Claude APIを使い始めたら、必ず手に入れることになるのが「APIキー」。これ、銀行の暗証番号みたいに扱わないといけないものだと最近知って、正直冷や汗をかいた。うっかり公開してしまうと、他人に勝手に課金されるというケースもあるという。
40代で初めてAI開発に踏み込むと、「技術」よりも「セキュリティ」で事故る方が怖い。今日は Anthropic公式の「API Key Best Practices」記事を読みながら、APIキーを扱う前に知っておくべき5つのルールを学習ノートとしてまとめる。
記事の内容はAnthropic公式(claude.com / docs.anthropic.com、2026年4月時点)で確認できた内容だけで構成している。
先に結論。APIキーを3行で
- APIキーはClaude APIを使うための「鍵」。これが他人に渡ると勝手に使われる
- 安全に扱う鉄則は「コードに直接書かない・環境変数で管理・定期的に交換」
- AnthropicはGitHubと連携して、公開リポジトリに漏れた鍵を自動無効化してくれる保険もある
そもそもAPIキーって何なのか
公式ドキュメントによれば、Claude APIへのすべてのリクエストにはx-api-keyヘッダーでAPIキーを添える必要がある(公式記載)。
噛み砕くと、「これは正規のユーザーです」と証明するデジタル鍵のようなものだと僕は受け取った。この鍵があれば、Anthropicのサーバーは「はい、あなたですね。では Claude を使わせます」と応えてくれる。逆に、この鍵が他人の手に渡れば、その人は僕のアカウントとして Claude を使える——お金もそちらから引かれる。
APIキーの取得場所
公式はClaude Console(platform.claude.com)から取得すると明記している。具体的にはAccount Settings → Keysのページで発行できる。
ここで一つ、初心者が見落としがちな落とし穴がある。公式の仕様上、発行時に表示される秘密のキー文字列は、一度閉じると二度と表示されない。つまり発行直後に安全な場所にコピーして保管しないといけない。これを知らずに閉じてしまうと、再発行するしかない。
【本題】公式が示すAPIキーの取り扱い5ルール
Anthropic公式サポートの「API Key Best Practices」で明示されている推奨事項を、初心者向けに5つに整理した。
ルール1:コードや設定ファイルに直接書かない
公式は明言している——「Never include it directly in your code or configuration files.」(絶対にコードや設定ファイルに直接書かないでください)。
やりがちなのは、Pythonスクリプトにapi_key = "sk-ant-..."と書いてしまうこと。このまま GitHub に push すると全世界に鍵が公開される。
ルール2:環境変数で管理する
公式推奨は環境変数を使ってAPIキーをアプリケーションに渡す方法。ローカル開発なら.envファイル(dotenv)、クラウド環境なら各プラットフォームのシークレット管理サービスを使う。
公式原文の引用:
A best practice for safely handling API keys is to use environment variables to securely inject and share environment variables.
引用元:Claude Help Center – API Key Best Practices
ルール3:.envファイルは必ず.gitignoreに入れる
ローカルでdotenvを使う場合、公式は「.env ファイルをバージョン管理の無視リスト(.gitignore など)に追加して、機密情報を誤って公開しないようにしてください」と明言している。
これを怠ると、「環境変数にしたはずなのに .env 自体が GitHub に push されていた」という、あるあるの事故が起きる。
ルール4:定期的にローテーション(鍵の交換)
公式推奨は「例えば90日ごとに新しい鍵を発行して、古い鍵を無効化する」。
これは銀行の暗証番号を年1回変えるのと同じ発想で、もし鍵が漏れていたとしても、被害を最小化するための保険だ。
ルール5:用途ごとに鍵を分ける
公式は「可能なら、開発・テスト・本番で別のAPIキーを使い分ける」と推奨している。
理由はシンプル。もし1つの鍵が漏れても、その鍵だけ無効化すれば済み、他の環境を巻き込まずに済む。
さらに、Claude ConsoleにはWorkspacesという機能があり、用途別にAPIキーをセグメント化して利用料の把握・制御もできる(公式記載)。
安心材料:AnthropicはGitHubと自動連携している
人間はミスする生き物だ。「気をつけていたつもりが、うっかり .env を push してしまった」という事故は実際に起きる。
ここに公式の安全ネットがあると知って、僕は少し安心した。
Anthropic has partnered directly with GitHub to provide an extra layer of protection for our users through GitHub’s Secret scanning partner program. If a Claude API key is detected in a public GitHub repository, GitHub immediately notifies Anthropic. To prevent potential abuse, Anthropic automatically deactivates the exposed API key.
