9つの基本対策
Claude Codeを安全に動かす土台は9個の設定で整います。上から1つずつ確認していけば、家族共有PCでも安心して扱える状態になります。所要時間は全部合わせて1〜2時間程度で、技術知識ゼロでも手順通り進めれば完了する内容にまとめました。
【対策①】学習データの利用をオフにする
最初に止めたいのが、入力した文章が学習に使われる動きです。claude.aiの「Settings → Privacy → Help improve Claude」のトグルを切るだけで、入力内容の学習利用が止まる仕組みになっています。
ONのままだと、入力データは最大5年保持されて将来モデルの素材に回ります。OFFにすれば保持期間は30日へ短縮され、学習にも使われません。家計簿・医療相談・社内議事録など、二度と外へ出したくない文章を入力する前に必ず確認してください。
| プラン | 学習デフォルト | 保持期間 |
|---|---|---|
| Free / Pro | ON | 最大5年(OFF時30日) |
| Team / Enterprise | OFF(契約で保証) | 30日 |
| API / Bedrock / Vertex | 対象外 | 30日 |
/bugで送ったレポートは品質改善目的で5年保持されます。バグ報告に機密情報・APIキー実値は貼らないでください。API経由(Bedrock・Vertex AI含む)はもともと学習対象外で、APIキーで叩いている分には追加設定は不要。チャット画面で個人情報を扱う場合だけ、最初にトグルを切ってください。
確認手順は3クリックで完了します。右上のアイコン→Settings→Privacyと進み、Help improve Claudeのトグルがグレー(OFF)になっていれば作業終わり。一度切れば次回ログイン時もOFFのまま維持されるため、毎回確認する必要はありません。
- Free・Proユーザーは初期値ONなので必ず手動でOFFへ
- Team・Enterpriseは契約条項で初期OFFが保証
- API・Bedrock・Vertex経由はチャットの設定と独立で常時OFF扱い
- OFF切り替え後の入力データは30日で自動削除
【対策②】claude.ai認証を選んで使う
Claude Codeには複数の認証経路があり、優先度の高いものが自動採用される仕組みになっています。意図せず長期APIキーが優先されると、漏洩時の被害が大きくなります。
おすすめは末尾の/login経由のclaude.ai OAuthです。短期トークンで自動更新されるため、ハードコードしたAPIキーをうっかり公開リポジトリに混入させる事故が起きにくくなります。OAuthでログインすると、ブラウザが自動で開き、claude.aiの認証画面が表示される流れ。
長期APIキーが残ったままだと、流出時の被害が長引きます。たとえばGitHub公開リポジトリへ誤コミットした場合、24時間以内に自動スキャナーが拾って悪用される事例も報告されています。短期トークンへ切り替えておけば、自動更新サイクルで実害が縮小する設計です。
CI/CDで自動実行が必要なケースだけ、長期APIキーをSecretマネージャー経由で渡す運用へ切り替えます。手元の対話用には/loginのOAuth、自動化にはSecret管理という二段構えが現実解です。
【対策③】認証情報を3カ所に分けて保管する
認証情報の保存先はOSごとに変わります。場所を知らないと、PCを譲るときに古い認証情報が残ったまま渡してしまう恐れがあります。
| OS | 保存場所 | 保護方式 |
|---|---|---|
| macOS | Keychain(キーチェーンアクセス) | OS暗号化 |
| Linux | ~/.claude/.credentials.json | パーミッション0600 |
| Windows | %USERPROFILE%\.claude\.credentials.json | ユーザー領域 |
.env・.mcp.json・.claude/settings.local.jsonの3つは必ず.gitignoreへ。共有してよいのは.claude/settings.jsonだけ。PCを家族・知人に譲るときは、認証情報の物理削除も忘れないでください。macOSなら「キーチェーンアクセス」でClaude関連エントリを検索→削除し、LinuxとWSLなら~/.claudeディレクトリ全体をrm -rfで消去します。
- macOS:キーチェーンアクセスで
claude検索→該当項目を削除 - Linux / WSL:
rm -rf ~/.claudeで認証ディレクトリ全削除 - Windows:
