AIツール超わかる教科書

.env・APIキー・パスワードをAIから守る

.env、APIキー、トークン、パスワードは、AIに読ませたり貼り付けたりしてはいけない代表例です。秘密情報がなぜ危ないのか、どこに置くべきか、間違って見せた時に何をするかを整理します。

公開: 2026-05-16 / 更新: 2026-07-15

ざっくり言うと

秘密情報は、ネット上の合鍵のようなものです。中身を知った人やプログラムが、あなたのサービスやアカウントを操作できる場合があります。

イメージ

正確には

Claude Code の権限ドキュメントには、.env.env.*secrets/** のようなファイルをpermissions.denyで読み取り拒否にする例があります。ただし、これは組み込みのReadやEditなど、指定したツールの利用を制御する設定です。Readを拒否しても、Bashのcat .envや別のプロセスからの読み取りまで防げるわけではありません。

AnthropicのClaude Consoleでは、2026年7月からAPIキーとAdmin APIキーの作成時に有効期限を設定できます。期限を付けることは、漏れたキーが使われ続ける時間を短くする対策です。サービスが対応している場合は短めの期限を選び、期限を付けないキーは秘密管理ツールに保存して定期的にローテーションします。

GitHub には secret scanning という仕組みがあり、リポジトリに含まれた秘密情報を検出する機能があります。これは助けになりますが、「検出されるから安心」ではありません。そもそも上げないのが基本です。

.env.env.example の違い

ファイル中身Gitに入れる?
.env本物のAPIキーやパスワード入れない
.env.local自分のPCだけの本物の設定入れない
.env.example空欄やダミー値の見本入れてよい

注意点

AIに設定ファイルを見てもらいたいときは、本物の値を消した版を渡します。

伏せる場所の見つけ方

長い文字列を見ると、どれが秘密情報か分からなくなることがあります。迷ったら、値そのものではなく「何の項目か」だけを残します。

見えるものAIに渡す前の扱い
APIキーらしい長い文字列ダミー値 に置き換える
パスワード書かない
アクセストークンTOKEN=ダミー値 の形にする
接続URLユーザー名やパスワード部分を伏せる
エラー文秘密値の前後を確認してから貼る

相談用に整える手順

設定ファイルをそのまま見せず、相談用の形を作ります。少し手間ですが、慣れると事故をかなり減らせます。

  1. ファイルを直接貼らず、必要な行だけ抜き出す
  2. 値をすべて ダミー値伏せています に置き換える
  3. 何を直したいのかを一文で書く
  4. 本物の値は自分のPCや管理画面でだけ扱う

この形なら、AIは構造を見ながら助言でき、人間は秘密情報を守れます。

やってみよう

秘密情報は、AI活用で一番守るべきものの一つです。うまく隠せる人ほど、AIを安心して仕事に使えます。

参考ソース

UPDATES

新着レッスンをLINEでお届け

新着レッスンやAIの最新ニュース、仕事に役立つヒントをお届けします!

リンク先は、運営元の Nanoha AI Labo 公式LINEです。

公式LINEを友だち追加