Claude Code GitHub Actionsの使い方｜セットアップ・活用例・料金・セキュリティまで解説

Claude Code GitHub Actionsは、Anthropicが公式に提供するGitHub Actionで、PRやIssueのコメントで @claude とメンションするだけでコードレビュー・バグ修正・機能実装を自動化できるツールです。

この記事では、Claude Code GitHub Actionsのセットアップ手順、具体的な使い方、ワークフロー設定例、料金、セキュリティ対策までを公式情報をもとに整理します。

この記事でわかること：

• Claude Code GitHub Actionsで何ができるのか
• 3つのセットアップ方法と具体的な手順
• 実務で使えるワークフローYAMLの書き方
• API課金とMaxプラン、どちらを選ぶべきか
• セキュリティリスクと対策
• 導入に向いているチーム・向いていないチーム

想定読者： GitHub Actionsの基本は理解しており、CI/CDにAIを組み込みたいエンジニア・テックリード

Claude Code GitHub Actionsとは？ 何ができるのか

Claude Code GitHub Actionsは、Anthropicが公式に開発・メンテナンスしているGitHub Actionです（リポジトリ：anthropics/claude-code-action、MIT License）。GitHub Marketplaceで公開されており、GitHubが公式パートナーとして検証済みです。

主にできることは以下の3つです。

インタラクティブモード（@claude メンション）

PRやIssueのコメントで @claude とメンションすると、Claudeがコードを読み取り、以下を実行します。

• コードに関する質問への回答
• バグ修正の実装とコミット
• 機能追加の実装
• コードレビューとインラインコメントでの改善提案

開発者がPR上で「この関数のエラーハンドリングを追加して」と書くだけで、Claudeが修正コミットを作成してくれます。

オートメーションモード（自動実行）

人間のメンションなしに、特定のイベントで自動的にClaudeを起動するモードです。

• スケジュール実行（cron）：毎日決まった時刻にコードの品質チェック
• ラベルトリガー：特定のラベルが付いたIssueを自動でPR化
• Issueアサイン：アサインされたIssueをClaudeが自動で実装開始
• workflow_dispatch：手動ボタンで任意のタイミングに実行

レビューモード

PR作成・更新時にClaudeが自動でコードレビューを行います。差分を分析し、バグの可能性やコード品質の改善点をコメントとして投稿します。

v1.0ではモードの自動検出が導入され、手動でモードを切り替える必要はありません。

セットアップ手順（3つの方法）

Claude Code GitHub Actionsのセットアップには3つの方法があります。チームの規模や要件に合わせて選んでください。

方法1: クイックセットアップ（個人・小規模チーム向け）

最も手軽な方法です。ローカルでClaude Codeを開いて以下のコマンドを実行します。

claude /install-github-app

このコマンドを実行すると、以下がインタラクティブにガイドされます。

1. Claude GitHub Appのインストール
2. リポジトリのSecretsに ANTHROPIC_API_KEY を設定
3. ワークフローYAMLファイルの配置

前提条件： リポジトリの管理者権限が必要です。

方法2: 手動セットアップ（標準的な方法）

クイックセットアップが使えない環境や、設定内容を確認しながら進めたい場合はこちらの手順です。

ステップ1：Claude GitHub Appをインストール

https://github.com/apps/claude にアクセスし、対象リポジトリにインストールします。

ステップ2：API キーをSecretsに追加

リポジトリの Settings > Secrets and variables > Actions から、ANTHROPIC_API_KEY を追加します。

ステップ3：ワークフローYAMLを配置

.github/workflows/claude.yml を作成し、以下の内容を記述します。

name: Claude Code
on:
  issue_comment:
    types: [created]
  pull_request_review_comment:
    types: [created]
jobs:
  claude:
    runs-on: ubuntu-latest
    steps:
      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}