%USERPROFILE%\.claudeフォルダごと削除 - 削除後に
/loginを試して「未認証」表示が出れば完了
【対策④】Permissionを3段階で設定する
Claude Codeは「許可(allow)・確認(ask)・拒否(deny)」の3段階でツール実行を制御できます。.claude/settings.jsonのpermissions項目に並べる形式です。
- 事前承認したコマンド
- 確認なしで実行
- 例:
Read(./README.md)
- 毎回プロンプトを出す
- デフォルト動作
- 例:
Bash(npm run *)
- 問答無用で停止
- 鉄壁ガード
- 例:
Read(./.env)
| モード | 動作 | 用途 |
|---|---|---|
| default | 基本動作 | 通常使用 |
| acceptEdits | 編集を自動承認 | プロトタイピング |
| plan | 計画提示のみ | レビュー前 |
| bypassPermissions | 全許可(非推奨) | 専門家向け |
優先順位はManaged > Local > Project > Userの4階層で、上位の設定が下位を上書きします。curlとwgetは既定でブロックされる仕様で、マッチしないコマンドは手動承認に落ちるfail-closed設計。
初心者がやりがちな失敗はbypassPermissionsモードでの常用です。「毎回確認が面倒だから」と全許可にすると、対策④の意味がなくなってしまいます。最初の数日はdefaultで慣れ、頻出コマンドだけallowへ追加していく順序が安全です。
.claude/settings.jsonをgitに含めてOK(機密情報は入れない)。個人用の上書きは.claude/settings.local.json(gitignore対象)に書き分ければ、チームルールと個人カスタムが両立する設計。【対策⑤】Sandboxを有効にして隔離する
Sandboxは、Claude Codeが触れるファイル範囲と通信先をOS側で囲い込む公式機能です。/sandboxと打つだけで、書き込み範囲と通信先が制限されます。
| OS | 隔離技術 | ファイル書き込み | ネットワーク |
|---|---|---|---|
| macOS | Seatbelt | 既定でCWDのみ | hostname allowlist |
| Linux / WSL2 | bubblewrap | 既定でCWDのみ | hostname allowlist |
- A編集系コマンド自動許可
- A範囲は隔離領域内のみ
- A高速作業向き
- R毎回プロンプトを出す
- R従来通りの確認体験
- R学習中の人向き
Sandboxは内部的にOS標準の隔離機構を使う設計で、追加ソフトのインストールは要りません。macOSは標準搭載のSeatbelt、LinuxとWSL2はbubblewrapが入っていれば即起動できます。Windows単体での対応は2026年5月時点で進行中の段階にあります。
Auto-allow modeは編集系コマンドを自動承認する代わりに、Sandboxの隔離壁が止め役を担う設計。Regular permissions modeは従来通り都度確認が出るため、初学者の練習用に向きます。
【対策⑥】ローカル版とWeb版を使い分ける
Claude Codeには4つの動作モードがあり、コードの保管場所と認証方式が変わります。機密データを扱うときと、出先で動かしたいときで切り替えるのが基本。
| モード | 実行場所 | コード保管 | 認証 |
|---|---|---|---|
| ローカルCLI | 自宅PC | ローカル | API or OAuth |
| Claude Code on the web | クラウド | クラウド(cleanup) | OAuth固定 |
| Routines | クラウド | fresh clone | OAuth |
| Remote Control | ローカル | ローカル | OAuth+短期トークン |
/sandboxの組み合わせ一択。クラウド側にソースが残らず、Sandboxで実行範囲も限定できる構成。Web版とRoutinesは便利な反面、コードがAnthropicのクラウドに一時保管されます。社内NDA対象のリポジトリは、ローカルCLIに固定して扱ってください。
Remote Controlは出先のスマホからローカルPCのClaude Codeを操作できる機能で、短期トークン+OAuthが必須になります。トークンは数分単位で自動更新されるため、スクリーンショットを誰かに見られても再利用されない設計です。
