Claude Code「Code Review」完全ガイド|自動コードレビューの仕組み・料金・/code-reviewコマンドの使い方【2026年7月版】
「claude code review」で検索して最初に迷うのは、同じ名前で性質の違う2つがある点です。1つはAnthropicが管理画面から有効化するマネージドのCode Review(GitHub AppがPull Requestを自動レビューするクラウド機能)、もう1つはClaude Code CLIの中でローカル実行する/code-reviewコマンドです。本記事は両者を切り分けたうえで、仕組み・料金・有効化手順・設定ファイル・ローカルコマンドの使い方・GitHub Actionsとの使い分けを、2026年7月時点の公式ドキュメントに沿って整理します。レビューそのものの目的・観点・進め方はコードレビューの目的・観点・進め方の解説記事を先に押さえておくと理解が早まります。
目次
まとめ:導入前に押さえる5つの要点
- 提供形態:マネージドCode Reviewは2026年7月時点もリサーチプレビューで、対象はTeam/Enterpriseのみ。ProやMax、Zero Data Retention(ZDR)有効組織では使えない。
- 仕組み:複数エージェントがPR差分と周辺コードを並列解析し、検証ステップで偽陽性を除去してから重大度順にインラインコメントを投稿する(1回あたり平均約20分)。承認・ブロック権限は持たず、判断は人間が行う補助ツール。
- 料金:トークン従量課金で1回平均15〜25ドル。プラン込み枠とは別に課金され、月次スペンドキャップと「PR作成時のみ/毎プッシュ/手動」のトリガー設定でコストを抑える。
- チューニング:
CLAUDE.mdでチームの規約を、REVIEW.mdでレビュー観点・スキップルール・重大度をリポジトリ単位に上書きできる。 - ローカル版:
/code-reviewはGitHub App不要でどのプランでも使える。--commentでPRコメント投稿、--fixで作業ツリーへ修正適用、ultraでクラウドの深いレビュー、low〜maxのeffortで粒度を調整する。
Code Reviewの仕組み|マルチエージェント構造と従来レビューとの違い
並列解析→検証→重大度ランキングの3段階フロー
マネージドCode ReviewがPRに対して行う処理は3段階に分かれます。第1段階では複数のエージェントがPRの差分と周辺コードをAnthropicのインフラ上で並列に読み込み、それぞれ別のクラスの問題(ロジックエラー、セキュリティ脆弱性、エッジケースの未処理など)を探索します。第2段階では各エージェントが挙げた候補を検証ステップにかけ、実際のコード動作と照合して「コード上は問題に見えるが実行時には影響しない」偽陽性を除去します。第3段階で残った所見を重複排除し、重大度順にランク付けしてPRのインラインコメントとして投稿します。単一モデルが一度通しで読む軽量レビューと違い、多角的な視点と検証を組み合わせることでシグナル対ノイズ比を高めている点が構造上の特徴です。
承認・ブロック権限を持たない「補助ツール」設計
設計方針として明確なのは、Code ReviewがPRの承認やブロックを行わないことです。所見はインラインコメントと概要コメントとして投稿されますが、PRのステータスを変える権限は持たず、マージ可否は従来どおり人間が判断します。所見には重大度タグが付き、重要な指摘(Important)ほど上位に、軽微な指摘(Nit)や既存コードの問題(Pre-existing)は下位に整理されます。既定ではフォーマットやスタイルではなく正確性(correctness)に焦点を絞るため、好みの指摘によるノイズが出にくい設計です。AIがマージをブロックすると誤検知でフローが止まるうえ、チームごとのマージポリシーと衝突します。情報提供に徹することで導入障壁を下げ、レビュアーが注力すべき箇所を事前に絞り込む前処理として機能します。
Anthropicが公表する社内実測データの読み方
効果の目安としてAnthropicが公表しているのは、いずれも自社の社内本番環境での実測値です。導入前は実質的なレビューコメントが付くPRが全体の16%にとどまっていたのが、導入後は54%に上昇したと報告されています。背景には、AIコーディングの普及でエンジニア1人あたりのコード出力が大きく増え、レビュアーが全PRを丁寧に読む余裕を失っていた事情があります。検出力については、1,000行を超える大規模PRの84%に所見が出て平均7.5件、50行未満の小規模PRでも31%に所見が出て平均0.5件と公表されています。また投稿された所見のうちエンジニアが「不正確」とマークした割合は1%未満とされています。ただしこれらは第三者監査を受けた数値ではなくAnthropic自身の社内実測・発表値であり、中立のベンチマークではない点は割り引いて捉えるべきです。