これだけで、PRやIssueのコメントに @claude と書くとClaudeが応答するようになります。

方法3: カスタムGitHub App（エンタープライズ向け）

組織のブランド名で表示したい場合や、独自の認証フローが必要な場合は、カスタムGitHub Appを作成して利用できます。

1. GitHub上で独自のGitHub Appを作成
2. actions/create-github-app-token でトークンを生成
3. APP_ID と APP_PRIVATE_KEY をSecretsに設定

この方法は、社内ポリシーでサードパーティAppのインストールに制限がある組織に適しています。

認証方法の選び方

Claude Code GitHub Actionsには4つの認証方法があります。環境や契約形態に応じて使い分けます。

個人やスタートアップには、Anthropic API直接利用が手軽です。Maxプラン加入者は、claude setup-token で発行したOAuthトークンを使うことで、API従量課金を避けてプラン料金内で利用できます。

AWS・GCPをメインで使う企業は、Bedrock / Vertex AI経由のOIDC認証を使うことで、既存のクラウド課金に統合できます。

実践ワークフロー：ユースケース別YAML設定

基本のセットアップに加え、実務で使えるワークフロー例を紹介します。

ユースケース1：PR自動コードレビュー

PR作成時にClaudeが自動でコードレビューを行う設定です。

name: Claude Code Review
on:
  pull_request:
    types: [opened, synchronize]
  issue_comment:
    types: [created]
  pull_request_review_comment:
    types: [created]
jobs:
  review:
    runs-on: ubuntu-latest
    steps:
      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
          claude_args: "--max-turns 5"

--max-turns 5 を設定しておくと、過剰なイテレーションによるコスト増加を防げます。

ユースケース2：Issueからの自動PR作成

ラベルをトリガーに、IssueからPRを自動作成する設定です。

name: Claude Issue to PR
on:
  issues:
    types: [labeled]
jobs:
  implement:
    if: github.event.label.name == 'claude'
    runs-on: ubuntu-latest
    steps:
      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
          prompt: "このIssueの内容を実装し、PRを作成してください"
          claude_args: "--max-turns 15"

Issueに claude ラベルを付けるだけで、Claudeが実装を開始しPRを作成します。

ユースケース3：定期セキュリティチェック

cronでスケジュール実行し、コードの脆弱性チェックを自動化する設定です。

name: Claude Security Audit
on:
  schedule:
    - cron: '0 9 * * 1'  # 毎週月曜9:00 UTC
  workflow_dispatch:
jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
          prompt: "セキュリティの観点でコードベースを分析し、脆弱性や改善点をIssueとして報告してください"
          claude_args: "--max-turns 20 --model claude-opus-4-6"

高精度な分析が必要な場合は --model claude-opus-4-6 でOpusモデルを指定できます。デフォルトはSonnet 4.6です。

主要パラメータとカスタマイズ

ワークフローYAMLで指定できる主なパラメータを整理します。

claude_args でよく使うオプション

claude_args に渡せるCLIオプションは以下の通りです。

• --max-turns N：最大会話ターン数（デフォルト: 10）。コスト管理に重要
• --model MODEL：使用モデルの指定（例: claude-opus-4-6）
• --mcp-config PATH：MCPサーバー設定ファイルのパス
• --allowedTools TOOLS：許可するツールのリスト
• --disallowedTools TOOLS：禁止するツールのリスト
• --append-system-prompt "TEXT"：カスタム指示の追加
• --debug：デバッグ出力を有効化

CLAUDE.mdによるプロジェクトルール定義

リポジトリのルートに CLAUDE.md ファイルを置くと、Claudeがそのプロジェクト固有のルールやコーディング規約を理解した上で作業を行います。

# CLAUDE.md

## コーディング規約
- TypeScriptを使用し、anyは禁止
- 関数にはJSDocコメントを必ず付ける
- テストはVitestで書く

## レビュー基準
- パフォーマンスに影響する変更はベンチマーク結果を含める
- セキュリティに関わるコードは必ず人間がレビュー

チーム固有のルールや、コードレビューの基準を記述しておくことで、Claudeの出力品質が大幅に向上します。

料金：API課金 vs Maxプラン、どちらを選ぶべきか

Claude Code GitHub Actionsのコストは、認証方法によって大きく変わります。

API従量課金の場合

Anthropicの公式データでは、開発者1人あたりの1日の平均利用コストは約$6（約900円）で、90%のユーザーは$12/日以下に収まるとされています。

月額コスト目安（API従量課金）：

• 個人開発者（1日1〜2回のレビュー）：月$50〜100程度
• 小規模チーム（5人、1日3〜5回のレビュー）：月$300〜600程度

Maxプラン定額の場合

Maxプランではプラン料金内で利用でき、API従量課金が発生しません（レートリミットあり）。

claude setup-token でOAuthトークンを発行し、CLAUDE_CODE_OAUTH_TOKEN としてSecretsに設定します。

どちらを選ぶべきか

注意： GitHub Actions自体のランナー実行時間の消費も別途発生します。パブリックリポジトリには無料枠がありますが、プライベートリポジトリでは分数課金が適用されます。