【対策⑦】公式のMCPコネクタだけを選ぶ
MCPサーバー(MCPという共通規格に従って外部ツールをAIに接続するソフト)は、Anthropic公式ディレクトリに載っているものだけを選んでください。GitHubで個人配布のMCPには、認証情報を抜き取るマルウェアが混ざる事例も報告されています。
- ✕Anthropic Directory掲載
- ✕OAuth対応が基本
- ✕署名付きパッケージ
- ◯出所不明のコード
- ◯API key平文保存も
- ◯アップデートで急変も
【対策⑧】プロンプトインジェクションを防ぐ
プロンプトインジェクションとは、メール本文・GitHub PR・PDF・Web記事などに仕込まれた指示文を、AIがそのまま実行してしまう攻撃手法のことです。外部の文章を読ませる作業はどれもリスク源になり得ます。
→ AIがそのまま実行 → 認証情報が公開コメントに転載される
Anthropicの公式推奨は10層の多重防御です。Sandbox単体で防ぐより、複数の壁を重ねるほうが事故を抑制できる設計になっています。
- Permission(許可制御)
- Context-aware filtering(文脈フィルタ)
- Input sanitization(入力検査)
- Command blocklist(コマンド遮断)
- Network approval(通信承認)
- Isolated context(文脈分離)
- Trust verification(信頼検証)
- Command injection防御
- Fail-closed(既定拒否)
- Sandboxing(隔離実行)
実害が出やすいのは「PRを自動レビューさせる」「メールをまとめて要約させる」など、外部入力を一括処理する自動化フローです。攻撃者は不特定多数の入力に紛れ込ませて指示を仕込むため、量が多いほど成功率が上がります。
人間がレビューする中間ステップを必ず挟む設計が、現時点での最強の防御策。AIの出力に「外部URLへの送信」「ファイル書き込み」「環境変数の表示」が含まれていたら、自動承認せず手動で確認する運用ルールにしてください。
【対策⑨】家族共有PCをアカウントで分ける
リビングの共用PCにClaude Codeを入れているご家庭は要注意です。~/.claude.jsonに認証情報が保存されているため、同じOSユーザーで操作するとセッションが共有されてしまいます。
.claude.jsonはユーザー領域に保存されるため、これだけで分離効果が出ます。chmod 600 ~/.claude/.credentials.json。他ユーザーから読めない状態にしておくのが安心。/logoutでセッション終了。子どもが触ってしまっても操作が止まる仕組み。夫婦で1台のMacを使う、子どもと親で同じLinuxを共有する、といった構成は珍しくありません。Claude Codeの設定は~/.claude配下に置かれます。OSユーザーが同じだと、別人が触っても直前の続きから操作できてしまうため、家族内でも仕事用と私用は分けてください。
OSユーザーを分けるだけで「他の家族のClaude Codeを起動してしまった」事故はほぼ防げます。所要時間はmacOSで5分・Windowsで7分ほど、Linuxはuseraddで1分程度。一度作れば以降は切り替えだけで運用できるため、最初の手間に見合う効果が出ます。
.mcp.jsonはgit追跡しない.mcp.jsonは必ず.gitignoreへ。ペアプロ相手と共有したい場合は、キー実値を伏せたサンプルファイル.mcp.json.exampleを別に作成する運用が安全。
事故が起きた時の対処手順
どれだけ予防しても事故は起こりえます。発覚から最初の30分の動きで被害規模が変わるため、3つの初動手順を準備しておいてください。事故ゼロを目指す予防策と、事故時の被害最小化策の両輪が、長くClaude Codeを使い続ける上での安心材料になります。
漏れた認証情報を即ローテーションする
APIキー・OAuthトークンが流出した疑いがあるときは、議論より先にrevoke(無効化)を最優先で行ってください。攻撃者は流出から数分で自動スキャンを始めるため、時間との勝負になります。
Revokeを即押下。即座に無効化されるため、攻撃側の利用が止まります。.env・CI/CDのSecretを上書き。古いキー名を再利用するとログ追跡が混乱する原因に。Usageタブで、漏洩時刻以降のリクエスト履歴を確認。心当たりのないアクセス元IPがあれば、Anthropicサポートへ通報してください。ローテーションが終わったら、原因の追跡も忘れないでください。git logとgit blameで「いつ・どこに・誰が」キーを混入させたかを特定し、再発防止のチェックリスト化へつなげていきます。
