「git clone → Reopen in Container」で始める——Anthropic公式DevContainerで開発環境を標準化する

はじめに
Anthropic公式DevContainer——セキュリティとポータビリティを両立する3ファイル設計
CLAUDE.mdをDevContainerに含める——「開発規約がリポジトリとセット」の設計
1. ポータブルな開発規約
2. Docker Composeの自然言語生成と最適化
EMへの示唆——「環境の差異」という生産性ロスを消す
まとめ

はじめに

onboardingの話（文化・人）でも、team-rolloutの話（Claude Code自体の導入）でもない。エンジニア全員が同一の開発環境でClaude Codeを動かせるようにする——そのための技術的な標準化設計の話だ。

新メンバーが環境構築に1日を費やすことは今でも珍しくない。NodeJsバージョンの違い、シェル設定、権限の問題、CLAUDE.mdの内容がメンバーごとにバラバラ——「私のマシンでは動く」問題はAI時代にも形を変えて続いている。

Anthropicはこの問題に対する公式の答えを出している。DevContainerのリファレンス実装をGitHubで提供し、「チームで安全に・一貫してClaude Codeを使う」ための公式推奨アプローチとして位置づけている。

Anthropic公式DevContainer——セキュリティとポータビリティを両立する3ファイル設計

3つのコンポーネント

Claude Code公式リファレンスDevContainer（code.claude.com/docs/en/devcontainer、github.com/anthropics/claude-code/.devcontainer）は3つのファイルで構成される。

コンポーネント	役割
devcontainer.json	コンテナ設定・拡張機能・ボリュームマウントの制御
Dockerfile	コンテナイメージの定義・インストールツールの管理
init-firewall.sh	ネットワークセキュリティルールの確立

この設計の核心はファイアウォール設定にある。外部ネットワーク接続をデフォルトでブロックし、npmレジストリ・GitHub・Claude APIなど必要なドメインのみを許可リスト方式で通す。コンテナ初期化時にファイアウォールルールを自動検証し、メインシステムから隔離されたセキュアな開発環境が立ち上がる。

ファイアウォールが`--dangerously-skip-permissions`を安全にする

このファイアウォール保護のもとで、通常は危険な以下のフラグが安全に使用できるようになる。

claude --dangerously-skip-permissions

無人自律実行（unattended operation）として、人間の承認なしにClaude Codeがファイルを変更・コマンドを実行できる状態だ。DevContainerのネットワーク隔離が前提にあることで、このフラグが制御可能なものになる。

ただし、公式の注意書きがある。DevContainerは実質的な保護を提供するが、信頼できないリポジトリでの使用は危険だ。悪意あるプロジェクトのDevContainer設定がClaude Code認証情報を漏出させる可能性があることをAnthropicは明示している。

4ステップのセットアップ

1. VS Code + Dev Containers拡張をインストール
2. Claude Code参照実装リポジトリをclone
3. VS Codeで開く
4. "Reopen in Container"をクリック（Cmd+Shift+P → "Dev Containers: Reopen in Container"）

コンテナのビルド完了後、ターミナルでclaudeを実行して認証するだけ。Node.js 20・ZSH・fzf等の生産性向上ツールがプリインストール済みで、コンテナ再起動後もコマンド履歴・設定が保持される。macOS・Windows・Linux全てに対応している。

既存環境へのFeature追加

既存のDevContainer環境にClaude Codeを後から追加する場合はDevContainer Featureとして組み込める。ghcr.io/anthropics/devcontainer-features/claude-code:1.0（github.com/anthropics/devcontainer-features、Anthropic公式、v1.0.5で実在確認済み）を使う。

// devcontainer.json
{
  "features": {
    "ghcr.io/anthropics/devcontainer-features/claude-code:1.0": {}
  },
  "mounts": [
    "source=${localEnv:HOME}/.claude,target=/home/vscode/.claude,type=bind,consistency=cached"
  ]
}

~/.claudeのボリュームマウントで認証情報・設定をコンテナ再起動後も保持できる。vscodeユーザー（非rootユーザー）での実行が--dangerously-skip-permissionsの安全な使用を支える。なお、npm installによるClaude Codeのインストールは現在非推奨になっているため、最新の公式ドキュメントでインストール方法を確認してほしい。

セキュリティ監査・信頼できないコードのレビュー向けに特化した設計としては、Trail of Bits製のDevContainerもある（github.com/trailofbits/claude-code-devcontainer）。セキュリティ企業Trail of Bitsが提供しており、サンドボックスとしての信頼性が高い。

