Claude Codeの設定（settings.json）完全ガイド！カスタマイズ方法を徹底解説

「Claude Codeの設定ファイル、どこを触ればいいの？」「チーム全員で安全に使うにはどう設定すればいい？」
Claude Codeは高機能なAIコーディングエージェントですが、settings.jsonを適切に設定することで、セキュリティ・効率・チーム運用のすべてを大幅に改善できます。

本記事では、設定ファイルの種類とスコープ、権限設定の書き方、サンドボックスによるセキュリティ強化、プラグイン構成、環境変数の活用法まで、2026年2月時点の公式情報に基づいて網羅的に解説します。

Claude Codeのsettings.jsonとは

Claude Codeのsettings.jsonは、Claude Codeの動作をカスタマイズするための設定ファイルです。このファイルを通じて、ツールの実行権限、環境変数、サンドボックス、プラグイン、モデル選択など、開発ワークフローに関わるほぼすべての挙動を制御できます。

settings.jsonを適切に構成することで、個人開発者は自分好みの効率的な開発環境を、チームは統一されたセキュリティポリシーを、企業はコンプライアンスに準拠した運用環境をそれぞれ実現できます。

Claude Codeのsettings.jsonを編集する方法

settings.jsonを編集するには、主に2つの方法があります。

• /configコマンド
  Claude Codeのインタラクティブセッション中に /config と入力すると、タブ付きの設定インターフェースが開きます。ステータス情報の確認や設定の変更が可能です。
  
  

• 直接ファイルを編集
  テキストエディタで settings.json を直接開いて編集する方法です。settings.jsonファイルの先頭に公式JSONスキーマの参照を追加すると、VS CodeやCursorなどのエディタでオートコンプリートとバリデーションが有効になります。
  
  

以下は、公式JSONスキーマを含むsettings.jsonの基本的な記述例です。

{
  "$schema": "https://json.schemastore.org/claude-code-settings.json",
  "permissions": {
    "allow": [
      "Bash(npm run lint)",
      "Bash(npm run test *)"
    ],
    "deny": [
      "Read(./.env)",
      "Read(./secrets/**)"
    ]
  }
}

$schemaの行を追加するだけで、エディタが設定キーの候補を自動表示してくれるため、設定ミスの防止に役立ちます。

Claude Codeの設定スコープと設定ファイルの配置場所

Claude Codeの設定は、4つのスコープ（適用範囲）に分かれています。この仕組みを理解することが、個人・チーム・組織それぞれの用途に適した設定を行う第一歩です。

以下の表で、各スコープの特性を整理しました。

ここで注目すべきは、同じsettings.jsonという名前でも配置場所によって適用範囲がまったく異なる点です。Userスコープはホームディレクトリ直下の ~/.claude/ に、Projectスコープはリポジトリ直下の .claude/ に配置します。

Claude Codeの各スコープの使い分け

各スコープには、それぞれ適した用途があります。

• Userスコープ
  すべてのプロジェクトに共通で適用したい個人設定に使います。テーマ、日本語設定、個人で使うMCPサーバーなどをここに記述します。
  
  

• Projectスコープ
  チーム全体で共有すべき設定に適しています。権限ルール、Hooks、MCPサーバーなど、チームの開発規約に関わる項目をここに配置し、gitにコミットします。
  
  

• Localスコープ
  プロジェクト固有の個人設定やテスト中の構成に使います。gitignore対象のため、チームに影響を与えずに試行錯誤できます。
  
  

• Managedスコープ
  IT部門が組織全体に適用するセキュリティポリシーやコンプライアンス要件に使います。ユーザーやプロジェクトの設定では上書きできないため、企業のガバナンスを確実に実施できます。
  
  

特に企業での導入を検討している場合、Managedスコープの活用は必須といえます。配信方法はOS別に異なり、macOSではcom.anthropic.claudecode管理設定ドメイン（JamfやKandji経由）、WindowsではHKLM\SOFTWARE\Policies\ClaudeCodeレジストリキー（グループポリシーやIntune経由）、ファイルベースではmanaged-settings.jsonを所定のシステムディレクトリに配置する方式が利用できます。

