はじめに
承認のたびに作業が止まる場面があるのが、Claude Codeを使ったコーディングの悩みどころです。この課題に対して、新たに「auto mode」がリサーチプレビューとして提供されることになりました。
本記事では、auto modeの仕組みや背景に加え、既存のAuto-Accept Modeや–dangerously-skip-permissionsとの違い、有効化・無効化の考え方、そして安全に使うためのポイントを順を追って整理していきます。
Claude Codeの権限モデルとauto mode登場の背景
Claude Codeにおける権限承認の仕組み
Claude Codeでは、AIがファイルの編集やコマンドの実行といった操作を行う際に、ユーザーの許可を求める仕組みが組み込まれています。AIコーディングにおいて人間の許可が必要なタスクは、AIがその旨を提示し、ユーザーの承認を待つ流れが一般的です(参照*1)。
この権限承認の仕組みは、意図しない操作やリスクの高いコマンド実行を防ぐために用意されています。公開APIのツール呼び出しの80%が少なくとも一種のセーフガードを持つエージェントから来ており、73%が何らかの形で人間がループに関与しているという調査結果もあります(参照*2)。
開発者としてClaude Codeを使う際は、どの操作が自動で進み、どの操作で承認が求められるのかを把握しておくことが出発点になります。
長時間タスクでの承認中断が生む課題
長時間タスクでは、途中の承認が開発の効率に影響します。最も長く動作したセッションの中で、Claude Codeが停止前に動作した時間は3か月でほぼ倍増し、25分未満から45分を超えるまでになりました(参照*2)。セッションが長くなるほど、途中で承認を求められる回数も増えていきます。
経験を積むと自動承認を使う割合が増える傾向もあります。新規ユーザーのセッションの約20%が全自動承認を使用するのに対し、経験を積むとこの割合は40%を超えます(参照*2)。
承認の中断を減らしつつ安全性を保つ手段が求められていました。プロの開発者は計画を立ててからAIに指示を出し、すべての出力を検証するというスタイルをとる傾向がある一方で、自分がコントロールできている限りはエージェントの利用を楽しんでいるという調査もあります(参照*3)。
auto modeとは何か──定義と基本的な仕組み
auto modeの概要とリサーチプレビューの位置づけ
auto modeは、Claude Codeのコーディングセッション中に発生する承認判断をAIが自動で処理する新しいモードです。開発者が手動で承認を行わなくても、長時間にわたるタスクを中断せずに開発を続けられます(参照*1)。
auto modeは、現地時間2026年3月12日以降にリサーチプレビュー版が提供されます(参照*1)。リサーチプレビューという位置づけは、一定のリスクがある段階であることも示しています。
auto modeは、すべての承認をスキップする–dangerously-skip-permissionsに比べて安全な代替手段として開発されたとされています(参照*1)。
プロンプトインジェクション防御とトークン消費の特性
auto modeには、承認判断に対するプロンプトインジェクションへの防御機構が組み込まれています。プロンプトインジェクションとは、悪意のある指示を紛れ込ませてAIの挙動を操作する攻撃手法です(参照*1)。
auto modeではトークンの利用量が増えるとされています(参照*1)。そのため、利用時にはコストや応答の遅延も考慮する必要があります。
Auto-Accept Modeや–dangerously-skip-permissionsとの違い
Auto-Accept Mode(accept edits)の対象範囲と制約
Auto-Accept Modeは、Claude Codeの操作中にShift+Tabを押すことで切り替えられるモードの1つです。画面上には「accept edits on」と表示されます。このモードでは編集の提案だけが自動承認され、すべてのツール実行に無制限の許可が与えられるわけではありません。ファイルの読み取りや検索などの操作では、引き続き確認が求められる場合があります(参照*4)。
Auto-Accept Modeは、ファイル編集の承認だけを省略したい場面に向いています。コマンド実行を含む幅広い操作まで自動化したい場合は、auto modeや後述の–dangerously-skip-permissionsとの違いを把握したうえで選択する必要があります。
–dangerously-skip-permissionsのリスクと利用実態
–dangerously-skip-permissionsは、Claude Codeのすべての承認をスキップするオプションです(参照*1)。このオプションでは、すべてのツールが許可プロンプトなしで実行され、Claudeがシステムに対するフルアクセスを持つとされています(参照*5)。
中断を避ける目的で利用するユーザーがいる一方、auto modeは–dangerously-skip-permissionsに比べて安全な代替手段として提供されるとされています(参照*1)。–dangerously-skip-permissionsは慎重に使う必要があり、組織の管理ポリシーによってこのオプション自体を無効化することもできます(参照*6)。
3モードの比較表と判断基準
3つのモードの特徴を整理します。
| 項目 | Auto-Accept Mode | auto mode | –dangerously-skip-permissions |
|---|---|---|---|
| 自動承認の範囲 | ファイル編集の提案のみ | 承認判断をAIが処理 | すべての承認をスキップ |
