Claude Code を安全に使おう勉強会 / Claude Code Security Basics

Claude Code を安全に使おう勉強会 (※DevelopersIO向けに社内勉強会スライドをアレンジ済み) 川原征大(kawahara-masahiro) 2026-04-23 1

目次イントロ Claude Code の仕組みを知る Claude Code を安全に使うには？抑止する工夫制限する工夫
隔離する工夫その他いろいろおわりに参考 2

イントロ勉強会の目的やアジェンダ、スコープについて話します。 3

勉強会の目的 Claude Code (に限らず、AIエージェント) はとても便利です。しかしリスクもあり、暴走もします。この勉強会では、 Claude Codeが適切な範囲で適切に動けるような、
ガードレールの敷き方を学びます。 4

アジェンダ 1. Claude Code の仕組みを知る 2. Claude Code を安全に使うには？ 3.
抑止する工夫 4. 制限する工夫 5. 隔離する工夫 6. その他いろいろ 5

話すこと / 話さないこと話すこと Claude Code の仕組みとセキュリティの考え方 settings.json の permissions
/ Hooks / サンドボックス推奨設定のサンプル共有話さないこと MCP / Skill など拡張機能のセキュリティ周辺知識(GitHub / Terraform / コーディング等)のセキュリティ詳細な settings.json の書き方ガバナンス・コンプライアンス領域の話推論の地理的制約、データ保持期間、監査要件など 6

Claude Code の仕組みを知る Claude Code の仕組み、特に agenticループとツールの話をします。 7

agenticループ agenticループはコンテキストの収集、アクションの実行、結果の検証の 3つのフェーズで構成されます。あなた自身もループの一部です。出典: https://code.claude.com/docs/ja/how-claude-code-works 8

agenticループのコンポーネント agenticループは推論するモデルとアクションを実行するツールによって駆動されます。 : コードを理解し、次に何をすべきか推論・判断する具体例:
sonnet , opus : モデルの判断に基づきファイル操作やコマンド実行などを実際に行う具体例: Read , Edit , Bash モデルツール 9

参考: 組み込みツールができることカテゴリ Claude ができることファイル操作ファイルの読み取り、コード編集、新規ファイル作成、名前変更と再編成検索
パターンでファイルを検索、正規表現でコンテンツを検索、コードベースを探索実行シェルコマンド実行、サーバー起動、テスト実行、git 使用ウェブウェブ検索、ドキュメント取得、エラーメッセージ検索 – 引用: (抜粋) Claude Code の仕組み - Claude Code Docs 10

ツールが agentic の肝ツールが無かったらClaudeはテキスト応答しかできません。ツールがあることでアクションを実行できます。＜ツール制御がセキュリティの肝！＞ 11

Claude Code を安全に使うには？セキュアな環境を作るにはツールの制御が大事になってきます。どのような制御アプローチがあるか、学びましょう。 12

以下3軸で考えてみました抑止する : 危険なツールを実行させないように誘導する制限する : 危険なツールを実行できないようにする隔離する : 危険なツールを実行しても問題ない環境を作る
13

Claude Code で実現するには？抑止する → CLAUDE.md 制限する → Permissions, Hooks
隔離する → サンドボックス, Dev Container (それぞれの話は後ろで説明します！) 14

クラウド事業本部なのでむりやりAWSに絡めます ※ 鵜呑みにしないでください 15

抑止する 16

制限する 17

隔離する 18

抑止する工夫 Claudeが危険なツール実行をしないようにお願いする工夫を考えます。 19

CLAUDE.md CLAUDE.md を使って Claude に永続的な指示を与える方法を見ていきます。 20

CLAUDE.md とは CLAUDE.md ファイルは、プロジェクト、個人的なワークフロー、または組織全体に対して Claude に永続的な指示を与えるマークダウンファイルで
す。 Claude は各セッションの開始時にそれらを読みます。 – Claude があなたのプロジェクトを記憶する方法 - Claude Code Docs 21

CLAUDE.md を置く場所(スコープ) CLAUDE.md は配置する場所によってスコープが変わります。スコープ場所共有対象管理ポリシー OS
のシステムディレクトリ組織内のすべてのユーザープロジェクト指示 ./CLAUDE.md or ./.claude/CLAUDE.md ソース管理を通じたチームメンバーユーザー指示 ~/.claude/CLAUDE.md あなただけ（全プロジェクト共通） – CLAUDE.md ファイルをどこに配置するかを選択する - Claude Code Docs 22

