.env・APIキー・パスワードをAIから守る
.env、APIキー、トークン、パスワードは、AIに読ませたり貼り付けたりしてはいけない代表例です。秘密情報がなぜ危ないのか、どこに置くべきか、間違って見せた時に何をするかを整理します。
ざっくり言うと
秘密情報は、ネット上の合鍵のようなものです。中身を知った人やプログラムが、あなたのサービスやアカウントを操作できる場合があります。
イメージ
正確には
Claude Code の権限ドキュメントには、.env、.env.*、secrets/** のようなファイルをpermissions.denyで読み取り拒否にする例があります。ただし、これは組み込みのReadやEditなど、指定したツールの利用を制御する設定です。Readを拒否しても、Bashのcat .envや別のプロセスからの読み取りまで防げるわけではありません。
AnthropicのClaude Consoleでは、2026年7月からAPIキーとAdmin APIキーの作成時に有効期限を設定できます。期限を付けることは、漏れたキーが使われ続ける時間を短くする対策です。サービスが対応している場合は短めの期限を選び、期限を付けないキーは秘密管理ツールに保存して定期的にローテーションします。
GitHub には secret scanning という仕組みがあり、リポジトリに含まれた秘密情報を検出する機能があります。これは助けになりますが、「検出されるから安心」ではありません。そもそも上げないのが基本です。
.env と .env.example の違い
| ファイル | 中身 | Gitに入れる? |
|---|---|---|
.env | 本物のAPIキーやパスワード | 入れない |
.env.local | 自分のPCだけの本物の設定 | 入れない |
.env.example | 空欄やダミー値の見本 | 入れてよい |
注意点
AIに設定ファイルを見てもらいたいときは、本物の値を消した版を渡します。
伏せる場所の見つけ方
長い文字列を見ると、どれが秘密情報か分からなくなることがあります。迷ったら、値そのものではなく「何の項目か」だけを残します。
| 見えるもの | AIに渡す前の扱い |
|---|---|
| APIキーらしい長い文字列 | ダミー値 に置き換える |
| パスワード | 書かない |
| アクセストークン | TOKEN=ダミー値 の形にする |
| 接続URL | ユーザー名やパスワード部分を伏せる |
| エラー文 | 秘密値の前後を確認してから貼る |
相談用に整える手順
設定ファイルをそのまま見せず、相談用の形を作ります。少し手間ですが、慣れると事故をかなり減らせます。
- ファイルを直接貼らず、必要な行だけ抜き出す
- 値をすべて
ダミー値や伏せていますに置き換える - 何を直したいのかを一文で書く
- 本物の値は自分のPCや管理画面でだけ扱う
この形なら、AIは構造を見ながら助言でき、人間は秘密情報を守れます。
やってみよう
秘密情報は、AI活用で一番守るべきものの一つです。うまく隠せる人ほど、AIを安心して仕事に使えます。
参考ソース
UPDATES
新着レッスンをLINEでお届け
新着レッスンやAIの最新ニュース、仕事に役立つヒントをお届けします!
リンク先は、運営元の Nanoha AI Labo 公式LINEです。
