Claude Code の権限モード徹底解説|auto モードを中心に6種類の違いと使い分け
Claude Code の権限モードとは、ファイル編集やコマンド実行などの操作を「どこまで自動で許可し、どこでユーザーに確認を取るか」を切り替える設定です。モードは6種類あり、すべて確認する default から、確認をほぼ省きつつ別の分類モデル(classifier)が安全性を審査する auto、確認を完全に飛ばす bypassPermissions まで段階的に用意されています。本記事では各モードの違いと、近年追加された auto モードを中心に、安全な使い分けを整理します。
権限モードは6種類ある
Claude Code には次の6つの権限モードがあります。ターミナルで Shift+Tab を押して循環切替できるのは default → acceptEdits → plan の3つです。残りは出し方が異なります:auto は要件を満たすとオプトインで循環に加わり、bypassPermissions は起動時の有効化フラグを付けたあとに循環へ現れ、dontAsk は循環に出ず --permission-mode dontAsk フラグで指定します。
| モード | 挙動の要約 |
|---|---|
| default | 操作のたびに確認を取る(都度確認) |
| acceptEdits | ファイル編集を自動承認する |
| plan | 実行せず、計画の提示のみ行う |
| auto | 分類モデルが実行前に審査し、安全な操作の許可プロンプトをほぼ消す |
| dontAsk | 許可リスト記載のツールと読み取り専用コマンドのみ実行、他は自動拒否 |
| bypassPermissions | 確認を飛ばす(隔離環境専用・要注意) |
権限モードがある理由は、Claude Code がファイルの書き込みや任意のコマンド実行といった、環境に影響を与えうる操作を扱うためです。確認ステップは、意図しない変更や危険な操作を未然に防ぐための安全装置として機能します。
各モードの挙動
default(都度確認)
操作のたびにユーザーへ確認を取る基本モードです。何が実行されるかを1つずつ把握したい場面、Claude Code を使い始めたばかりで挙動を確認しながら進めたい場面に向きます。
acceptEdits(編集を自動承認)
ファイル編集を自動承認するモードです。編集内容を毎回確認する手間を省けるため、修正方針が固まった定型作業に慣れてきた段階で有効です。
plan(実行せず計画のみ)
操作を実行せず、計画の提示のみを行うモードです。実際の変更を加える前に、Claude Code が何をしようとしているかを設計・検討したい場面で使います。実行まで進む他モードとは正反対の立ち位置です。
auto(分類モデルによる審査つき自動許可)
auto モードは、別の分類モデル(classifier)が実行前に各アクションを審査し、許可プロンプトをほぼ消すモードです。審査では次のような操作だけがブロックされます。
- 要求から逸脱した操作
- 未知のインフラを対象とする操作
- 敵対的コンテンツ(adversarial content)に由来する操作
確認を完全に飛ばす bypassPermissions とは異なり、auto では背後で安全チェックが効き続けます。さらに、会話内で述べた境界も即時のブロック信号として扱われます。たとえば「push するな」と指示しておけば、その操作はブロック対象になります。
auto モードには次の要件があります。
- Claude Code バージョン v2.1.83 以降
- モデルは Opus 4.6 以降、または Sonnet 4.6(Opus 4.5 / Sonnet 4.5 / Haiku は非対応)
- Anthropic API 経由での利用に限定
- research preview(リサーチプレビュー)として提供
- Team / Enterprise プランでは、管理者が Claude Code 管理設定で有効化するまでユーザーは利用できない(
disableAutoModeで無効化も可能)
dontAsk(ロックダウン運用向け)
dontAsk は、permissions.allow に列挙したツールと読み取り専用コマンドのみを実行し、それ以外はプロンプトを出さずに自動拒否するモードです。CI などロックダウンした環境で、許可した操作だけを確実に走らせたい運用に向きます。
bypassPermissions(全許可・要注意)
確認をすべて飛ばすモードです。安全チェックを挟まないため、隔離された環境でのみ使用し、それ以外では避けてください。
auto モードの裏側で何が起きているか
auto モードは「確認を省く」だけの単純なものではなく、Anthropic のエンジニアリング解説によれば2層の防御で守られています。
- 入力層(読むものの検査) — ファイル読み込み・ウェブ取得・シェル出力・外部ツールの応答など、エージェントの文脈に入る前に、サーバー側のプロンプトインジェクション検査がツール出力をスキャンする。
- 出力層(やることの検査) — 実行前に transcript classifier(Sonnet 4.6 上で動く分類モデル) が各アクションを審査する。
分類モデルは2段階で動く
まず高速な単一トークンのフィルタが「ブロック(yes)/許可(no)」を即判定し、フラグが立った場合のみ**chain-of-thought(連鎖的推論)**でより慎重に評価します。軽いものは速く、怪しいものだけ深く考える設計です。