Claude Codeの設定ファイル以外の構成要素

settings.json以外にも、Claude Codeの動作に影響する構成要素があります。

settings.jsonが「ルールと権限」を管理するのに対し、CLAUDE.mdは「行動指針と知識」を管理するという役割分担になっています。両者を組み合わせることで、安全性と効率性を兼ね備えた開発環境を構築できます。

Claude Codeのsettings.jsonとCLAUDE.mdの違い

Claude Codeの動作を制御する仕組みとして、settings.jsonの他にCLAUDE.mdがあります。名前が似ているため混同されがちですが、この2つは役割がまったく異なります。

以下の表で、settings.jsonとCLAUDE.mdの違いを整理しました。

この表が示すように、settings.jsonは「システムレベルのガードレール」であり、CLAUDE.mdは「AIへの作業指示書」です。settings.jsonでBashコマンドを拒否すれば、CLAUDE.mdにどう書こうとそのコマンドは実行できません。一方、CLAUDE.mdに「テストは必ずpytestで実行すること」と書いても、settings.jsonでBash(pytest *)がdenyされていればClaudeはそれに従えません。

settings.jsonとCLAUDE.mdの使い分け

実際の開発では、両者を組み合わせることで最も効果的な環境を構築できます。

• settings.jsonに書くべきもの
  実行権限の制御（allow/deny）、サンドボックス設定、環境変数、モデル選択など、機械的に判定・制御される設定項目です。「このコマンドは実行OK」「このファイルは読み取り禁止」といったルールがここに該当します。
  
  

• CLAUDE.mdに書くべきもの
  プロジェクトのアーキテクチャ説明、コーディング規約、使用するフレームワークやライブラリの指定、テスト方針など、Claudeに「理解してほしい文脈」です。「このプロジェクトはNext.js 14のApp Routerを使っている」「日本語でコメントを書くこと」といった指示がここに該当します。
  
  

たとえば、チーム開発でPrettierによるフォーマットを徹底したい場合、settings.jsonのHooks設定でファイル保存時にPrettierを自動実行し、CLAUDE.mdには「コードはPrettierのルールに従うこと。手動でフォーマットしないこと」と記述する、という組み合わせが効果的です。

Claude Codeの設定の優先順位

複数のスコープで同じ設定キーが定義された場合、Claude Codeはどの設定を適用するのでしょうか。ここでは5段階の優先順位を解説します。

優先順位は上から順に、以下のように適用されます。

1. Managed（最高優先）
   サーバー管理設定、MDMポリシー、またはmanaged-settings.jsonで定義された設定です。何をもってしても上書きできません。Managed内でも、サーバー管理 > MDM/OSポリシー > managed-settings.json > HKCUレジストリ（Windowsのみ）の順で優先されます。
   
   

2. コマンドライン引数
   claude コマンド起動時に渡す --model や --permission-mode などのフラグです。そのセッション限りの一時的な上書きに使います。
   
   

3. Local（ローカルプロジェクト設定）
   .claude/settings.local.json で定義した設定です。ProjectスコープとUserスコープの両方を上書きします。
   
   

4. Project（共有プロジェクト設定）
   .claude/settings.json で定義した設定です。Userスコープを上書きします。
   
   

5. User（最低優先）
   ~/.claude/settings.json で定義した設定です。他のスコープで何も指定されていない場合にのみ適用されます。
   
   

この優先順位の設計は、**「組織のポリシーは個人の設定よりも優先する」「プロジェクト固有の設定は汎用設定よりも優先する」**という原則に基づいています。

たとえば、Userスコープで Bash(npm run *) を許可していても、Projectスコープでそれを拒否していれば、プロジェクト側の設定が優先されてコマンドはブロックされます。

設定の現在の状態は、Claude Codeセッション内で /status コマンドを実行することで確認できます。どの設定ソースがアクティブか、どのスコープから来ているかが一覧表示されます。

Claude Codeの権限設定（パーミッション）

Claude Codeの権限設定は、セキュリティの核となる機能です。settings.jsonのpermissionsキーを使って、Claudeが実行できるツールやアクセスできるファイルを**allow（許可）・ask（確認）・deny（拒否）**の3段階で制御します。