CLAUDE.mdをDevContainerに含める——「開発規約がリポジトリとセット」の設計

ポータブルな開発規約

各プロジェクトのDevContainerにプロジェクト固有のCLAUDE.mdを含めることで、「開発規約がリポジトリとセットで配布される」設計になる（実践的な観点から）。

# CLAUDE.md（DevContainer用追記）

## 開発環境情報
- Node.js: 20.x（コンテナ内）
- ポート規約: フロントエンド3000、バックエンド8080、DB5432
- 環境変数命名: SCREAMING_SNAKE_CASE
- パッケージマネージャー: pnpm（npm禁止）

## DevContainer固有ルール
- ホストマシンのファイルには`/workspaces/`以外でアクセスしないこと
- 本番DBへの接続は禁止（ローカルDBのみ使用）
- ファイアウォール外のドメインへのリクエストはClaude Codeが警告する

## Docker操作ルール
- docker-compose.ymlを変更する場合は必ずダウン→ビルド→アップの順序で
- ボリュームの削除は必ず確認を取ること

このCLAUDE.mdはCI/CDパイプラインにも同じ定義が流れるため、「ローカルでは動くがCIで落ちる」現象の根絶に貢献する。ポート規約・パッケージマネージャー・環境変数命名規則をCLAUDE.mdに書くことで、Claude Codeが常に正しい環境の前提でコードを生成する。コード規約の強制（linter）と同じ役割をAIに担わせる設計だ。

Docker Composeの自然言語生成と最適化

DevContainerが整った後、Docker Composeの設定を一から書く必要もなくなる。

「Next.jsフロントエンド・Expressバックエンド・PostgreSQL・Redisの
docker-compose開発環境を作って。ホットリロードとデバッグポートを含めて」

既存のDockerfileを読み込んだClaude Codeは自動的に最適化機会を確認する。レイヤーの順序（変更頻度の低いものを先に）、マルチステージビルドの活用可能性、Alpine等の軽量ベースイメージへの移行、.dockerignoreの最適化——これらをまとめて提案してくれる（docker.com）。

EMへの示唆——「環境の差異」という生産性ロスを消す

devcontainer.json・Dockerfile・init-firewall.sh・CLAUDE.mdの4ファイルがリポジトリに含まれていれば、新メンバーは数分でチームと同じ環境を得られる。環境構築で初日を溶かすことがなくなり、シニアエンジニアが環境トラブルの対応に費やしていた時間も削減される。

「自律エージェントを制御可能にするインフラ」という視点もある。--dangerously-skip-permissionsでClaude Codeが無人実行できる環境は、長時間のバックグラウンドタスク・CI/CDでのコード生成自動化・夜間バッチ処理など、対話的でない使い方を可能にする。DevContainerのファイアウォールがその前提条件になる。

CI/CDとの設定共有はGitHub Actionsでも実現できる。

# GitHub Actions例: DevContainerと同じNode.js 20を使用
jobs:
  build:
    runs-on: ubuntu-latest
    container:
      image: mcr.microsoft.com/devcontainers/javascript-node:20
    steps:
      - uses: actions/checkout@v4
      - run: |
          # Claude Codeのインストール方法は公式ドキュメントを参照（npm installは現在非推奨）
          # DevContainerと同じ環境でClaude Codeが動く

チームで複数技術スタックを扱う場合は、コミュニティが提供するClaudebox（github.com/RchGrav/claudebox）も参考になる。Python・Node・Go等の事前設定済み開発プロファイルを切り替え可能なClaude Code専用のDockerized環境だ。

注意点として、初回コンテナビルドには数分かかる場合がある。CI/CDでのDockerイメージキャッシュ戦略を早めに検討しておきたい。ファイアウォールの許可リストも、チームが使う外部サービスが増えるたびにinit-firewall.shの更新が必要になる。Windowsでの使用はWSL2経由を推奨する。

まとめ

git cloneの後に「Reopen in Container」を押すだけで、全員が同じ環境でClaude Codeを使い始められる——この体験をチームに届けるのに必要なのは、4つのファイルをリポジトリに追加することだ。

DevContainerは「環境の差異」という見えにくい生産性ロスを設計で消す。Anthropic公式のリファレンス実装がすでにあるなら、使わない理由を探すより、今週試してみる方が早い。