何を検出するか|4分類の問題と潜在バグの見つけ方
ロジックエラー・セキュリティ・エッジケース・微妙なリグレッションの4分類
Code Reviewが対象とする問題は大きく4つに分かれます。ロジックエラー(条件分岐の誤りや初期化漏れなど本番でバグ化するもの)、セキュリティ脆弱性(SQLインジェクション、クロスサイトスクリプティング、認証・認可の欠陥など)、エッジケースの未処理(境界値や異常入力への対応漏れ)、そして微妙なリグレッション(既存コードの挙動を意図せず変える変更)です。セキュリティに絞ってさらに深く見たい場合は、後述するローカルの/security-reviewを併用する構成が有効です。
差分の周辺コードまで解析して潜在バグを捕捉する
Code Reviewの本質的な強みは、差分の行だけでなく差分が触れる周辺コードまで文脈として読む点にあります。Anthropicが公開した社内例では、本番サービスの認証処理に対するわずか1行の変更が、サービス全体の認証を破壊しうるリスクとして検出され、マージ前に修正されました。差分が小さいほど人間は確認を簡略化しがちですが、AIエージェントはPR規模にかかわらず一定の深度で解析します。社外例では、TrueNASのオープンソースミドルウェアにおけるZFS暗号化リファクタで、変更対象そのものではなく隣接する既存コードの型不一致を発見し、暗号化キーキャッシュが同期のたびにサイレントに消去される問題を未然に防いだ事例が公表されています。変更が間接的に露出させた既存バグを捕捉できるのは、コードベース全体のコンテキストを参照するマルチエージェント構造だからこそです。
有効化とGitHub連携の手順・権限・トリガー
管理画面からGitHub Appを導入してリポジトリを選ぶ
マネージドCode Reviewの導入は組織のOwnerが一度設定すれば、開発者側の追加設定は不要です。claude.aiの管理画面のClaude Code設定からセットアップを開始し、GitHubのプロンプトに従ってClaude GitHub Appを組織にインストールし、レビュー対象のリポジトリを選択します。インストール時に「All repositories」か「Only select repositories」かを選べるため、まず検証用リポジトリに限定して効果を確認し、段階的に対象を広げるのが安全です。対象リポジトリの追加・削除は管理画面からいつでも行えます。
要求される権限:Contents/Issues/Pull requestsの読み書き
Claude GitHub Appのインストール時に要求されるリポジトリ権限は、Contents(読み書き)、Issues(読み書き)、Pull requests(読み書き)です。Code Review機能そのものが実際に使うのはContentsの読み取りとPull requestsへの書き込み(インラインコメント投稿)ですが、同じGitHub Appで後からClaude Code GitHub Actionsを有効化する場合に備えて、より広い書き込み権限があらかじめ要求される構成になっています。セキュリティポリシーが厳格な組織では、要求される権限セットの内容を事前に情報セキュリティ部門と確認したうえで有効化してください。
トリガー3種とドラフトPRの自動スキップ
レビューの起動タイミングはリポジトリ単位で3種類から選べます。「PR作成後に1回」「毎プッシュ」「手動」で、手動はPRコメントに@claude review(1回だけなら@claude review once)と書いたときのみ実行されます。自動トリガーではドラフトPRはスキップされ(手動の@claude reviewはドラフトでも実行)、レビューはPRがオープンであることが前提です。クローズ済みPRやbotが自動生成するPRを一律に除外したい場合は、次章のREVIEW.mdにスキップルールを書くのが正攻法で、これは組み込みの自動スキップではなく設定で制御する項目です。頻繁にプッシュするトランクベース開発では「PR作成後に1回」、大きな機能ブランチで段階的に見たい場合は「毎プッシュ」が向きますが、毎プッシュはコミットのたびに課金されるため、トリガー選択はそのままコスト設計に直結します。
CLAUDE.mdとREVIEW.mdでレビューをチューニングする
CLAUDE.mdでチームの規約を文脈として渡す