Claude Codeの権限ルールの基本構文

権限ルールは「ツール名」または「ツール名(指定子)」の形式で記述します。以下の表に主要なルールの例を示します。

ルールの評価順序は「deny → ask → allow」です。最初に一致したルールが適用されるため、セキュリティ上重要なdenyルールが常に最優先となります。

Claude Codeの権限設定の実践例

以下は、開発チームで一般的に使われる権限設定の例です。

{
  "permissions": {
    "allow": [
      "Bash(npm run lint)",
      "Bash(npm run test *)",
      "Bash(git diff *)",
      "Bash(git log *)",
      "Read(~/.zshrc)"
    ],
    "deny": [
      "Bash(curl *)",
      "Read(./.env)",
      "Read(./.env.*)",
      "Read(./secrets/**)",
      "Read(./config/credentials.json)"
    ]
  }
}

この設定では、lintやテスト、gitの差分確認は自動で実行を許可しつつ、環境変数ファイルやシークレット情報へのアクセスは明確に拒否しています。curlコマンドの拒否は、意図しない外部通信を防ぐための措置です。

allowに登録したコマンドは確認プロンプトなしで実行されるため、頻繁に使う安全なコマンドだけを登録することが推奨されます。

Claude Codeのデフォルト権限モード

settings.jsonのpermissions.defaultModeで、Claude Code起動時のデフォルト動作を設定できます。選択肢には、すべての操作で確認を求めるモード、編集操作のみ自動承認するモード、すべてを自動承認するモードなどがあります。

チーム開発では、コードレビューの観点からも確認を求めるモードを基本とし、個人の実験的な作業ではより緩いモードを使うといった使い分けが効果的です。

【関連記事】
Claude Code Securityとは？機能や使い方を徹底解説

Claude Codeのサンドボックス設定

Claude Codeのサンドボックスは、Bashコマンドの実行をファイルシステムとネットワークの両面から分離する機能です。万が一、AIが意図しないコマンドを生成した場合でも、システムへの被害を最小限に抑えられます。

Claude Codeのサンドボックスの有効化と基本設定

サンドボックスはmacOS、Linux、WSL2で利用可能で、settings.jsonのsandboxキーで構成します。以下の表に主要な設定項目をまとめました。

注目すべきはautoAllowBashIfSandboxedです。サンドボックスが有効な場合、Bashコマンドは分離された環境で実行されるため、自動承認しても安全性が保たれます。これにより、開発の効率とセキュリティを両立できます。

Claude Codeのサンドボックスのネットワーク制御

サンドボックスでは、ネットワークアクセスもドメイン単位で制御できます。

{
  "sandbox": {
    "enabled": true,
    "autoAllowBashIfSandboxed": true,
    "excludedCommands": ["docker", "git"],
    "network": {
      "allowedDomains": ["github.com", "*.npmjs.org", "registry.yarnpkg.com"],
      "allowLocalBinding": true
    }
  }
}

この設定では、npmパッケージのダウンロードやGitHub通信は許可しつつ、それ以外の外部通信をブロックします。gitやdockerはサンドボックス外で実行するよう除外設定しています。

ネットワーク分離により、npm installなどのコマンドが悪意のあるスクリプトを実行した場合でも、許可されたドメイン以外への通信が遮断されるため、サプライチェーン攻撃のリスクを軽減できます。

企業のManaged設定では、network.allowManagedDomainsOnlyをtrueに設定することで、ユーザーやプロジェクトが独自にドメインを追加することを禁止し、IT部門が承認したドメインのみに通信を限定できます。

【関連記事】
DevContainerとは？Claude Code開発を安全かつ効率的に始める方法

Claude Codeのプラグインとマーケットプレイス設定

Claude Codeは、Skills、Agents、Hooks、MCPサーバーを組み合わせたプラグインシステムで機能を拡張できます。プラグインはマーケットプレイス経由で配布・インストールする仕組みになっています。

Claude Codeのプラグイン設定方法

settings.jsonのenabledPluginsキーで、プラグインの有効・無効を制御します。

{
  "enabledPlugins": {
    "formatter@acme-tools": true,
    "deployer@acme-tools": true,
    "analyzer@security-plugins": false
  }
}