ベータ版（@beta）からv1.0への移行

2026年のv1.0正式リリースに伴い、ベータ版から破壊的変更が入っています。既存ユーザーは以下の対応が必要です。

移行手順：

1. ワークフローYAMLの @beta を @v1 に変更
2. 非推奨パラメータを新しい形式に書き換え
3. mode 指定がある場合は削除（v1.0では自動検出）

セキュリティ対策：導入前に確認すべきポイント

Claude Code GitHub Actionsは便利ですが、適切なセキュリティ設定なしに導入するとリスクがあります。

APIキーの管理

• 絶対にコードやログに直接記載しない。 必ずGitHub Secrets（${{ secrets.ANTHROPIC_API_KEY }}）を使用する
• 定期的なキーのローテーションを推奨
• キーの権限スコープを最小限にする

アクセス制御

• デフォルトでは、リポジトリに書き込み権限を持つユーザーのみが @claude を起動可能
• allowed_non_write_users で権限のないユーザーを許可できるが、公開リポジトリでは悪意あるプロンプトインジェクションのリスクが大きい
• 外部コントリビューターが多いリポジトリでは、トリガー権限を厳しく設定する

コスト制御

想定外の利用でAPIコストが膨らむのを防ぐため、以下の設定を推奨します。

jobs:
  claude:
    timeout-minutes: 30  # ワークフローレベルのタイムアウト
    concurrency:
      group: claude-${{ github.event.issue.number }}
      cancel-in-progress: true  # 同一Issue/PRの並列実行を防止
    steps:
      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
          claude_args: "--max-turns 10"

• timeout-minutes でワークフロー全体のタイムアウトを設定
• concurrency で同一PRへの並列実行を制御
• --max-turns で過剰なイテレーションを防止

ツールの制限

Claudeが実行できるツール（コマンド）を制限することで、意図しない操作を防げます。

claude_args: "--disallowedTools 'Bash(rm*)' --disallowedTools 'Bash(curl*)'"

できないこと・制約事項

Claude Code GitHub Actionsには以下の制約があります。導入前に把握しておきましょう。

• 正式なPRレビュー（Approve / Request Changes）は送信できない。 コメントは可能だが、GitHubの承認フローの権限は持てない
• 1回のインタラクションで1コメントのみ。 複数の独立した返答は不可
• ローカルのClaude Codeと異なり、ステップバイステップの対話は困難。 指示は1回のメンションで明確に伝える必要がある
• GitHub Actionsの実行時間制限に従う。 デフォルト6時間のタイムアウト
• デフォルトモデルはSonnet 4.6。 Opus 4.6を使いたい場合は明示的に --model claude-opus-4-6 を指定
• 許可されていないBashコマンドの実行不可。 セキュリティ上、制限されたコマンドのみ実行される

トラブルシューティング

導入時によくある問題と解決方法をまとめます。

@claude にメンションしても反応しない

1. Claude GitHub Appがインストールされているか確認。 リポジトリの Settings > GitHub Apps で確認
2. ANTHROPIC_API_KEY がSecretsに正しく設定されているか確認。 キーの先頭・末尾に空白が入っていないか注意
3. ワークフローYAMLのトリガーイベントを確認。 issue_comment と pull_request_review_comment の両方が必要
4. Actionsタブでワークフローの実行履歴を確認。 エラーログが出ていないか確認する

ワークフローがタイムアウトする

• --max-turns の値を下げる（5〜10程度が推奨）
• 指示を具体的にする（曖昧な指示だとClaudeが試行錯誤を繰り返す）
• timeout-minutes でワークフローのタイムアウトを明示的に設定する

コストが想定より高い

• --max-turns を設定しているか確認。未設定だとデフォルト10ターンまで実行される
• --model を確認。意図せずOpusを指定していないか
• concurrency 設定で同一PRへの並列実行を制限する

