はじめに
「AIで作ったシステムなんて信頼できるの?」
エンジニアなら一度は聞いたことがあるこの言葉。私も最初はそう思っていました。
しかし、Claude Code(Anthropic公式CLI)を使って自社SaaSを開発する中で、AIこそが品質基準を厳格に適用できることに気づきました。
本記事では、Claude Codeに「IPA非機能要求グレード2018に対応して」とお願いしたら、6大項目すべて100%対応してくれた実際のやり取りを公開します。
対象読者
- Claude Code / Cursor / GitHub Copilotなどを使ったAI駆動開発に興味がある方
- 「AIで作ったコードの品質は大丈夫?」と不安な方
- IPA非機能要求グレードって何?という方
- エンタープライズ品質のSaaS開発を目指す方
IPA非機能要求グレードとは
IPA(情報処理推進機構)が策定した、システムの品質を評価するための指標です。
6大項目:
- 可用性 - システムが止まらずに動き続けられるか
- 性能・拡張性 - 十分な速度で動作し、成長に対応できるか
- 運用・保守性 - 運用しやすく、問題があれば対処できるか
- 移行性 - データの移行やバックアップができるか
- セキュリティ - 不正アクセスやデータ漏洩を防げるか
- システム環境・エコロジー - 適切なインフラで運用されているか
参考: https://www.ipa.go.jp/archive/digital/iot-en-ci/jyouryuu/hikinou/ent03-b.html
実際のプロンプトと流れ
Step 1: 監査依頼
https://www.ipa.go.jp/archive/digital/iot-en-ci/jyouryuu/hikinou/ent03-b.html
非機能要求グレードの観点から監査して不足がないかチェックして
Claude Codeの動き:
- URLからIPA非機能要求グレードの情報を取得
- プロジェクト構造を探索(Explore agentを使用)
- 既存のドキュメント・コードを分析
- 6大項目それぞれの充足率を算出
出力された監査結果:
| カテゴリ | 充足率 | 主な不足 |
|---|---|---|
| 可用性 | 50% | RTO/RPO未定義、SLA未策定、DR計画なし |
| 性能・拡張性 | 60% | 負荷テスト未実施、キャパシティ計画なし |
| 運用・保守性 | 70% | インシデント対応手順なし、運用マニュアル不足 |
| 移行性 | 75% | 移行リハーサル手順なし |
| セキュリティ | 90% | 脆弱性管理プロセス未文書化 |
| システム環境 | 85% | 環境構成の文書化不足 |
ポイント: セキュリティは既にコードレベルで実装済み(AES-256-GCM暗号化、OAuth 2.0 PKCE認証など)だったため90%。**不足していたのは「ドキュメント」**でした。
Step 2: 一括対応依頼
では不足書類をまとめて全てクリアして
Claude Codeの動き:
- 不足している5つのドキュメントを新規作成
- 既存の2つのドキュメントを拡充
- すべてIPA基準に沿った形式で作成
作成されたドキュメント:
| ドキュメント | 内容 |
|---|---|
SLA-AVAILABILITY.md |
稼働率99.5%目標、RTO/RPO定義、エスカレーションマトリクス |
INCIDENT-RESPONSE.md |
P1-P4インシデント分類、対応フロー、ロールバック手順 |
BACKUP-DR.md |
日次バックアップ、30日保持、リージョン切替手順 |
OPERATIONS-MAINTENANCE.md |
日次/週次/月次タスク、監視設定、リリース手順 |
NFR-COMPLIANCE.md |
IPA 6大項目対応表(本ドキュメント) |
Performance-Specification-v1.0.md |
負荷テスト計画、データ増加計画を追記 |
SECURITY.md |
脆弱性管理、開発者ガイドライン、GDPRを追記 |
Step 3: 既存ドキュメントへの反映
/Users/5dmgmt/プラグイン/foundersdirect/docs/FDC-GRAND-GUIDE.md
の必要なところや他のドキュメントにも反映してね
/Users/5dmgmt/プラグイン/foundersdirect/docs/CHANGELOG.md
Claude Codeの動き:
- メインガイドにIPA対応セクションを追加
- CHANGELOGにバージョン履歴を追記
- ドキュメント構造の可視化ツリーを更新
Step 4: 品質確認
ちなみに コードは何も問題なく対応していたということ?