プラグイン名は「プラグイン名@マーケットプレイス名」の形式で指定します。User・Project・Localの各スコープで設定でき、チーム共有のプラグインはProjectスコープに、個人利用のプラグインはUserスコープに配置するのが一般的です。

Claude Codeのマーケットプレイス設定

社内のプラグインリポジトリを利用する場合は、extraKnownMarketplacesで追加のマーケットプレイスを定義します。

{
  "extraKnownMarketplaces": {
    "acme-tools": {
      "source": {
        "source": "github",
        "repo": "acme-corp/claude-plugins"
      }
    }
  }
}

マーケットプレイスのソースには、GitHubリポジトリ、任意のgit URL、NPMパッケージ、URLベースの配信、ローカルディレクトリの5種類が利用できます。

企業のManaged設定では、strictKnownMarketplacesを使って、ユーザーが追加できるマーケットプレイスを組織が承認したものだけに制限できます。空の配列を設定すると、新しいマーケットプレイスの追加が完全にロックされます。

プラグインの管理は /plugins コマンドからも行えます。インストール済みプラグインの一覧確認、有効・無効の切り替え、マーケットプレイスの追加・削除が可能です。

Claude Codeの環境変数と主要設定項目

Claude Codeは、settings.jsonの設定キーに加えて、環境変数による動作制御もサポートしています。ここでは開発者が特に知っておくべき設定項目をカテゴリ別に紹介します。

Claude Codeの言語・UI設定

以下の設定項目で、Claude Codeの応答言語や表示をカスタマイズできます。

• language
  Claudeの応答言語を指定します。日本語で応答させたい場合は "japanese" を設定します。
  
  

• outputStyle
  出力スタイルを設定します。"Explanatory" など、応答の詳しさを調整できます。
  
  

• showTurnDuration
  応答時間の表示を制御します。falseに設定すると「Cooked for 1m 6s」のようなメッセージが非表示になります。
  
  

• spinnerVerbs
  処理中に表示されるアクション動詞をカスタマイズできます。
  
  

Claude Codeのモデル・パフォーマンス設定

以下はモデル選択やパフォーマンスに関わる主要な環境変数です。

これらの環境変数は、settings.jsonのenvキーでも定義できます。セッション起動時に毎回自動で適用されるため、シェル設定で都度exportする手間が省けます。

Claude Codeのクラウドプロバイダー設定

Claude CodeをAPI経由やクラウドプロバイダー経由で使う場合、以下の環境変数が必要です。

• ANTHROPIC_API_KEY
  Anthropic APIを直接利用する場合のAPIキーです。
  
  

• CLAUDE_CODE_USE_BEDROCK
  Amazon Bedrock経由で利用する場合に1を設定します。
  
  

• CLAUDE_CODE_USE_VERTEX
  Google Vertex AI経由で利用する場合に1を設定します。
  
  

• CLAUDE_CODE_USE_FOUNDRY
  Microsoft Foundry経由で利用する場合に1を設定します。
  
  

Claude Codeのその他の主要設定

以下は、運用上特に便利な設定項目です。

attributionはgitコミットに自動追加される「Co-Authored-By: Claude」の表記をカスタマイズする設定です。チームのコミット規約に合わせて変更したり、空文字列を設定して非表示にしたりできます。

Claude Codeのsettings.json実践設定例

ここでは、利用シーン別にsettings.jsonの設定例を紹介します。実際の導入時の参考にしてください。

個人開発者向けのClaude Code設定

個人開発者は、効率性を重視した設定が適しています。

{
  "$schema": "https://json.schemastore.org/claude-code-settings.json",
  "language": "japanese",
  "permissions": {
    "allow": [
      "Bash(npm run *)",
      "Bash(git diff *)",
      "Bash(git log *)",
      "Bash(git status)"
    ],
    "deny": [
      "Read(./.env)",
      "Read(./.env.*)"
    ]
  },
  "autoUpdatesChannel": "stable"
}

この設定のポイントは、よく使うnpmコマンドやgitコマンドを事前に許可して確認プロンプトを省略しつつ、環境変数ファイルへのアクセスは拒否している点です。言語設定を日本語にすることで、Claudeが日本語で応答するようになります。

