudeに長い仕事を任せたときの最終品質がまるで変わります。レビューなしで一気通貫に書かせると、途中のタスクで仕様を少しずつ解釈し直しながら走ってしまい、気づいたときにはプランから大きく外れている、というパターンに陥りやすい。そこに小さな関門を挟むだけで、方向のズレを早期に矯正できるわけです。
私が個人的に気に入っているのは、このスキルがSOLID原則、可読性、命名規則といった地味な観点も真面目にチェックしてくれるところです。レビューというと脆弱性とロジックのバグに目が行きがちですが、実務でPRを腐らせる原因の大半は「読めば読むほど疲れるコード」だったりします。そこを自動で拾ってくれるのは、なかなか手厚い助っ人です。
関連する話をClaude Code のスキルの仕組みでも書いているので、スキルという発明がなぜ効くのかを掘り下げたい方はそちらも読んでみてください。
HooksのPreToolUseとStopを使い分ける
AnthropicのCode Review PluginやSuperpowersは強力ですが、それだけだと「AIが書き終わった後のレビュー」に偏ります。書いている最中のミスを機械的に止めたい、あるいは特定のディレクトリには絶対に触らせたくない、といった運用上の要件は別の仕組みが必要です。ここで効くのがHooksです。
Claude Codeには18種類のイベントフックが用意されていて[^5]、PreToolUseはツールが実行される直前に発火します。v2.0.10以降は、単に実行をブロックするだけでなく、ツールへのJSON入力を書き換えることもできるようになりました[^5]。たとえばbashツールにrm -rfが渡ってきたら強制的に--dry-runを足す、gitコミットメッセージに社内規約のprefixを自動で付与する、APIキーらしき文字列が混じっていたらredactする、といった細かい運用が実現できます。
一方のStopフックは、Claudeが一連の作業を終えてユーザーに制御を返す瞬間に発火します。ここに自動レビュー用のshell scriptを仕込んでおくと、作業完了のたびに別のsubagentが差分をチェックし、簡単な所感コメントを返してくれる、という運用が組めます。O'Reillyが公開している事例では、Stopフックからclaude-cli経由でサブエージェントを呼び出し、lintでは拾えない「CLAUDE.mdで禁止していたパターン」の再発を防いでいました[^6]。
ここで押さえておきたいのは、「機械的に弾けるものはHooksで、意味的な判断が必要なものはSubagentで」という使い分けです。linterやtestで表現できるルールをわざわざAIレビューに投げると、コストがかさむうえに判定がブレます。機械で弾けるものはPreToolUseで先に落とす。そのうえで、セマンティックな問題だけをAIレビューに回す。この切り分けが設計の肝です。
/security-reviewとGitHub Actionで脆弱性を継続監視する
コードレビューの自動化で忘れてはいけないのがセキュリティレビューです。ロジックや可読性のレビューは社内慣習で吸収できる部分もありますが、脆弱性は見逃した瞬間に事故につながる。ここは別ラインで防ぎたい領域です。
Claude Codeには/security-reviewスラッシュコマンドが用意されています[^7]。ローカルで/security-reviewと叩けば、pending changesに対してSQLインジェクション、クロスサイトスクリプティング、認証認可の欠落、データハンドリングの不備、依存性の脆弱性といった観点で点検が走り、検出箇所をseverity付きで報告してくれます。
さらにAnthropicはclaude-code-security-reviewというGitHub Actionを公開しており[^8]、これをワークフローに組み込むとPRが開かれるたびに自動でセキュリティレビューが走り、PRの該当行にコメントが付きます。誤検知を減らすためのfalse positive filteringが入っているのは公式プラグインと共通の設計思想です。.claude/commands/security-review.mdをリポジトリにコピーすれば、組織固有のセキュリティ要件や許容済みの既知issueリストを追記して挙動をカスタマイズできます。
余談ですが、エンタープライズ向けに社内規程を反映した独自のセキュリティレビュー観点をAIに学ばせたい、という相談は最近急激に増えています。オンプレで完結させたいケースは、ZEROCKのGraphRAG構成でナレッジを管理するアーキテクチャと組み合わせると、社内文書・過去インシデント・監査要件をまとめてレビュー観点に流し込めます。Claude Codeの汎用レビューに社内文脈を継ぎ足す、という使い方です。
2つの実装フロー|個人開発向けとチーム開発向け
ここまでの道具立てを実務でどう組むか。フェーズ別に2パターンを示します。
1つ目は、個人開発者・小規模チーム向けの軽量フローです。
# .claude/settings.json(要約)
{
"hooks": {
"PreToolUse": [
{ "matcher": "Write|Edit", "command": ".claude/hooks/block-secrets.sh" }
],
"Stop": [
{ "command": ".claude/hooks/run-review.sh" }
]
}
}
運用の流れはこうなります。ローカルでClaude Codeを起動し、Superpowersをインストールした状態で機能開発を依頼する。実装中はPreToolUseフックがsecret混入やマズい書き換えを機械的に止める。Claudeがタスクを1つ終えるたびにrequesting-code-reviewが自動発火して、仕様逸脱を矯正する。最後にStopフックが走って差分の総合レビューを行う。この段階で「人間がすべき最終チェックだけが残っている」状態を作れます。