パターン一致ではなく「意図」を見る
この分類モデルはコマンドのブロックリストではありません。「rm -rf は危険か?」ではなく「ユーザーはこの特定の rm -rf を、この特定のファイルに対して許可したか?」を問います。つまり「依頼内容と、エージェントが実際にやろうとしている操作のギャップ」を評価するのが核心です。
推論ブラインド設計(hostile content に強い)
分類モデルは、メインのセッションがどのモデルでも Sonnet 4.6 で動きます。入力として受け取るのはユーザーのメッセージとツール呼び出しで、Claude 自身の出力やツールの結果は取り除かれます。ツール結果が分類モデルに届かないため、ファイルやウェブページに仕込まれた敵対的コンテンツが分類モデルの判断を直接操作できない——これが意図的な設計です。さらに、会話の中で述べた境界(例:「push しないで」)もブロック信号として扱われます。
完璧ではない(数値で理解する)
Anthropic の公開値では、実トラフィックでの誤ブロック(false positive)は約 0.4%、手作りの「やり過ぎ操作」テストセットに対する見逃し(false negative)は約 17%。bypassPermissions(定義上 100% 見逃し)より大幅に安全ですが、17% はゼロではない点に注意が必要です。
モードの使い分け
目的別の選び方は次のとおりです。
- 読むだけ・挙動を確認しながら進めたい →
default - 定型作業に慣れ、編集を逐一確認する手間を省きたい →
acceptEdits - 実行前に設計・計画を検討したい →
plan - 無人で、かつ安全に走らせたい →
auto - CI で固定の許可範囲だけを運用したい →
dontAsk
auto と bypassPermissions はどちらも確認を省きますが、安全チェックの有無が決定的に異なります。無人実行で安全性を担保したい場合は auto、隔離環境で確認を完全に省きたい場合のみ bypassPermissions を検討してください。
なお、Claude Code の基本的な導入手順は Claude Code セットアップ完全ガイド にまとめています。リモート環境での運用については Claude Code リモート操作ガイド もあわせて参照してください。
よくある質問(FAQ)
Claude Code の権限モードは何種類ありますか?
6種類です。default(都度確認)、acceptEdits(編集を自動承認)、plan(実行せず計画のみ)、auto、dontAsk、bypassPermissions があります。Shift+Tab で循環するのは default・acceptEdits・plan の3つで、auto は要件充足時にオプトインで加わり、bypassPermissions は有効化フラグ後、dontAsk は --permission-mode dontAsk で指定します。
auto モードと bypassPermissions の違いは何ですか?
どちらも許可プロンプトを省きますが、auto は実行前に分類モデルが操作を審査し、要求から逸脱した操作・未知のインフラを対象とする操作・敵対的コンテンツ由来の操作をブロックします。bypassPermissions は確認を飛ばし、こうした安全チェックを挟みません。
auto モードを使うための要件はありますか?
あります。Claude Code v2.1.83 以降、モデルは Opus 4.6 以降または Sonnet 4.6、Anthropic API 経由での利用に限定され、research preview として提供されています。さらに Team / Enterprise プランでは、管理者が管理設定で有効化するまでユーザーは利用できません。
dontAsk モードはどのような場面で使いますか?
ロックダウンした CI 運用に向きます。permissions.allow に列挙したツールと読み取り専用コマンドのみを実行し、それ以外はプロンプトせず自動拒否します。
auto モードに「push しないで」と伝えると守られますか?
auto モードは会話内で述べた境界を即時のブロック信号として扱います。たとえば「push するな」と指示すれば、その操作はブロック対象になります。
参照(出典):
- Claude Code 公式ドキュメント: Permission modes(https://code.claude.com/docs/en/permission-modes)
- Claude Code 公式ドキュメント: Headless(https://code.claude.com/docs/en/headless)
- Anthropic エンジニアリング: How we built Claude Code auto mode(https://www.anthropic.com/engineering/claude-code-auto-mode)
Claude Code シリーズ(関連記事)
- セットアップ完全ガイド
- Claude Code と Claude Cowork の違い
- No-Flicker(フルスクリーン)モード
- Remote Control 徹底解説
- 隠れ便利機能 16選
- Dynamic Workflows 徹底解説
- Managed Agents とは(ant CLI セットアップつき)
- Claude Code × DataForSEO で SEO 自動化
最終確認日: 2026-06-01