icon: 🔗 slug: 16-external-references
16 外部参考資料 — 自分の実体験ではないが参考になる情報源
この章は他の章と性質が違います。01〜15章は「自分の環境で実際に試して確かめた」記録ですが、ここに載せるのは外部リポジトリの内容を日本語に翻訳・要約したものです。未検証・他者の知見である点に注意して読んでください。
claude-code-best-practice(リポジトリ概要)
claude-code-best-practice は、vibe codingからagentic engineeringへの実践ノウハウをまとめたOSSリポジトリ(60.9k star・MIT・2026-06-26調査時点)。以下は中身を実際に読んで翻訳した抜粋。
Claude Code の隠れ機能「パワーアップ」(/powerup)
v2.1.90で追加されたインタラクティブレッスン機能。claude 起動後に /powerup を打つと、以下10レッスンを1つずつ学べる。
| # | 機能 | 主要トピック |
|---|---|---|
| 1 | コードベースとの対話 | @ファイル、行参照 |
| 2 | モードで操作 | shift+tab、プラン、自動 |
| 3 | すべてを取り消し | /rewind、Esc×2 |
| 4 | バックグラウンド実行 | タスク、/tasks |
| 5 | ルールを教える | CLAUDE.md、/memory |
| 6 | ツール拡張 | MCP、/mcp |
| 7 | ワークフロー自動化 | スキル、フック |
| 8 | 自分を複製 | サブエージェント、/agents |
| 9 | どこからでもコード化 | /remote-control、/teleport |
| 10 | モデル調整 | /model、/effort |
/powerup コマンド自体は試していないが、まだ触ったことのない機能(/teleport・/effort等)の存在を知る一覧として有用。
セッション管理と1Mコンテキスト(Thariq氏の知見・翻訳)
各ターン後に取れる選択肢は5つ:
- Continue — 同じセッションを継続(全コンテキスト保持)
- Rewind(
Esc×2) — 前のメッセージに戻り、それ以降を削除して再開 /compact— 会話を要約して圧縮(情報の損失あり)/clear— 新規セッション開始(自分で書いたブリーフのみ保持)- Subagents — 専用コンテキストを持つ子エージェントに委譲
実践的なポイント:
- 「新しいタスク=新規セッション」が原則
- コンテキストロット(パフォーマンス低下)は約30〜40万トークン付近から目立ち始める
- 失敗した試みは修正メッセージで残すより、Rewindして学んだ内容を含めて再プロンプトする方がコンテキスト効率が良い
/compactは「タスク途中で勢いを保ちたい時」向け(低コストだが要約ロスあり)、新規セッションは「重要な判断ポイント」向け(要約ロスなし)- モデルが次の方向性を予測できない時にCompactすると重要情報が落ちやすい。「これから何をするか」のヒントを付けてCompactすると精度が上がる
この内容は本ガイドの01_基礎概念(コンテキストの仕組み)・11_現場の知見 A節(コンテキスト経済学)の話と重なるが、「Rewindの使い分け」は本ガイドでは扱っていない観点。
Opus活用の6つのコツ(Boris Cherny氏・Claude Code開発者の知見)
⚠️ 元記事は「Opus 4.7」を前提に書かれており(2026年4月時点の記事)、モデル名は現行(Opus 4.8等)と異なる可能性がある。ただし機能自体は汎用的なので参考になる。
- オートモード — 安全なコマンドは自動承認、リスクのあるものだけ一時停止。
Shift+Tabで切替。複数のClaudeを並行実行しやすくなる /fewer-permission-promptsスキル — セッション履歴から「安全だが毎回許可を求められるコマンド」を検出し、許可リストへの追加を提案- リキャップ機能 — 長時間セッションから戻る際に「モデルが何をしたか・次は何か」を短く要約
- フォーカスモード(
/focus) — 中間作業を隠して最終結果だけに集中させる - エフォートレベル調整(
/effort) — 5段階(低〜最大)で思考量を調整、速度と知能のバランス取り - 検証メカニズムの確保 — モデルが強力なほど「バックエンドはサーバテスト・フロントエンドはブラウザ制御」のようなタスク別の検証手段が重要になる
gstack(リポジトリ概要)
gstack は、Garry Tan氏(Y Combinator CEO)が開発したClaude Code拡張フレームワーク(116k star・MIT・作成3.5ヶ月で急成長)。「個人が大規模チームのように生産性を発揮する」がコンセプト。
導入(30秒)
git clone --single-branch --depth 1 https://github.com/garrytan/gstack.git ~/.claude/skills/gstack && cd ~/.claude/skills/gstack && ./setup
必要環境: Claude Code・Git・Bun v1.0+(Windowsのみ Node.js も)
主要スキル(23の専門家ロール)
| 段階 | スキル | 役割・機能 |