引用元:Claude Help Center – API Key Best Practices
直訳すると「Anthropicは GitHub と直接連携しており、Claude APIキーが公開リポジトリで検出されたら即時に通知を受け、自動で当該APIキーを無効化する」。
つまり、公開リポジトリに鍵が漏れてしまっても、Anthropic側が自動で無効化してくれる保険がある。もちろん「漏らさないこと」が最優先だが、万一のためのセーフティネットがあるのはありがたい。
Workspacesで「家計簿を分ける」ようにAPIキーを管理
公式APIドキュメントにはWorkspaces を使って用途ごとにAPIキーをセグメント化できると明記されている。
Use workspaces to segment your API keys and control spend by use case.
引用元:Claude API Docs – API Overview
経理的な発想で言えば、プロジェクトごとに家計簿を分けるのと同じ。「今月は〇〇プロジェクトでいくら使ったか」を明確に把握できるので、コスト管理が劇的に楽になる設計だ。
43歳・財務経理の僕が意識したいこと(推測)
ここからは、自分の業務に引き寄せた適用のイメージ。
1. 会社の経費でAIを使うとき
もし将来、会社の予算でClaude APIを使うとなったら、Workspaceを用途別(経理/人事/営業)に分けて、月次で使用量をレポート化すれば、経理職として説明しやすい。「誰がいくら使ったか」を曖昧にせず、勘定科目に紐づけて管理できる状態を作るのは、経理20年の目線では当たり前の発想だ。
2. 自宅で副業開発するとき
個人で副業用のスクリプトを書くなら、最初の1分でやるべきは「.gitignoreに .env を足す」だろう。コード書き始めるより前。これだけでGitHubへの誤push事故はほぼ防げる。
3. 鍵を漏らしたかも?と思った時
「あっ、push履歴に残っちゃった」と気づいたら、迷わずClaude Console で該当APIキーを即無効化 → 新しい鍵を再発行 → コミット履歴をクリーン化の3ステップ。これは経理の「誤仕訳を見つけたら即差し戻す」のと同じ反射神経で対応したい。
今日から始める最小の一歩
APIキーにまだ触れていない段階なら、発想だけ先に仕込んでおくのが賢い。
- 公式のAPI Key Best Practicesを一読する
- もし
.envを使う日が来たら即.gitignoreに追加すると頭にメモしておく - 最初にAPIキーを取得したら、発行画面で即コピーしてパスワードマネージャーに保管する(一度きりの表示だから)
今日のまとめ
- APIキーはデジタル鍵。他人に渡ったら勝手に課金される
- 鉄則はコードに直書きせず、環境変数で管理・.gitignoreに .env を追加
- 定期ローテーション(例:90日ごと)と用途別の鍵分けを推奨
- Workspacesでコストを用途別に見える化できる
- 万一漏れてもAnthropic×GitHub連携で自動無効化の安全網
APIキーは怖いものではなく、「銀行の暗証番号と同じ感覚で扱う」ことさえ押さえれば、普通に使えるもの。40代経理の僕からすると、この「お金につながる鍵はすべて同じ重さで管理する」という発想は、むしろ馴染みやすい話だと感じた。
なお、この記事の内容は2026年4月時点のもの。セキュリティ周りの運用は年々厳しくなっていくので、最新情報は公式で必ず確認してほしい。
参考にしたAnthropic公式ドキュメント
- Claude Help Center – API Key Best Practices: Keeping Your Keys Safe and Secure
- Claude API Docs – API Overview
- Claude Help Center – Managing API key environment variables in Claude Code
コメント