危険なツール実行をしないように "お願い" するサンプル CLAUDE.md に「やってほしくないこと」を書いておく例です。 ⚠ お守り程度と思いましょう CLAUDE.md はあくまで「お願い」です。Claude は読んで従おうとしますが、
厳密な遵守の保証はありません。次のセクション「制限する工夫」でツール実行そのものを制御しましょう。 # セキュリティ - .env, credentials 等の機密ファイルを読み取り・編集・コミットし - シークレットやAPIキーをコードにハードコードしないこと - rm -rf / や force push 等の破壊的コマンドを実行しないこと 23

その他の抑止手段 CLAUDE.md 以外にもいくつか工夫できるポイントがあります。にもコンテキストファイルを置ける paths フィールドで特定ファイルにスコープしたルールを書ける曖昧な指示を避ける「認証失敗する、直して」→ 試行錯誤で操作範囲が広がりがちそもそも破壊的な操作は
Claude に依頼しない terraform apply/destroy 、ディレクトリ削除等 .claude/rules/ 24

制限する工夫ツール実行そのものを機械的に制御する仕組みを学びます。そのために、まずはツールのことを知りましょう。 25

ツールの種類 Claude Code は組み込みツールを通じてアクションを実行します。主要なツールは以下のとおりです。ツール説明 Bash シェルコマンドを実行する
Read ファイルの内容を読み取る Edit 特定のファイルに対して対象を絞った編集を行う Write ファイルを作成または上書きする WebFetch 指定された URL からコンテンツを取得する … … – ツールリファレンス - Claude Code Docs 26

特に制御したいツールセキュリティの観点で特に制御したいのはこのあたりです。 Bash : シェルコマンドを何でも実行できてしまう Read : 機密ファイル（ .env 等）を読まれてしまう
Edit / Write : 更新されたくないファイルを変更できてしまう 27

settings.json で権限を制御するツールの制御は settings.json の permission セクションに記載します。 28

settings.json とは Claude Code の動作を構成する設定ファイルです。権限ルール、フック、サンドボックス、その他諸々の設定を定義します。参考: settings#利用可能な設定 29

settings.json の置き場所(スコープ) settings.json は配置する場所でスコープが変わります。スコープ場所共有対象 Managed OS のシステムレベル
組織内のすべてのユーザー User ~/.claude/settings.json あなただけ（全プロジェクト） Project .claude/settings.json チームメンバー Local .claude/settings.local.json あなただけ – 構成スコープ - Claude Code Docs 30

permissions セクションに権限ルールを記載する allow : 手動承認なしでツール使用を許可 ask : ツール使用のたびに確認を促す deny :
ツール使用を拒否 { "permissions": { "allow": [ ... ], "ask": [ ... ], "deny": [ ... ] } } 31

Tips: 評価の順序権限ルールは deny → ask → allow の順番で評価されます。最初にマッチしたルールが優先されるため、
deny は常に最優先です。 32

権限ルールの書き方ルールは Tool または Tool(specifier) の形式で書きます。ルール効果 Bash すべての
Bash コマンドをマッチ Bash(npm run *) npm run で始まるコマンドをマッチ Read(~/.zshrc) ~/.zshrc ファイル読み取りをマッチ Edit(/src/**/*.ts) <project root>/src/ 配下の TS ファイル編集をマッチ Read(//**/.env*) システム全体の .env* ファイル読み取りをマッチ – (読み込み推奨！) 権限ルール構文 - Claude Code Docs 33

推奨設定のサンプル ~/.claude/settings.json に置く例です。完全なサンプルはこちら → { "permissions": { "deny":
[ "Read(//**/.env*)", "Read(//**/credentials*)", "Edit(//**/.env*)", "Edit(//**/credentials*)", "Bash(rm *)", "Bash(git *)" ]}} Gist 34

⚠ Read(.env)のdeny は Bash(cat .env) を防げない ReadやEditの deny の影響範囲は、あくまで "そのツール内のみ"
です。 Bash 経由のファイル/ネットワークアクセスも防ぐには、後述のサンドボックスや Hooks が有用です。 35

その他の制限手段: Hooks settings.json の deny ではカバーしきれない範囲もあります。そういった範囲は Hooks (やその次のSandbox)
で補いましょう。 36

Hooks とは Claude Code ライフサイクル内の特定ポイントで自動実行される、ユーザー定義のシェルコマンド(など) です。同じく
settings.json に記載します。観点 permissions (deny/allow) Hooks 方式静的なパターンマッチスクリプトによるチェック柔軟性ツールとパターンの組み合わせ任意のロジックを実装可能用途基本的なアクセス制御複雑な条件での判定 – Claude Code フック - Claude Code Docs 37

ライフサイクルイベントの例イベントいつトリガーするか SessionStart セッション開始時 PreToolUse ツール呼び出しの直前 PostToolUse ツール呼び出しの成功後 Notification
Claude がユーザーに通知を送信する時ツール制御の文脈では PreToolUse をよく使います。 38

