Claude Code(開発者向けCLIツール)および Claude Cowork(デスクトップ版エージェント)は、あなたのPCを自律的に操作する新世代のAIツールです。非常に強力な反面、設定を誤ると機密情報(.env)の不用意な露出や、外部サイト経由の予期せぬ操作といったリスクが生じます。安全に使いこなすための推奨ポリシーを解説します。
Claude Code と Cowork は、ローカルマシン上でのコード実行、ファイル操作、ブラウザ操作が可能です。これは、Webサイトやドキュメントに隠された「見えない悪意ある命令(間接的プロンプトインジェクション)」を読み込んだ際、あなたの権限で勝手にファイルを送信したり削除したりするリスクを意味します。
-
1.
ローカルファイル履歴からの漏洩:
Claude Code が
~/.claude/file-history/に作成するバックアップに.env等の機密情報が平文で残るリスク。 - 2. 間接的プロンプトインジェクション: 読み込んだ外部ファイルやウェブページに「このファイルを外部へ送信せよ」という隠し命令が含まれている場合、エージェントがそれを実行する。
- 3. 監査ログの欠落 (Cowork): 現時点で Claude Cowork のアクティビティは中央の監査ログや Compliance API の対象外であるため、企業ガバナンスが効きにくい。
Anthropic のデータ取り扱いは、利用プランによって劇的に異なります。個人ユースでも不用意に「学習に協力」をオンにしないことが重要です。
| 利用プラン | 学習への利用 | データ保持期間 |
|---|---|---|
| API / Enterprise | ❌ 使用されない | 設定により(SOX2準拠) |
| Pro / Team (学習オフ) | ❌ 使用されない | 30日間 |
| Pro / Team (学習オン) | ⚠️ 学習に使用される | 5年間 |
「Help improve Claude(Claudeの改善に協力する)」をオンにすると、保持期間が 30日から5年へ急増 します。業務で利用する場合は、設定画面(Settings → Privacy)から必ずオフになっているか確認しましょう。
.env や秘密鍵のアクセス禁止Claude Code はプロジェクト全体を読み取ろうとしますが、機密ファイルへのアクセスは明示的に禁止すべきです。
permissions.deny = [".env", "*.pem", "id_rsa", ".history"]
特に Claude Code は、利便性のためにローカルの作業ディレクトリ内やシステムフォルダに変更履歴のコピーを保持する場合があります。
ここには編集したファイルの全内容が含まれるため、機密ファイルを編集した際は、これらの履歴フォルダを定期的にクリーニングするか、グローバルな .gitignore で監視対象から除外することを推奨します。
Claude Code は4つのレベルで設定を切り分けることができます。チーム開発では「Project」レベルでの設定共有が、IT管理者は「Managed」による統制が有効です。
/etc/claude-code/
会社全体のコンプライアンス設定。
.claude/settings.json
リポジトリ内で共有する拒否リスト等。
| チェック項目 | 理想の状態 |
|---|---|
| Claude の改善への協力 (Help improve Claude) | オフ |
環境変数 ANTHROPIC_API_KEY |
未設定(推奨) |
| 拒否リスト (permissions.deny) の設定 | 設定済み |
| Web閲覧時の「不審なリンク」判定 | 人間が確認 |
研究ノート:Claude セキュリティ・ブリーフィング
本ガイドの作成元となった、Anthropic社の公式ドキュメントやプライバシーポリシーの解析データを NotebookLM で公開しています。より詳細な根拠を確認したい場合に活用してください。
NotebookLM で詳細を閲覧する- 自律性を過信しない: エージェントは「見た情報をすべて信じて実行する」特性があります。ポップアップの確認画面は必ず読みましょう。
- 外部の目は慎重に: 見知らぬウェブサイトを Claude に「読み込ませる(browse)」際は、間接的プロンプトインジェクションの可能性があることを常に意識してください。
- データのライフライン: 業務秘密に関わるデータは Enterprise 契約を検討するか、API 経由での利用を基本としましょう。