| プロンプトインジェクション防御 | なし | 防御機構あり | なし |
| トークン消費の増加 | なし | 増える | なし |
| 推奨環境 | 通常の開発環境 | 隔離された環境 | 管理が行き届いた環境のみ |
| 有効化方法 | Shift+Tabで切り替え | 提供元の案内に従って有効化 | 起動時にフラグを付与 |
編集の承認だけを省きたい場面ではAuto-Accept Modeを、長時間タスクで幅広い操作を自動化しつつ安全策も確保したい場面ではauto modeを、それぞれ検討してみてください。–dangerously-skip-permissionsは、すべての承認をスキップするため、利用する場合はリスクを十分に評価したうえで判断する必要があります。
auto modeの有効化手順と管理者による無効化設定
開発者がauto modeを有効にする方法
auto modeは、提供元の案内に従って有効化します(参照*1)。利用を開始する前に、どの範囲の承認判断が自動化されるのかを確認しておくことがポイントです。
組織の管理者がauto modeを無効化している場合は、利用できません(参照*1)。チームの方針としてauto modeの利用可否をあらかじめ確認しておくと、作業開始時に戸惑わずに済みます。
MDM/OSレベルポリシーでの無効化手順
組織としてauto modeの利用を禁止したい場合は、OSレベルの仕組みで制御できると案内されています(参照*1)。
管理設定(Managed settings)は、ユーザー設定やプロジェクト設定で上書きできない仕組みです(参照*6)。そのため、組織ポリシーとして無効化したい場合は、管理設定の適用を前提に検討する必要があります。
ファイルベースのmanaged settingsによる制御
auto modeは、ファイルベースでも利用できないようにする方法が案内されています(参照*1)。
管理設定(Managed settings)の配布方法として、managed-settings.jsonを含むファイルベースの仕組みが説明されています(参照*6)。
auto mode導入時の注意点とベストプラクティス
隔離環境での利用が推奨される理由
auto modeは一定のリスクがあるため、外部から隔離された環境での利用が推奨されています(参照*1)。隔離環境とは、本番のサービスや機密データにアクセスできない、テスト用の独立した環境を指します。
プロの開発者は、AIエージェントが得意とするのは明確に記述された単純なタスクであり、複雑なタスクには向かないと評価する傾向があります(参照*3)。auto modeを本番環境で使うことは避け、まずはサンドボックスやコンテナなどの隔離環境で挙動を確認してから導入範囲を検討するのが現実的です。
allow/denyリストやHooksとの併用による多層防御
auto modeの安全性を高めるには、allow/denyリストやHooksを組み合わせる考え方があります。公開APIのツール呼び出しのうち、元に戻せない操作と判定されたのは0.8%にとどまるという調査結果もありますが、取り消しが利かない操作は存在します(参照*2)。
auto mode単体で完全な安全性を期待するのではなく、組織やプロジェクトの方針に合わせて多層的な防御を検討することがポイントです。権限の考え方として、Hooksやallow/denyのルール、権限モードなどが整理されています(参照*5)。
おわりに
Claude Codeのauto modeは、承認の中断を減らしながらプロンプトインジェクション防御を備えた新しい選択肢です。Auto-Accept Modeや–dangerously-skip-permissionsとは自動化の範囲と安全策が異なるため、作業の性質に応じた使い分けが求められます。
導入にあたっては、隔離環境での検証、権限設計(allow/denyやHooksなど)の検討、組織ポリシーでの制御という観点を押さえておくと運用しやすくなります。リサーチプレビューの段階から準備しておくことで、正式リリース後もスムーズに活用できます。
監修者
安達裕哉(あだち ゆうや)
デロイト トーマツ コンサルティングにて品質マネジメント、人事などの分野でコンサルティングに従事しその後、監査法人トーマツの中小企業向けコンサルティング部門の立ち上げに参画。大阪支社長、東京支社長を歴任したのち2013年5月にwebマーケティング、コンテンツ制作を行う「ティネクト株式会社」を設立。ビジネスメディア「Books&Apps」を運営。
2023年7月に生成AIコンサルティング、およびAIメディア運営を行う「ワークワンダース株式会社」を設立。ICJ2号ファンドによる調達を実施(1.3億円)。
著書「頭のいい人が話す前に考えていること」 が、82万部(2025年3月時点)を売り上げる。
(“2023年・2024年上半期に日本で一番売れたビジネス書”(トーハン調べ/日販調べ))
参照
- (*1) ITmedia NEWS – Claude Codeに「オートモード」登場 承認作業をAIで自動化
- (*2) Measuring AI agent autonomy in practice
- (*3) https://rlisahuang.com/files/agents_study_25.pdf
- (*4) SmartScope – Claude Code Auto Approve: How to Auto-Accept Edits & Commands (2026) ¶
- (*5) Claude API Docs – Configure permissions
- (*6) Claude Code Docs – Claude Code settings