Claude Codeの回答:
はい、コードレベルでは既に高い水準で対応していました。特にセキュリティ(90%)は以下が実装済みでした:
- AES-256-GCM暗号化(2層構造)
- Google OAuth 2.0 PKCE認証
- RBAC(役割ベースアクセス制御)
- Zod v4による入力検証
- OWASP Top 10対策(XSS、CSRF、SQLi等)
不足していたのは「ドキュメント」であり、コード品質の問題ではありませんでした。
Step 5: LPへの反映(オプション)
LPにセキュリティページを加えて あとQ&Aにももう少し詳しいものを
Claude Codeの動き:
- セキュリティセクションを新規作成(6つのカード)
- IPA非機能要求グレード対応バナーを追加
- FAQ拡充(技術者向け詳細回答7件追加)
追加されたFAQ例:
- セキュリティはどのような基準で設計されていますか?
- AIで開発されたシステムは信頼できますか?
- 技術スタックを教えてください
- 障害発生時の対応体制はどうなっていますか?
- データのバックアップ・復旧体制は?
完成した対応状況
| カテゴリ | 対応状況 | ドキュメント |
|---|---|---|
| 1. 可用性 | ✅ 100% | SLA-AVAILABILITY.md, BACKUP-DR.md |
| 2. 性能・拡張性 | ✅ 100% | Performance-Specification-v1.0.md |
| 3. 運用・保守性 | ✅ 100% | OPERATIONS-MAINTENANCE.md, INCIDENT-RESPONSE.md |
| 4. 移行性 | ✅ 100% | BACKUP-DR.md |
| 5. セキュリティ | ✅ 100% | SECURITY.md |
| 6. システム環境 | ✅ 100% | NFR-COMPLIANCE.md |
学んだこと
1. AIは「網羅性」が強い
人間は見落としがちな項目(例:RPO定義、エスカレーションマトリクス)も、AIは基準に沿って漏れなくカバーしてくれます。
2. コードよりドキュメントが不足しがち
開発者はコードを書くのは得意でも、ドキュメント整備は後回しになりがち。AIはドキュメント作成も淡々とこなしてくれます。
3. 「AIで作ったから危険」は誤解
むしろAIを使うことで、人間以上に網羅的な品質チェックが可能です。重要なのは:
- 人間による最終レビュー
- CI/CDでの自動テスト
- 定期的なセキュリティ監査
プロンプトまとめ
# Step 1: 監査
https://www.ipa.go.jp/archive/digital/iot-en-ci/jyouryuu/hikinou/ent03-b.html
非機能要求グレードの観点から監査して不足がないかチェックして
# Step 2: 一括対応
では不足書類をまとめて全てクリアして
# Step 3: 既存ドキュメント反映
[ファイルパス]の必要なところや他のドキュメントにも反映してね
# Step 4: 品質確認(オプション)
ちなみに コードは何も問題なく対応していたということ?
# Step 5: LP反映(オプション)
LPにセキュリティページを加えて あとQ&Aにももう少し詳しいものを
技術スタック
参考までに、本プロジェクトの技術スタック:
- フロントエンド: Next.js 15、React 19、TypeScript、Tailwind CSS
- バックエンド: Next.js API Routes(Serverless)、Zod
- データベース: Supabase(PostgreSQL 17.6)
- インフラ: Vercel(Edge Network、自動スケーリング)
- 認証: NextAuth.js + Google OAuth 2.0 PKCE
- 監視: Vercel Analytics、Speed Insights、Pino
おわりに
「AIで作ったシステムは信頼できない」という先入観は、もはや過去のものです。
適切なプロンプトと人間によるレビューを組み合わせれば、IPA非機能要求グレードのようなエンタープライズ品質基準も満たすことができます。
Claude Codeを使ったAI駆動開発、ぜひ試してみてください。
関連リンク:
タグ: Claude AI駆動開発 IPA 非機能要求 品質管理 SaaS Next.js