CLAUDE.mdはプロジェクトのルート(およびディレクトリ単位で階層的)に置くマークダウンで、Claude Codeがセッション開始時に読み込む文脈です。Code Reviewもこれを参照するため、コーディング規約やアーキテクチャ方針を記述しておくと、その規約に照らした指摘が得られます。PRで新たに導入された規約違反はNit(軽微)レベルの指摘として扱われ、逆にコードとドキュメントの食い違いを双方向に検出することもあります。平文のマークダウンで機能するため、既存のコーディングガイドラインをそのまま転記する形で始められます。
REVIEW.mdでレビュー観点・スキップ・重大度を上書きする
REVIEW.mdはリポジトリのルートに置くレビュー専用のガイダンスファイルで、各レビューエージェントのシステムプロンプトに最優先で注入されます。CLAUDE.mdがプロジェクト全般の文脈であるのに対し、REVIEW.mdはレビューにだけ効く上書き指示という位置づけです。重大度の再定義、Nit指摘の上限、スキップルール(特定ディレクトリや自動生成PRの除外)、リポジトリ固有チェック、検証の厳しさ、再レビュー時の収束条件、サマリの形などを制御できます。「テストカバレッジ不足も指摘対象に含める」「スタイル指摘は不要」といった拡張・除外を明文化すれば、チーム全員が同じ基準でフィードバックを受けられます。なお@によるファイルインポート構文は展開されず、記述はそのまま貼り付けられて扱われる点は覚えておくと安全です。
1回15〜25ドルのコスト構造と暴走課金を防ぐ運用
トークン従量課金の変数とBedrock・Vertex利用時の請求
マネージドCode Reviewはトークン使用量に応じた従量課金で、1回あたり平均15〜25ドルです。コストを左右する主な変数は、PRの差分行数、リポジトリ全体のコードベースの規模と複雑度、そして所見の検証に要した処理量の3つで、小規模PRは数ドル、数千行の大規模リファクタは25ドル超になることもあります。この費用はプランに含まれる利用枠とは別のusage creditとして課金される点に注意が必要です。さらに、他のClaude Code機能でAmazon BedrockやGoogle Cloudのモデルを使っていても、Code Reviewの費用はそれらの請求ではなくAnthropicから直接請求されます。自社のクラウド請求に含まれると想定していると経理処理を誤るため、調達・経理部門には事前に共有しておくと処理ミスを防げます。
トリガー設定と月次スペンドキャップで青天井を防ぐ
コストに最も響くのはトリガー設定です。頻繁にプッシュするチームが「毎プッシュ」に設定すると、1つのPRで何度も課金され月間費用が数倍に膨らみます。OAuthでサブスクリプションを共有している場合はトークン上限の枯渇にもつながり、設定を誤ったまま放置して高額請求に至った事例も報告されています。対策の要は月次スペンドキャップです。claude.aiの管理画面(claude.ai/admin-settings/usage)でClaude Code Reviewサービスの月次上限を設定でき、上限に達するとそれ以降のレビューはスキップされ、PRにその旨のコメントが付いて翌請求期間まで停止します。初月は上限を高めに設定し、アナリティクスで実績を見てから翌月以降を調整する運用が実務的です。
| トリガー設定 | 実行タイミング | 1PRあたり回数 | コスト傾向 | 向いている開発スタイル |
|---|---|---|---|---|
| PR作成後に1回 | PR作成時 | 1回 | 低〜中 | 機能ブランチ完成後にPRを出すチーム |
| 毎プッシュ | コミットプッシュのたび | プッシュ回数分 | 中〜高 | 段階的にレビューを受けたいチーム |
| 手動 | @claude review 記入時 | 任意 | 最小 | 重要PRだけに絞りたいチーム |
アナリティクスとスキップ機能で無駄コストを削る
管理画面のアナリティクス(claude.ai/analytics/code-review)では、日次のレビュー件数、週次のコスト推移、コメントの自動解決状況、リポジトリ別の内訳を確認できます。管理設定のリポジトリ一覧にはリポジトリ別の平均レビュー費用も表示されるため、特定リポジトリでコストが突出していれば、PR規模が大きいのか毎プッシュ設定なのかを切り分けて対処できます。加えて、自動トリガーではドラフトPRがスキップされ、DependabotのようなbotがPRを大量生成するリポジトリではREVIEW.mdのスキップルールで除外することで、人間のレビューが本当に必要なPRだけにリソースを集中できます。
ローカルの/code-reviewでPRを出す前にセルフレビューする