|---|---|---|
| 企画 | /office-hours |
YC担当者役。6つの厳しい質問で製品フレーミングを再考させる |
| 企画 | /autoplan |
CEO→デザイン→エンジニアのレビューを自動で一通り実行 |
| 実装 | /review |
スタッフエンジニア役。本番で落ちそうなバグを検出・自動修正 |
| 実装 | /qa |
QAリード役。実ブラウザでテスト実行・回帰テスト自動生成 |
| リリース | /ship |
リリースエンジニア役。テスト実行・カバレッジ監査・PR作成まで一括 |
| リリース | /canary |
デプロイ後監視(コンソールエラー・パフォーマンス低下検知) |
| デザイン | /design-shotgun |
モックアップ案を4〜6個生成・比較・反復 |
| セキュリティ | /cso |
OWASP Top 10 + STRIDE脅威分析(誤検知除外パターン17個内蔵) |
| 調査 | /investigate |
系統的な根本原因分析(仮説検証ベース) |
| その他 | /careful//freeze//guard |
破壊的コマンド警告・編集範囲ロックの安全ガード |
| その他 | /retro |
チーム向け週次振り返り(出荷記録・テスト品質トレンド) |
| その他 | /learn |
セッション間でのプロジェクトパターン学習・記憶 |
実行順は「思考→企画→実装→レビュー→テスト→リリース→振り返り」という固定スプリント構造で、各スキルの出力が次のスキルに引き継がれる設計。
GBrain(永続知識ベース)
/setup-gbrain でセットアップ。4つの選択肢(Supabaseクラウド共有・Supabase自動構築・PGLiteローカル・リモートGBrain参照)。/sync-gbrainでコードをインデックス化し、gbrain search等で呼び出す。セッションを超えた知識保持という点で、このSSOT運用の発想と一致する部分。
留意点
- テレメトリはデフォルトオフ(送信内容はスキル名・実行時間・成否のみ、コード・ファイルパス・プロンプトは送信しない)
- アンインストールスクリプト(
gstack-uninstall)あり、手動削除も明文化されている - 既存の自作スキル群(resume-session/ssot-record等)・agent-skills(
/review//ship等)とコマンド名が重複する可能性があるため、実導入する場合は名前衝突の確認が先
Anthropic-Cybersecurity-Skills(リポジトリ概要)
Anthropic-Cybersecurity-Skills は、AIエージェント向けセキュリティスキルライブラリ(817スキル・21.4k star・Apache 2.0)。Anthropic非公式の独立コミュニティプロジェクト。
フレームワークマッピング(6種)
| フレームワーク | 対応範囲 |
|---|---|
| MITRE ATT&CK v19.1 | 15タクティック・286テクニック(754スキルがマッピング済み) |
| NIST CSF 2.0 | 6機能・22カテゴリ |
| MITRE ATLAS v5.4 | AI/ML脅威(16タクティック・84テクニック) |
| MITRE D3FEND v1.3 | 防御対策(7カテゴリ・267テクニック) |
| NIST AI RMF 1.0 | AIリスク管理(4機能・72サブカテゴリ) |
| MITRE F3 v1.1 | サイバー詐欺TTP(8タクティック・123テクニック・JPMorganChase/Citigroup/CrowdStrike共同開発・2026年4月リリース) |
29のセキュリティドメイン(主要領域)
クラウドセキュリティ(66スキル)・脅威ハンティング(58)・脅威インテリジェンス(52)・ネットワークセキュリティ(43)・Webアプリケーションセキュリティ(42・OWASP Top 10対応)・デジタルフォレンジクス(41)・マルウェア分析(39)他21領域。
スキルの構造
skills/skill-name/
├── SKILL.md ← YAMLフロントマター + Markdown本体
├── references/ ← フレームワークマッピング・技術手順
├── scripts/ ← ヘルパースクリプト
└── assets/ ← テンプレート・チェックリスト
本体はWhen to Use(起動条件)→Prerequisites(必須ツール)→Workflow(手順)→Verification(成功確認)の4段構成。
導入方法
npx skills add mukul975/Anthropic-Cybersecurity-Skills
Claude Code・GitHub Copilot・Cursor等26+プラットフォーム対応(agentskills.io標準互換)。
留意点
- 817件は明らかに過剰。AIエージェント側は「スキャン段階(~30トークン)でフロントマターだけ検索→トップ3だけ完全ロード」という設計なので大量にあっても通常運用のコストは低いが、実際にセキュリティレビュー作業が発生した時に該当ドメインだけ拾う運用が現実的
- 既存のセキュリティ設定ハブ(
run-security-check.sh等)と重複しない領域(クラウド/脅威ハンティング/フォレンジクス等)を補完する位置づけが良さそう