Claude Code 導入前のセキュリティチェックリスト｜ソースコードとシークレットの扱い

Anthropic社が提供を開始した「Claude Code」は、エンジニアが使い慣れたターミナルから直接対話できる強力なAIエージェントです。しかし、その強力なファイル操作能力やシェル実行権限は、エンタープライズ環境におけるセキュリティ担当者にとって「未知のリスク」として映ります。

特にソースコードの外部送信、APIキーなどのシークレットの扱い、そして自社コードがモデルの学習に利用されるかという懸念は、導入を阻む最大の障壁です。本稿では、IT実務者の視点から、Claude Codeを安全に業務に投入するためのセキュリティチェックリストと、具体的な設定手順を解説します。

Claude Code導入におけるセキュリティの全体像

Claude Codeは、単なるチャットツールではありません。ローカル環境のファイル構造を理解し、コードの書き換えやテストの実行までを自律的に行う「エージェント」です。そのため、従来のWebチャット型AI（Claude.ai）とは異なるリスク管理が求められます。

ターミナル型AIエージェント特有のリスクと対策

ブラウザ上で動作するAIと異なり、Claude CodeはOS上のファイルシステムに直接アクセスします。主なリスクは以下の3点に集約されます。

• 過剰なコンテキスト送信：依存ライブラリやログファイルなど、不要なデータまでAnthropicのサーバーへ送信してしまう。
• シークレットの混入：ハードコードされたAPIキーや環境変数ファイルをAIが読み込み、プロンプトの一部として送信してしまう。
• 意図しないコマンド実行：AIが提案したシェルコマンドによって、重要なデータが削除されたり、外部へ流出したりする。

Anthropicのデータ取り扱いポリシー

実務担当者がまず確認すべきは、データの学習利用に関する公式見解です。Anthropicの商業向け利用規約（Anthropic Console経由のAPI利用）において、送信されたデータはデフォルトでモデルの学習に利用されません。Claude CodeはAnthropicのAPI（Messages API）をバックエンドに使用しているため、この規約が適用されます。

ただし、プロダクト改善のためのデータ保持（不正利用防止目的の30日間の保存など）は行われるため、そもそも「社外に出してはいけないデータ」をAIに読み込ませない設計が不可欠です。詳細はAnthropic公式のCommercial Termsをご確認ください。

【重要】ソースコードと機密情報の流出を防ぐガードレール設計

Claude Codeがどのファイルを読み、どのファイルを無視するかを制御することは、セキュリティの第一歩です。

機密ファイルを Claude Code から遮断する方法（permissions.deny）

Claude Code は検索・探索時に .gitignore をある程度考慮しますが、機密ファイルを確実に遮断するには .claude/settings.json の permissions.deny に Read(...) ルールを記述します。.claudeignore や claude.ignore という専用ファイルは公式には存在しないため、これらに頼ると「除外したつもり」で機密情報が送信される危険があります。

遮断の確実さ：permissions.deny は探索・検索の対象から外し、読み取り自体を拒否するため、.gitignore より確実です。

具体的には、以下のようなファイルを permissions.deny の Read() ルールに記述し、AI の読み取り対象から外します。

セキュリティ上必須の除外

.env
.env.*
*.pem
id_rsa
secrets.json

重いバイナリや不要なコンテキスト

node_modules/
dist/
build/
*.log

シークレットスキャンツールの併用

AIに渡す前に、人間が「うっかり」コミットしたり残したりした秘密情報を検知する必要があります。Claude Codeを起動する前のプリチェックとして、TruffleHogやgitleaksといったオープンソースのスキャンツールをCI/CDやローカルのGit Hookに組み込むのが理想的です。

企業内でのSaaS利用が増える中で、こうしたアカウント管理やシークレットの扱いはより複雑化しています。退職者による不正アクセスリスクも含め、ID管理の自動化については以下の記事が参考になります。

SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ

Claude Codeの権限管理と実行制御

Claude Codeは対話の中で「このコマンドを実行してもいいですか？」と尋ねてきます。このプロンプトに対する人間の「y」という応答が、セキュリティの最後の砦となります。

シェル実行の承認プロセスと自動化のリスク

Claude Code はデフォルトで、破壊的操作や外部通信を伴うコマンドのたびに人間の承認を求める設計です（--dangerously-skip-permissions などで承認を省く運用も可能ですが、本番・機密環境では避けます）。これは AI が rm -rf / や curl -X POST ... といった破壊的・流出的なコマンドを勝手に実行するのを防ぐためです。実務運用においては、以下のルールを徹底してください。