/code-reviewの実行と–comment・–fix・ultra・effort
/code-reviewはマネージド版と違いGitHub Appを必要とせず、どのプランのClaude Codeセッションでも実行できる組み込みコマンドです。レビュー対象のブランチでClaude Codeを起動し/code-reviewと入力すると、複数の専門レビューエージェントが並列で解析を始めます。対象はファイルパス、PR番号、ブランチ名、main...my-featureのようなref範囲を指定できます。主なオプションは次のとおりです。
--comment:所見をPRのインラインコメントとして投稿する。--fix:レビュー後に指摘を作業ツリーへ直接適用する(Claude Code v2.1系で追加)。ultra:クラウド上でより深いマルチエージェントのultrareviewを実行する。/code-review ultra --fixで適用まで行う。- effortレベル(
low / medium / high / max):低いほど少数で高信頼な所見に絞り、高いほど広範だが不確実な所見も含む。
なお、旧バージョンでコードレビュー相当だった/simplifyは分離され、現在の/simplifyはバグ探索を伴わない品質クリーンアップ専用コマンドになっています。「0〜100の信頼度スコアで閾値80以上のみ出力し、commands/code-review.mdで数値を編集する」という説明が出回っていますが、組み込みコマンドがユーザーに公開しているのは数値の閾値ではなくeffortレベルです。0〜100の信頼度フィルタは公式プラグイン内部の実装であり、利用者が数値で直接設定する公式手段は用意されていないため、粒度調整はeffortで行うのが正しい理解です。
/security-review・/reviewとの使い分けとcode-review-graph
Claude Codeにはレビュー系のコマンドが複数あり、役割が異なります。/code-reviewは自分の作業差分のレビュー、/reviewはGitHub上のPRのレビュー(自分の作業差分なら/code-reviewを使う、と公式が案内)、/security-reviewは保留中の変更に対するセキュリティ専用レビューです。セキュリティに敏感なディレクトリ(認証・決済・ユーザーデータ処理など)を含むPRでは、通常のレビューに/security-reviewを重ねる多層構成が実効的です。検索で見かけるcode-review-graphはAnthropic純正ではなく、Tree-sitterとSQLiteでコードベースをグラフ化しMCP経由でClaudeに渡してトークン消費を抑える第三者コミュニティ製ツールである点に注意してください。
マネージドCode ReviewとGitHub Actionsの使い分け
実行環境とコストの違い
マネージドCode ReviewはAnthropicのインフラ上で完結し、自社のCIランナーを消費せず管理負荷ゼロで動きます。一方、Claude Code Action(GitHub Actions連携)は自社のCIパイプラインでClaudeを動かすDIY型で、ワークフローYAMLの記述やトークンの管理を自分で行う代わりに、実行条件やプロンプトを細かくカスタマイズできます。コストはマネージドが1回15〜25ドルの深い解析、GitHub Actionsは標準APIの従量課金で軽量なら1回数ドル程度に収まります。
| 比較項目 | Code Review(マネージド) | GitHub Actions(セルフホスト) |
|---|---|---|
| 実行環境 | Anthropicのインフラ | 自社CI(ubuntu-latest等) |
| 1回あたりコスト | 平均15〜25ドル | 数ドル程度(プロンプト・モデル依存) |
| 月間50PR概算 | 750〜1,250ドル | 50〜250ドル |
| 解析の深度 | マルチエージェント・検証付き | 設定次第(軽量が一般的) |
| カスタマイズ性 | REVIEW.md中心 | YAML・プロンプトを完全制御 |
@claudeメンションなどインタラクティブ機能とセカンドオピニオン運用
