仕組みを知ればリスクの所在が分かる
前回は多層防御について学びました。今回はClaude Codeのセキュリティを扱う前に、Claude Codeが裏側でどのような仕組みで動いているのかをおさらいします。仕組みが分かれば、どこにセキュリティのリスクが存在するのかが見えてきます。
登場する3つの要素
Claude Codeを使うとき、登場するものは大きく次の3つに分けられます。
- あなた(ユーザー):Claude Codeを使う自分自身
- Claude Code:実際に手を動かす実行役
- Claudeモデル:どうすべきかを考える頭脳
この流れを時系列で表した図を「シーケンス図」と言います。Excalidrawなどの MCP サーバーを使っている場合は、Claudeに「シーケンス図を作って」と頼むと作成してくれることもあります。
処理の流れ
Claude CodeとClaudeモデルは別のものです。Claude Codeは手を動かす役で、ファイルの探索・編集・作成・削除など、Claudeモデルから言われたことを実行します。
- ユーザーがClaude Codeにプロンプトを投げます(「〜を実装して」「〜のファイルを確認して」など)。
- Claude Codeは自分で考えるのではなく、Claudeモデルに「こういう指示が来ましたが、何を実行すればいいですか」と尋ねます。
- Claudeモデルは「それならこのコマンドを実行して」「まず探索して」「このファイルを作成して」といった指示を返します。
- Claude Codeは言われたとおりにファイルの編集や読み取りを実行します。
- 実行結果をClaudeモデルにもう一度返します。
- Claudeモデルが「それならOKです」と判断し、Claude Codeを通じて、ユーザーに「ファイルを編集できました」「作成できました」と最終的に出力します。
これがClaude Codeの裏側で行われている、ざっくりとした動きです。次の動画では、この流れのどこでセキュリティリスクが発生するのかを解説します。リスクが理解できれば、実際にClaude Codeを使う中で、どうやって壁を建てて守っていくかも見えてきます。