• コマンド内容の目視確認：特に curl や wget による外部通信が含まれていないかを確認する。
• サンドボックス環境での利用：極めて高いセキュリティが要求されるプロジェクトでは、Dockerコンテナ内や制限されたVM内でのみClaude Codeを起動する。

ネットワークアクセス制限の検討

プロキシ環境下でClaude Codeを利用する場合、特定のドメイン（api.anthropic.comなど）へのアクセスのみを許可し、それ以外の不審なアウトバウンド通信をFirewallレベルで遮断する構成が有効です。

競合ツールとのセキュリティ仕様比較

導入検討時に必ず問われるのが、GitHub CopilotやCursorといった既存ツールとの違いです。各ツールのセキュリティ特性を以下の表にまとめました。

このように、Claude Codeは「CLIベースで広範な操作権限を持つ」点が特徴であり、その分、利用者側のリテラシーと制御設定が重要になります。

導入前チェックリスト：社内承認を得るための10項目

セキュリティ担当者や法務との合意形成に役立つ、実務的なチェックリストです。

1. データの保護と学習

• [ ] Anthropicの「Commercial Terms」に同意し、API経由で利用しているか？
• [ ] データが学習に転用されない設定（デフォルト）を確認したか？

2. アクセス制御と除外設定

• [ ] .claude/settings.json の permissions.deny で機密ファイルを除外しているか？
• [ ] .env ファイルなどの秘匿情報が .gitignore に含まれているか？
• [ ] 開発メンバーのAPIキーの権限を最小化（Least Privilege）しているか？

3. インシデント対応と監査

• [ ] Anthropic Consoleから利用ログ（使用量・頻度）を監視できる体制か？
• [ ] 意図しないコード流出が判明した際の、APIキー無効化フローが決まっているか？

4. 環境分離

• [ ] 本番DBへの接続情報が含まれる環境で不用意に実行していないか？
• [ ] 個人PCではなく、会社支給の管理された端末で利用しているか？

例えば、経理システムなどの基幹データを取り扱うプロジェクトでAIを導入する場合、データの整合性や機密性はより厳格に管理されるべきです。以下の記事では、会計ソフトと他システムの連携におけるデータ責務の分解について解説していますが、AI導入時にも同様の「どのデータまでをAIに見せるか」という責務分解の考え方が応用できます。

【完全版】「とりあえず電帳法対応」で導入したシステムが経理を殺す。Bill One等の受取SaaSと会計ソフトの正しい責務分解

運用フェーズでのセキュリティ監査とブラッシュアップ

Claude Codeを一度導入して終わりではなく、継続的な監視が必要です。Anthropic ConsoleではAPIのリクエスト数やトークン消費量がリアルタイムで把握できます。異常な消費（スパイク）が発生している場合、AIが無限ループに陥っているか、あるいは大量のファイルを意図せずスキャンしている可能性があります。

また、ビジネスプロセスの自動化において、AIエージェントは非常に強力な武器になりますが、その「自動化の設計図」自体がセキュアである必要があります。データ基盤を中心としたアーキテクチャ設計については、以下の記事も非常に示唆に富んでいます。

高額MAツールは不要。BigQueryとリバースETLで構築する「行動トリガー型LINE配信」の完全アーキテクチャ

機密ファイルの除外設定（.claudeignore は公式機能ではない）

「claude ignore」「anthropic claude code .claudeignore」といったクエリで本記事に流入がありますが、重要な前提として、Claude Code に .claudeignore（や claude.ignore）という公式の除外ファイルは存在しません。作成しても参照されず、「除外したつもり」で機密情報がコンテキストに含まれる危険があります。正しくは .claude/settings.json の permissions.deny に Read(...) ルールを書きます（deny 一致ファイルは探索・検索から外れ、読み取りも拒否＝旧 ignorePatterns の後継）。

permissions.deny の設定例（.claude/settings.json）

{
  "permissions": {
    "deny": [
      "Read(./.env)",
      "Read(./.env.*)",
      "Read(./**/*.pem)",
      "Read(./**/*.key)",
      "Read(./**/*.p12)",
      "Read(./secrets/**)",
      "Read(./**/secrets.json)",
      "Read(./**/credentials.json)",
      "Read(./**/service-account*.json)",
      "Read(./.npmrc)",
      "Read(./.netrc)",
      "Read(~/.aws/**)",
      "Read(~/.config/gcloud/**)",
      "Read(./config/production.yml)",
      "Read(./config/database.yml)",
      "Read(./**/*.tfstate)",
      "Read(./**/*.sql)",
      "Read(./**/*.dump)",
      "Read(./data/**)",
      "Read(./exports/**)",
      "Read(./backups/**)"
    ]
  }
}