誤削除したファイルをreflogで復旧する
Claude Codeが意図せずファイルを消した場合、git reflog経由なら90日以内であれば復旧の可能性あり。慌てて新規commitを重ねる前に、まずgit reflogで履歴を取ります。
~/Library/Keychainsを復元してください。バックアップなしの状態だと、APIキー・パスワードは原則復旧不可。普段からTime Machine・ファイル履歴(Windows)・rsnapshot(Linux)のいずれかで日次バックアップを取っておくと、復旧コストが大きく下がります。Claude Codeの誤削除以外にも、SSD故障・OS破損の保険として有効です。
不審動作をAnthropicへ通報する
Claude Codeが指示と無関係なファイルを開いた・送信した・知らないURLへ接続した場合は、Anthropicへ報告してください。脆弱性であれば修正に直結し、世界中のユーザーが助かる流れに。
/feedbackコマンドでサポートチームへ送信- 重大な脆弱性はAnthropicバグバウンティ(HackerOne経由)で報告
- セキュリティ報告窓口:
security@anthropic.com - 再現手順・スクリーンショット・ログを添付すると対応が速い
/bug送信内容は、学習をOFFにしていても品質改善目的で5年保持されます。APIキー実値・個人情報は送る前に伏字化してください。Claude Codeで実際に起きた5つの事故
ここから先は実際に報告された5件の事故です。どれも他人事ではない事象で、設定を1つ変えていれば防げたケースばかりでした。技術記事・SecurityWeek・公式リリースを一次情報として確認し、再発防止に直結する教訓のみを抜き出しました。
rm -rfコマンドでホームディレクトリ全消失
個人開発者の事例として、「古いリポジトリを掃除して」という指示が、Claude Codeにrm -rf ~/と解釈された事故が起きました。ホームディレクトリ配下が全消失し、macOS Keychainも巻き添えに。
.claude/settings.jsonのdenyルールにBash(rm -rf *)が入っておらず、Sandboxも未起動。対策④と⑤を両方欠いた状態だったと報告されています。対策はシンプルで、denyにBash(rm -rf *)を追加し、/sandboxで隔離する形になります。これだけで同種の事故は防げます。出典:Qiita yurukusa氏の体験談記事。
被害規模はホームディレクトリ約120GB分にのぼりました。写真・原稿・パスワード管理アプリのDBが消え、復旧には外付けSSDのバックアップから3日かかったと報告されています。Time Machineがなければ全損だったケースです。
terraform destroyで本番DB・VPC全削除
DevOps現場で発生した事故です。「検証環境のterraformをdestroy」と指示したつもりが、Claude Codeが本番ディレクトリで実行してしまい、RDS・VPC・ECSが全消失。復旧には24時間以上要しました。
.claude/settings.jsonを本番ディレクトリと検証ディレクトリで別建てに。本番側はBash(terraform destroy *)をdenyへ入れる構成が安全。plan-applyを必ず人間が確認する運用も同時に必要です。Claude Codeに--auto-approve付きで実行させない設計が、業務利用での最低ラインになります。出典:Qiita dai_chi氏の事例。
クラウドリソースは復旧不可なものが多く、特にRDSのスナップショット未取得状態だと顧客データが完全消失する恐れがあります。terraform作業はステージング環境でplanのみを動かし、本番反映は人間がボタン操作する二段構えへ移行する企業が増えています。
広告代理店12社分のAPIキー流出
広告代理店で起きた社内ガバナンス事故です。社員18名がClaude Codeの自動コミット設定をONのまま運用し、3か月間で12社分のクライアントAPIキーがGitHubに流出。
.envを.gitignoreに入れていなかった人が複数おり、自動コミット時に巻き添えで上がった構造。対策は対策③の3点セットを徹底することでした。社内テンプレで.gitignoreと.claude/settings.jsonを配布する運用に変えたところ、再発はゼロになりました。出典:saixtech社のインシデント報告。