チーム開発向けのClaude Code設定

チーム開発では、セキュリティと統一性を重視した設定が求められます。以下の例は、Projectスコープ（.claude/settings.json）に配置してgitコミットすることを想定しています。

{
  "$schema": "https://json.schemastore.org/claude-code-settings.json",
  "permissions": {
    "allow": [
      "Bash(npm run lint)",
      "Bash(npm run test *)",
      "Bash(npm run build)"
    ],
    "deny": [
      "Bash(rm -rf *)",
      "Bash(git push --force *)",
      "Read(./.env)",
      "Read(./.env.*)",
      "Read(./secrets/**)"
    ]
  },
  "hooks": {
    "PostToolUse": [
      {
        "matcher": "Edit",
        "hooks": [
          {
            "type": "command",
            "command": "npx prettier --write $CLAUDE_FILE_PATHS"
          }
        ]
      }
    ]
  }
}

ここでは、強制プッシュやrecursiveな削除を明示的に禁止し、コード編集後にはPrettierで自動フォーマットをかけるHooksを設定しています。チームメンバー全員がこの設定を共有するため、コーディングスタイルの統一にも寄与します。

エンタープライズ向けのClaude Code管理設定

大規模組織では、Managed設定でセキュリティポリシーを強制します。以下はmanaged-settings.jsonの例です。

{
  "permissions": {
    "deny": [
      "WebFetch",
      "Bash(curl *)",
      "Bash(wget *)",
      "Read(/etc/**)"
    ],
    "disableBypassPermissionsMode": "disable"
  },
  "sandbox": {
    "enabled": true,
    "network": {
      "allowedDomains": ["github.com", "*.internal.example.com"],
      "allowManagedDomainsOnly": true
    }
  },
  "allowManagedHooksOnly": true,
  "allowManagedPermissionRulesOnly": true,
  "forceLoginMethod": "console"
}

この設定では、外部ネットワーク通信を社内ドメインとGitHubに限定し、permissionsのバイパスモードを無効化しています。allowManagedPermissionRulesOnlyにより、ユーザーやプロジェクトが独自の権限ルールを追加することも防止できます。

Claude Codeの料金体系

Claude Codeの設定を最大限に活用するには、料金体系の理解も欠かせません。Claude Codeの利用には、サブスクリプションプランとAPI従量課金の2つの課金経路があります。

2026年2月時点のClaude Code利用料金を以下にまとめました。

API従量課金の場合、Anthropicの公式料金ページによると、主要モデルの単価は以下の通りです。

Anthropicの公式ドキュメントによると、API利用時の平均コストは1日あたり約6ドル（開発者1人あたり）で、90%のユーザーは日額12ドル以下に収まっています。月額に換算すると、Sonnet 4.6を主に使うチームで開発者1人あたり100〜200ドルが目安です。

チーム利用では、Claude Codeの料金体系ガイドで詳しく解説している通り、ワークスペースの支出制限を設定できます。settings.jsonの設定によっては、拡張思考やAgent Teamsなどトークン消費の大きい機能の利用を制限することもコスト管理の一つの手段です。

【関連記事】
Claude Codeの回数制限を解説！料金プラン別の違いと上限超過時の対処法

まとめ

本記事では、Claude Codeのsettings.jsonを中心に、設定ファイルの構造からスコープ、優先順位、権限設定、サンドボックス、プラグイン、環境変数、料金体系まで網羅的に解説しました。

settings.jsonの適切な設定は、開発効率の向上、チームのセキュリティ強化、組織のコンプライアンス対応という3つの価値を同時に実現します。

特に重要なポイントは以下の3点です。まず、4つのスコープ（User・Project・Local・Managed）を理解し、用途に応じて使い分けること。次に、権限設定（allow・ask・deny）でセキュリティの基盤を作り、サンドボックスでさらに防御を強化すること。そして、チーム開発ではProjectスコープにsettings.jsonを配置してgitで共有し、企業ではManaged設定でポリシーを強制することです。

設定ファイルの構成に迷った場合は、まずは /config コマンドで現在の設定を確認し、小さな変更から始めるのが推奨です。本記事で紹介した実践例を参考に、自分のワークフローに合った最適な設定を見つけてください。