ビルド成果物や依存関係（node_modules/、dist/、.venv/、__pycache__/ 等）は、機密というよりトークン節約のための除外です。.gitignore に入っていれば探索時にある程度考慮されますが、確実に外したい場合は permissions.deny に Read(./node_modules/**) のように追加します。

業界別に追加すべき deny 対象

• 金融業界：取引データ・口座番号 CSV・取引明細・KYC関連を deny に追加
• 医療業界：患者データ CSV・診療記録・処方データを deny に追加
• EC・小売：顧客住所一覧・購買履歴 CSV・カード情報サンプルを deny に追加
• SaaS事業：顧客テナントデータ・利用履歴・API監査ログを deny に追加

シークレットスキャンの自動化（CI/CD 統合）

「Claude Code に渡す前のチェック」だけでなく、「シークレットを誤って Git にコミットする前のチェック」も同時に整備すべきです。標準的なツールチェーンを共有します。

主要シークレットスキャンツール

pre-commit hook での実装例

# .pre-commit-config.yaml
repos:
  - repo: https://github.com/Yelp/detect-secrets
    rev: v1.4.0
    hooks:
      - id: detect-secrets
        args: ['--baseline', '.secrets.baseline']
        exclude: package.lock.json

# 初回セットアップ
$ pip install pre-commit detect-secrets
$ detect-secrets scan > .secrets.baseline
$ pre-commit install

Claude Code の「権限承認」設計：自動化と安全のバランス

Claude Code はシェル実行・ファイル削除・外部ネットワーク通信のたびに人間の承認（y/n）を求めます。この承認を「すべてYes」にすると安全性が崩壊しますが、毎回確認も生産性が落ちます。バランスの取り方を整理します。

承認モードの3段階運用

• Strict（厳格モード）：すべての操作で個別承認。新人エンジニア・本番環境・機密プロジェクトで使用
• Standard（標準モード）：読み取りは自動承認、書き込み・削除・実行は個別承認。日常開発で推奨
• Auto（自動モード）：「ホワイトリスト化された安全コマンド」のみ自動実行。経験豊富な開発者の生産性向上用途

Auto モードのホワイトリスト例

# settings.local.json - 自動承認するコマンドパターン
{
  "permissions": {
    "allow": [
      "Bash(npm install)",
      "Bash(npm test)",
      "Bash(git status)",
      "Bash(git diff)",
      "Bash(git log)",
      "Bash(ls *)",
      "Bash(cat *)",
      "Bash(grep *)",
      "Read(*)",
      "Edit(*.ts)",
      "Edit(*.tsx)",
      "Edit(*.md)"
    ],
    "deny": [
      "Bash(rm -rf *)",
      "Bash(curl * | sh)",
      "Bash(wget * | sh)",
      "Bash(sudo *)",
      "Edit(.env*)",
      "Edit(*.key)",
      "Edit(secrets/*)"
    ]
  }
}

多要素認証（MFA）と SSO 統合

「claude 多要素認証」（10imp/4.2位）「claude sso login」（10imp/8位）のクエリで本記事への流入があります。Claude Code の認証強化の現状を整理します。

Anthropic の認証オプション

• 個人ログイン：メールアドレス + パスワード + MFA（推奨）
• Google / GitHub SSO：個人プランで利用可能
• Enterprise SSO（SAML 2.0）：Anthropic Enterprise プラン必須。Okta / Azure AD / Google Workspace と統合
• API キー認証：個別開発者向け、組織管理機能はEnterprise必須

組織での Claude Code 利用時の認証統一

• Anthropic Enterprise契約：年間契約で Workspace 経由のSSO・SCIM対応
• 退職時の権限剥奪：SSO 切断で即時 Claude Code 利用不可に
• API キー管理：組織でのAPIキー発行・回収プロセス整備

