カリキュラム/第10章: 組織導入/10-3 セキュリティ

10-3 セキュリティ

無料

Claude Code を組織で安全に利用するためのセキュリティガイドラインを解説します。

第10章: 組織導入15分

監修: 酒井歩乃加

フリーランス編集者・ライター / 元マイベスト編集ディレクター

監修: 平原尚樹

株式会社BlueAI 代表取締役CEO / ソフトウェアエンジニア

セキュリティの基本原則

Claude Code を業務で利用する際に守るべき基本原則です。

APIキーの管理 — キーは環境変数で管理、コードにハードコーディングしない
機密情報の取り扱い — 個人情報や機密データをプロンプトに含めない
権限の最小化 — Claude Code に与える権限は必要最小限にする
監査ログ — 利用状況を記録・確認できるようにする

# APIキーを環境変数で管理する
export ANTHROPIC_API_KEY=sk-ant-xxxxxxxxxxxx

# コードにハードコーディングしない
# NG: api_key = "sk-ant-xxxxxxxxxxxx"
# OK: api_key = os.environ["ANTHROPIC_API_KEY"]

ポイント

セキュリティルールはチーム全員に口頭で伝えるだけでなく、CLAUDE.md や社内 Wiki に書いて「いつでも確認できる状態」にしておきましょう。

Before / After：セキュリティ対策の効果

セキュリティ対策を行った場合と行わなかった場合の違いです。

Before（対策なし）

API キーがリポジトリに含まれている → 漏洩リスク
機密データを無制限に入力 → 情報流出リスク
全員が全権限で利用 → 事故リスク大

After（対策あり）

API キーは環境変数で管理 → 漏洩リスクなし
機密データの取り扱いルールが明確 → 情報流出を防止
権限モードで操作範囲を制限 → 事故リスク最小化
利用状況が可視化 → 問題の早期発見

ポイント

「後からセキュリティを強化する」は難しいです。導入の最初に最低限のルールを決めておくことが、チーム全体を守る最善策です。

権限設定

Claude Code の権限モードを使い分けましょう。

default — ファイル編集やコマンド実行前に確認を求める（推奨）
plan — 読み取り専用。計画の立案のみ、実行は手動
bypassPermissions — 全操作を自動実行（開発環境のみ推奨）

# 権限モードの指定
claude --permission-mode plan     # 読み取り専用モード
claude --permission-mode default  # 通常モード（確認あり）

機密情報の取り扱いルール

Claude Code に入力してはいけない情報のリストです。

絶対に入力しない:

パスワード、シークレットキー
クレジットカード番号
個人の住所、電話番号、マイナンバー
顧客の個人情報

注意して入力する:

社内のビジネス情報（NDA の範囲内か確認）
未公開の製品情報
社内のシステム構成情報

不安な場合は、ダミーデータに置き換えて指示しましょう。

ポイント

迷ったら「このデータが漏洩したら困るか？」と自問してください。困るなら入力しないのが正解です。

組織向けセキュリティチェックリスト

組織導入前に確認すべきセキュリティチェックリストです。

□ API キーの管理方針を策定した □ 機密情報の取り扱いルールを周知した □ 利用可能なプロジェクト/リポジトリを定義した □ 権限モードのデフォルトを設定した □ コスト上限を設定した □ 利用状況のモニタリング方法を決めた □ インシデント発生時の対応手順を決めた

# CLAUDE.md にセキュリティルールを記載
## セキュリティルール
- APIキーをコードに含めない
- 個人情報はダミーデータに置換して入力
- 権限モードは default を使用
- 月額上限: $30/人

インシデント対応

万が一セキュリティインシデントが発生した場合の対応手順です。

API キーの漏洩 — 即座に console.anthropic.com でキーを無効化し、新しいキーを発行
機密情報の誤入力 — Anthropic のサポートに連絡し、データ削除を依頼
不正利用の疑い — Usage ページで異常な利用を確認し、キーを停止

インシデント対応手順は、事前にチーム全員に共有しておきましょう。

# APIキー漏洩時の緊急対応手順
# 1. console.anthropic.com → API Keys → 該当キーを Revoke
# 2. 新しいキーを発行
# 3. 環境変数を更新
export ANTHROPIC_API_KEY=sk-ant-new-key-here

ポイント

API キーは console.anthropic.com でいつでも即座に無効化できます。「何かおかしい」と感じたらまずキーを止めて、それから原因を調べましょう。

やってみよう：セキュリティガイドラインを作る

自チームのセキュリティガイドラインを Claude Code に作ってもらいましょう。

> 以下の条件で、Claude Code の利用に関する
> セキュリティガイドラインを作成して。
>
> - 会社名: ABC株式会社
> - チーム人数: 10名
> - 利用目的: ソフトウェア開発
> - 機密レベル: 社内システムのコードを扱う
> - 要件: APIキー管理、機密情報ルール、権限設定
>
> Markdownで出力して。

コース完了

おめでとうございます。全10章のカリキュラムを完了しました。

このコースで学んだこと:

Claude Code の基本操作とセットアップ
効果的なプロンプト術
業務自動化とWebアプリ作成
MCP による外部ツール連携
コスト管理と組織導入

Claude Code は日々進化しています。毎月のアップデートコンテンツで最新の機能と使い方を学び続けましょう。

ポイント

コース終了後は「今日の業務で1つだけ Claude Code を試す」を続けてみましょう。小さな成功体験を積み重ねることが、本当の使いこなしへの最短ルートです。

Claude Code をチームで安全に使うための基本原則は？

学習チェックリスト

0/4

データ分析とダッシュボード作成を体験したMCP 連携の仕組みを理解したコスト管理と月額予算の設計ができるようになったチーム導入とセキュリティの基本を学んだ