GitHub ActionsにはCode Reviewにない対話機能があります。PRやIssueのコメントで@claudeとメンションすれば修正や実装を依頼でき、Issueに要件を書いて@claudeを呼べば実装コードを生成してPRを自動作成することもできます。読み取りに徹するCode Reviewとは対照的に、生成・修正まで踏み込めるのが違いです。両者は排他ではなく併用でき、重要リポジトリはマネージドCode Reviewで深く、その他はGitHub Actionsで軽量に、という使い分けが実務に合います。さらにClaude以外のエンジンによるプラグインを重ねてセカンドオピニオンを得たり、pr-review-toolkit(review-prプラグイン)のようなツールで観点を補完したりする多層運用も、品質にシビアなプロジェクトで実践されています。
導入前に押さえる限界とデータの取り扱い
人間レビューを補完する位置づけと拡張推論の透明性
Code Reviewは万能ではなく、Anthropicも一貫して「人間レビューを代替するものではなく補完するもの」と位置づけています。型不一致や未処理のエラーパス、既知の脆弱性パターンといった機械が見つけやすい問題はAIが洗い出し、設計意図の妥当性やビジネスロジックの正しさ、ユーザー体験への影響といった高次の判断は人間が担う分業が最も効果的です。投稿コメントには折りたたみ式の拡張推論(extended reasoning)が付き、なぜその問題を検出し、どの検証を経て確信度を判定したかを確認できます。根拠が可視化されているため、同意する場合も誤検知と判断する場合も論理的に扱え、レビューコメントの形骸化を防げます。
学習非使用ポリシーとプレビュー段階の制約
Code ReviewはリポジトリのコードをAnthropicのインフラに送って解析するため、データの取り扱いは導入判断の要点です。Anthropicは顧客のデータをモデルの学習に使用しないと明示していますが、データ保持期間や暗号化方式、コンプライアンス認証の詳細は組織ごとに確認が必要で、機密性の高いコードを扱う場合はエンタープライズ営業やセキュリティ担当に事前確認しておく必要があります。リサーチプレビュー段階の制約として、対象がTeam/Enterpriseに限られること、ZDR有効組織では利用できないこと、GitHub以外のGitLabやBitbucketには未対応であることが挙げられます。料金体系や対応範囲は変わりうるため、導入検討時は必ず公式ドキュメントで最新状況を確認してください。
よくある質問
Claude Code Reviewの料金は1回いくらですか?
マネージドCode Reviewはトークン従量課金で1回平均15〜25ドルです。PRの規模やコードベースの複雑度で変動し、大規模リファクタでは25ドルを超えることもあります。「毎プッシュ」トリガーだと1PRで何度も課金されるため、月次スペンドキャップの設定と「PR作成後に1回」または「手動」トリガーでの運用がコスト管理の基本です。
ProプランやMaxプランでもCode Reviewは使えますか?
GitHub Appで自動レビューするマネージドCode ReviewはTeam/Enterprise限定で、ProやMaxでは使えません。一方、ローカルの/code-reviewコマンドはGitHub Appを必要とせず、どのプランのClaude Codeでも利用できます。個人利用でレビューを試したい場合はローカルコマンドから始めるのが手堅い選択です。
REVIEW.mdとCLAUDE.mdは何が違いますか?
CLAUDE.mdはプロジェクト全般の文脈をClaude Codeに渡すファイルで、Code Reviewを含む各機能が参照します。REVIEW.mdはレビューにだけ効く上書き指示で、重大度の再定義、Nit指摘の上限、スキップルール、検証の厳しさなどをリポジトリ単位で制御します。全般の方針はCLAUDE.md、レビュー固有の観点はREVIEW.mdと分けて書くのが基本です。
ローカルの/code-reviewとマネージドCode Reviewはどう違いますか?
ローカルの/code-reviewはCLI内でPRを出す前に自分でレビューを回すコマンドで、--fixで修正適用やultraで深いレビューまで行えます。マネージドCode ReviewはGitHub AppがPR作成・更新時に自動でクラウドレビューを実行する有料サービスです。ローカルで先に指摘を潰しておくと、マネージド側の所見数を減らしてレビューサイクルとコストの両方を圧縮できます。
GitLabやBitbucketでもCode Reviewは使えますか?
2026年7月時点のマネージドCode ReviewはGitHubのみ対応で、GitLabやBitbucketには未対応です。これらのホスティングを使う場合は、当面はローカルの/code-reviewや、自社CIで動かすGitHub Actions相当の仕組みを代替として検討することになります。あわせて、claude-peers-mcpについても解説しています。