実プロジェクトで使える Claude Code 業務活用テンプレート

「claude code 経費精算」「claude code vba」「claude code kintone」「claude code rpa」「claude code 不動産」「claude code apex」「claude code power automate」「claude code 領収書」「claude code 会計」など、業務活用のクエリが多数。実用テンプレートを業務別に整理します。

1. Excel/VBA → モダン環境への変換

• VBA → Python 移植：Claude に VBA コードを渡し、pandas + openpyxl で再実装
• VBA → Power Automate フロー：自動化ロジックを Power Automate のクラウドフローに変換
• VBA → Apps Script：Google Sheets 環境への移植

2. 会計・経費精算データ処理

• 領収書 OCR データの整形：OCR 結果（CSV）を Claude に渡し、勘定科目を自動分類
• 仕訳データのバリデーション：弥生・freee・MF からエクスポートした仕訳データの異常値検出
• 消費税区分の自動判定：取引内容から軽減税率対応・課税区分を提案

3. Salesforce Apex 開発

• Apex Trigger 生成：要件を伝えると Apex コード + テストコードを生成
• Lightning Component（LWC）開発：要件 → JavaScript + HTML + CSS の一括生成
• Salesforce Flow → Apex への変換：複雑なフローをコード化

4. kintone カスタマイズ JavaScript

• kintone JS カスタマイズ：要件 → kintone JavaScript API を使ったコード自動生成
• kintone REST API クライアント：Python / Node.js での連携コード生成
• kintone から外部 SaaS への自動連携：Salesforce / freee 等への連携スクリプト

5. RPA 代替の Python スクリプト

• Selenium / Playwright：Web 操作の自動化
• pyautogui：デスクトップアプリ操作
• RPA からの脱却：UiPath / WinActor のシナリオを Python に書き換え

セキュリティインシデント時の対応プロセス

万が一、Claude Code 経由で機密情報が漏洩した場合の対応プロセスを事前に整備しておきます。

インシデント発生時の初動（1時間以内）

1. 該当ユーザーの Claude Code 利用を即時停止（API キー無効化 / SSO 切断）
2. 漏洩した可能性のある情報の特定と影響範囲の把握
3. Anthropic への報告（30日間のデータ保存があるため、削除依頼）
4. 社内責任者（情シス・法務・経営層）への報告

72時間以内の対応

• 漏洩した認証情報（APIキー・パスワード等）の即時ローテーション
• 影響を受けたシステムのログ監査
• 個人情報保護委員会への報告（個人情報漏洩時。個情法では速報おおむね3〜5日以内・確報30日以内＝不正アクセス等は60日以内。「72時間」は GDPR の基準で個情法とは異なる）
• 取引先・関係者への通知

事後の改善

• インシデント原因の分析・再発防止策の策定
• permissions.deny（機密ファイル除外設定）の見直し・追加
• 従業員向けセキュリティ研修の追加実施
• 承認フロー・権限設計の見直し

Claude Code の permissions.deny によるシークレット分離やシェル実行の承認フロー設計は、記事で解説したように「何をどこまでAIに操作させるか」の境界を明確にする作業です。この設計を組織のルールに落とし込む段階、あるいは社内承認を取り付けるための社内標準策定については、Claude Code 導入支援 でもご相談いただけます。

関連ガイド・クラスター

• Claude Code × MCP のセキュリティ｜2026年の脆弱性と安全な導入設計
• Claude Code セキュリティ運用の決定版｜サンドボックス・権限・組織統制
• Claude Cowork 法務・情シスが安心する 貼ってはいけない情報の境界
• Claude Code と GitHub Copilot Agent 役割の棲み分けと選定フロー
• MCP サーバーの社内マーケットプレイス化｜承認フロー・SBOM
• マネーフォワード × MCP 連携
• 勘定奉行・弥生・PCA × MCP

まとめ：安全にClaude Codeの生産性を享受するために

Claude Codeは、正しく設定し、適切なガードレールを設けることで、開発スピードを数倍に引き上げる可能性を秘めています。しかし、その魔法のような利便性の裏には、従来のIDEプラグイン型AIよりも深い階層へのアクセス権限があることを忘れてはなりません。

本稿で紹介した permissions.deny による機密ファイル遮断、シェルコマンドの目視確認、そしてチェックリストによる社内合意形成を実践することで、リスクを最小化しながら最新のAI技術をビジネスに活用してください。セキュリティは「禁止」するためのものではなく、新しいツールを「安全に使い倒す」ための土台なのです。