流出に気づいたのは外部の脅威インテリジェンス会社からの連絡で、内部検知ではありませんでした。GitGuardianなどの常時監視を入れていれば、初日にアラートが鳴って早期対応できた可能性が高くなります。
Comment and Control攻撃で認証情報窃取
2026年春に発覚した新型攻撃です。GitHub PRに悪意あるコメントを仕込み、レビュー担当のClaude Codeにwhoamiとenvを実行させ、結果を別のコメントに転載させる手法。
→ Claude Codeが指示通り実行
→ 環境変数(APIキー含む)が公開PRコメントに転載
env系コマンドのコメント転載をブロックする防御を追加。対策④のdeny設定と対策⑤のSandboxを併用すれば、現時点の派生攻撃にも対応できる構成。出典:SecurityWeek掲載の脆弱性報告記事。攻撃の特徴は、AIが文章を読む流れに自然に紛れ込ませる手口にあり、人間のレビュアーが事前に見ても気づきにくい設計になっています。
Anthropic自身のソース漏洩(npm v2.1.88)
2026年3月31日、Anthropic自身がやらかした事故です。npm配布パッケージ@anthropic-ai/claude-codeのv2.1.88に、ソースマップ60MBが誤同梱された状態で公開。
Anthropicは24時間以内に該当バージョンをnpmから削除し、v2.1.89を緊急リリース。利用者側のリスクは、改造版を誤って入れないよう公式パッケージ名と署名を確認することで防げます。
出典:TechRadar・SQAT.jpの脆弱性詳報。教訓は「公式提供者でもミスは起こる」という前提で運用することにあります。インストール時にパッケージ名のtypo・署名・公開元アカウントを確認するクセが、最終的な防御線として残ります。
よくある質問
ここでは、導入相談で繰り返し聞かれる4つの疑問に回答していきましょう。プラン選び・家庭利用・無料版運用・他AI比較の4観点で整理しました。
業務利用で安全なプランは?
結論はTeam以上が安全です。Team・Enterpriseは契約条項で「入力データを学習に使わない」が保証されており、Free/Proのデフォルト学習ON挙動とは別建てになっています。
| プラン | 学習デフォルト | 業務利用適性 |
|---|---|---|
| Free | ON(要手動OFF) | 個人の試用向け |
| Pro(月20ドル) | ON(要手動OFF) | 個人開発・副業向け |
| Team | OFF(契約保証) | 中小企業向け |
| Enterprise | OFF(契約保証)+SSO | 上場企業・士業向け |
子どもアカウントで使えるか?
claude.aiは13歳以上が利用規約上の条件で、地域によって14歳・16歳に上がる場合があります。13歳未満の単独利用は対象外で、ファミリーアカウントのような仕組みは現時点で提供されていません。
- 13歳以上(地域差あり)+保護者の監督下が前提
- ファミリーアカウント機能なし(2026年5月時点)
- OSのスクリーンタイム/ファミリーセーフティで時間帯制限を併用
- 学習ON状態だと子どもの作文が学習素材に回るため、必ずOFF設定
無料版で個人情報を扱えるか?
結論は「学習OFFにすれば限定的に可」、ただし業務データは別。Freeプランでも対策①の手順でトグルを切れば、入力内容の学習利用は止まります。
- ✕学習OFF済みの自分用メモ
- ✕公開済み情報の整理
- ✕コード学習・趣味用途
- ◯クライアント情報
- ◯他人の個人情報
- ◯業務契約データ
- ◯/bug経由のレポート
業務データ・他人の個人情報を含む内容は、契約保証のあるTeam以上が原則になります。Free運用は自分の趣味範囲にとどめておくと安全です。
「学習OFF」と「機密保持契約」は別物な点も押さえてください。学習OFFはAnthropic側の学習素材から外す処理のみで、データ自体はサーバーに30日残ります。契約上の機密保持はTeam・Enterpriseのみで提供されます。
ChatGPT・Geminiと何が違うか?
セキュリティ観点での最大の差は、ローカルPCを直接操作できるClaude Codeの設計です。他社のChatGPT・Geminiはチャット中心で、ファイル操作は限定的になります。
| 観点 | Claude(Pro) | ChatGPT(Team以上) | Gemini |
|---|---|---|---|
| 学習利用 | 不使用(/bug除く) | 不使用 | 不使用 |
| ローカル直接操作 | あり(最大の差別化) | なし | なし |
| MCPコネクタ | あり(豊富) | 限定的 | 限定的 |
| Sandbox | 公式機能あり | なし | なし |