ローカルのClaude Codeとの違い

Claude Code GitHub Actionsは、ローカルで使うClaude Codeとは異なる特性を持っています。

使い分けの目安： 個人の開発作業にはローカルのClaude Codeを使い、チームでのPRレビューやIssue対応の自動化にはGitHub Actions版を使うのが効果的です。

こんなチームにおすすめ / おすすめしないチーム

導入をおすすめするチーム

• PRレビューが滞りがちなチーム。 レビュー待ちの時間を削減し、開発速度を上げたい場合
• コーディング規約の統一が課題のチーム。 CLAUDE.md にルールを定義することで、一貫したレビュー基準を適用できる
• Issue駆動の開発フローを効率化したいチーム。 ラベルやアサインで自動実装をトリガーできる
• 少人数で多くのリポジトリを管理しているチーム。 定型的なレビューをClaudeに任せることでレビュー負荷を分散

おすすめしないチーム

• GitHub Actionsの基本的な使い方に不慣れなチーム。 ワークフローYAMLの設定やデバッグに時間がかかる
• 機密性の高いコードを扱い、外部APIへのデータ送信を許可できない組織。 Bedrock / Vertex AI経由で自社環境に閉じる方法もあるが、設定難易度は上がる
• コスト管理が厳しく、従量課金に抵抗がある場合。 まずはMaxプラン定額か、限定的な利用から始めるのが安全
• 本番デプロイ前の最終レビューをAIだけに任せたいチーム。 Claudeのレビューはあくまで補助であり、人間による最終確認は現時点では不可欠

よくある質問（FAQ）

Q1. 無料で使えますか？

GitHub Actions自体はパブリックリポジトリで無料枠がありますが、Claude Code GitHub Actionsの実行にはAnthropic APIキー（従量課金）またはMaxプランの契約が必要です。完全無料での利用はできません。

Q2. 日本語で指示できますか？

はい、@claude メンション時に日本語で指示を書けば、日本語で応答します。CLAUDE.md も日本語で記述できます。ただし、デフォルトのモデル（Sonnet 4.6）でも日本語対応の精度は高いため、特別な設定は不要です。

Q3. プライベートリポジトリでも使えますか？

使えます。ただしGitHub Actionsの実行分数がプライベートリポジトリでは課金対象になるため、ランナーコストを考慮してください。

Q4. Claudeが変なコードをコミットしたらどうなりますか？

Claudeが作成したコミットは通常のコミットと同じ扱いです。PRとしてマージ前に人間がレビューできるため、直接mainブランチに変更が入ることはありません（ブランチ保護を設定している場合）。CLAUDE.md でルールを明記することで、意図しない変更のリスクを下げられます。

Q5. DependabotやRenovateのPRにもClaudeを適用できますか？

はい、allowed_bots パラメータで対象のBotを指定することで、BotのPRにもClaudeのレビューを適用できます。

with:
  allowed_bots: "dependabot[bot],renovate[bot]"

Q6. MCPサーバーとの連携は可能ですか？

--mcp-config オプションでMCPサーバー設定ファイルを指定することで、外部ツール（AWSドキュメント、社内ナレッジベースなど）と連携した作業が可能です。

まとめ

Claude Code GitHub Actionsは、PRレビュー・Issue対応・コード品質管理をAIで自動化できる公式ツールです。セットアップはclaude /install-github-app コマンドで数分で完了し、@claude メンションですぐに使い始められます。

導入のポイントを改めて整理します。

• 最初はシンプルな設定から始める。 まずは @claude メンションでのPRレビューだけを導入し、効果を確認してからオートメーションを追加
• --max-turns と timeout-minutes でコストを管理する。 設定なしだと予期しないコスト増の原因になる
• CLAUDE.md でプロジェクトルールを定義する。 Claudeの出力品質を大きく左右する
• 人間のレビューを完全に置き換えるものではない。 補助ツールとして活用し、最終判断は人間が行う

関連記事：

• Claude Codeとは？機能・料金・使い方を解説
• Claude料金を徹底比較｜無料・Pro・Max・APIの違い
• AIコーディングツールおすすめ比較
• Claudeとは？機能・料金・ChatGPTとの違いを整理