2つ目は、企業チーム向けのフルスタック構成です。フェーズを3段に分けます。
フェーズAは開発中。ローカル環境にHooksとSuperpowersを仕込み、1人開発者単位で一次レビューを自動化する。
フェーズBはPR作成時。GitHub Actionとしてclaude-code-security-reviewと公式Code Review Pluginを両方稼働させ、セキュリティ観点とロジック観点を別々のパイプラインで走らせる[^1][^8]。結果はPRにコメントとして残す。
フェーズCはマージ前。人間レビュアーはAIコメントを材料にしつつ、アーキテクチャ上の判断、プロダクト要件との整合、非機能要件への影響といった「AIには任せにくい観点」だけに集中する。
Atlassianの社内活用事例では、この役割分担を徹底した結果、PRの処理速度が30.8%改善したと報告されています[^9]。レビューの総量は増えるのに、レビューに費やす人間の時間は減る。これが2026年時点でAIレビューに期待していい現実的な効果幅です。
3段構えのうちどこから入るかで迷ったら、私はフェーズAから入ることをお勧めします。Hooks単体でも導入コストは低く、すぐに開発者個人の体験が改善します。フェーズB、Cは組織合意が必要になる場面が多いので、個人で成果を示してから広げたほうが通りやすいはずです。
まとめ|AIが書き、AIが読み、人が決める
導入設計を始める前に、見落としがちな論点を3つだけ押さえておきます。
1点目はhuman-in-the-loopの設計。Anthropic自身が「自動approveはしない」と明言していることからも分かる通り、最終判断を人間から奪うべきではありません。AIレビューに引っ張られて、人間のレビュアーがコメントをそのまま採用するだけの存在になると、かえって品質は下がります。AIが見落としたコンテキストを人間が補う、という運用姿勢を崩さないこと。2026年の代表的なガイドラインもここを強調しています[^10]。
2点目はPR descriptionの標準化。「AIがどこまで書いたか」「どんなプロンプトを使ったか」をPR本文に明示する文化が広がり始めました[^10]。レビュアーがコンテキストを把握しやすくなるだけでなく、後から「なぜこの実装になったのか」を追跡する材料にもなります。Claude Codeのコミットテンプレートにこの項目を埋め込んでおくと、運用が定着しやすくなります。
3点目はコストモデル。公式Code Review PluginはPRサイズに応じて課金されるので、ボリュームが読みにくいmonorepoやマイグレーションPRで一気に料金が跳ねる可能性があります。このリスクを下げるには、PRの粒度を小さく保つこと、あるいはPreToolUseフックで「巨大な差分になりそうな変更」を警告する自作ガードを入れておくこと。ここは運用ルールの設計に踏み込む領域なので、WARPのAIコンサルティングのように伴走型で整備するか、社内の開発生産性チームが主導して半年スパンで整える対象になります。
Claude Codeのコードレビュー自動化は、2026年4月の時点でかなり実用段階に入りました。公式のCode Review Plugin、Superpowersのrequesting-code-review、HooksのPreToolUseとStop、そして/security-review。それぞれが担うレイヤーが違うので、組み合わせ次第で「AIが書いたコードをAIが一次レビューし、人間は最終判断だけ下す」という運用が現実に成立します。
ここまで書いてきて自分でも思うのですが、コードレビューは「減らすべきコスト」ではなく「組織の学習装置」です。AIが初期指摘を代行してくれるぶん、人間のレビュー時間はより本質的な議論に向けられるようになる。アーキテクチャの筋、プロダクト戦略との整合、チームが暗黙に抱えている設計判断の癖。こうした論点に人間のレビュアーが集中できるなら、AI導入のROIは開発速度の改善だけでは測り切れないはずです。
まずは自分のプロジェクトに、Hooksを1つだけ仕込むところから始めてみてください。レビュー体験が変わる瞬間を、たぶん週末のうちに体験できるはずです。
参考文献
[^1]: Code Review - Claude Code Docs [^2]: Anthropic Introduces Agent-Based Code Review for Claude Code - InfoQ [^3]: obra/superpowers - GitHub [^4]: Superpowers – Claude Plugin | Anthropic [^5]: Automate workflows with hooks - Claude Code Docs [^6]: Auto-Reviewing Claude's Code - O'Reilly Radar [^7]: Automated Security Reviews in Claude Code | Claude Help Center [^8]: anthropics/claude-code-security-review - GitHub [^9]: 30.8% Faster PRs: How AI-Driven Rovo Dev Code Reviewer Improved the Developer Productivity at Atlassian [^10]: Code Reviews in the Age of AI: Best Practices for 2026 Teams - JavaWorld