Hooks の活用例具体的な書き方はを参照ください。 PreToolUse フックを使用する。 Bash コマンドの URL を検証し、許可されていないドメインをブロ
ックするフックを実装します。 – 権限を設定する - Claude Code Docs Hooksリファレンス 39

隔離する工夫影響範囲を限定する仕組みを学びます。 40

サンドボックス Bash ツールのファイルシステムとネットワークを OS レベルで制限する仕組みです。 41

サンドボックスとはサンドボックスのスコープは Bash ツールとその子プロセスのみです。 Read, Edit, Write, WebFetch 等のほか組み込みツールは対象外です。
Claude Code はネイティブサンドボックス機能を備えており、エージェント実行のためのより安全な環境を提供しながら、継続的な許可プロンプトの必要性を軽減します。各 bash コマンドの実行許可を求める代わりに、サンドボックス化により事前に定義された境界が作成され、Claude Code はリスクを軽減しながらより自由に動作できます。 – サンドボックス - Claude Code Docs 42

何が嬉しい？ permissions の deny パターンはコマンド文字列のマッチです。しかし、コマンドはいくらでも書き換えられます。 python -c
"print(open('.env').read())" や less .env 、 my-custom-script .env など、いくらでも迂回できます。サンドボックスは OSレベルでファイルアクセスとネットワーク接続を制限するため、コマンド名に関係なく、すべての子プロセスに同じ制約が適用されます。 "deny": ["Bash(cat .env)", "Bash(curl example.com)"] 43

有効化の方法 settings.json に以下を記載します。 (もしくは /sandbox で有効化) ⚠ autoAllowBashIfSandboxed は最初は false
にしたほうが良い autoAllowBashIfSandboxed はデフォルト true です。この状態では Bash コマンドが自動承認されるため、ファイルシステム・ネットワークの境界設定や permissions 設定が不十分なまま有効にすると危険です。最初は false にして手動承認を残しておくのが安全です。 { "sandbox": { "enabled": true, "autoAllowBashIfSandboxed": false }} 44

境界の設定方法出典: sandbox > filesystem, network に定義します。詳しい書き方はを参照ください。いちサンプル →
https://code.claude.com/docs/ja/settings 公式リファレンス Gist 45

その他の隔離手段: Dev Container より強力な隔離が必要な場合はも選択肢です。コンテナ内で Claude Code を実行し、ホストシステムから完全に分離
ファイアウォールでネットワーク接続先をホワイトリスト制限 Anthropic がを提供しています Dev Container リファレンス実装 46

その他いろいろ雑多なTipsや所感、メモを書いていきます。あまり整理できていないところもあります。 47

Claude Code を起動する場所に注意するデフォルトの挙動として、Claude Code は起動されたディレクトリ内のファイルにアクセスできます。したがって、起動する場所を絞ること
が、そのままアクセス範囲を絞ることに繋がります。ホームディレクトリや複数プロジェクト/コンテキストが混じったようなデカいディレクトリでの起動は避けましょう。無関係なファイルまでアクセスされるリスクがあるためです。参考: 作業ディレクトリ - Claude Code Docs 48

Permissions / Hooks / サンドボックスはどう使い分ける？ Permissions とサンドボックスは補完関係であり両方使うべきです。
各ツールの基本的な制御 → Permissions Bash 実行のOSレベルでの封じ込め → サンドボックス Hooks は Permissions やサンドボックスでは制御が難しい、高度な allow/deny 判断処理が必要な場合に使うと良いです。 49

サンドボックスを触り始めた雑感(メモレベル) permissions.deny の Bash(xx) では防ぎきれない、ファイル読み書き・NW経由の迂回を封じ込められるのは、かなり便利デフォルトだと Bash 実行が承認無しになる。
怖いので、 autoAllowBashIfSandboxed:false を入れたデフォルトだとサンドボックス内での Bash 実行が失敗した時に、承認を求めたうえでサンドボックス外で再実行しようとする allowUnsandboxedCommands:false を入れて、バイパスを止めたサンドボックス外で実行したいコマンドは excludedCommands に明示的に書く運用が良さそう最初は Bashの実行失敗 or NWアクセス承認/拒否確認が多発しがち。地道にチューニングしながら運用するのが現実的 50

たとえば aws コマンドを実行させると 169.254.169.254 (インスタンスメタデータ) や *.amazonaws.com へのアクセス承認を都度求められ
る。これらは network.allowedDomains で許可すると良い gh / terraform 等の Go製ツールはサンドボックス内から macOS の TLS 信頼サービスにアクセスできず失敗する enableWeakerNetworkIsolation:true で回避できるが、ネットワーク隔離が弱まる点はトレードオフ 51

パーミッションモードを使い分けよう – 引用: 利用可能なモード - Claude Code Docs 52

dangerously-skip-permissions は原則使わない --dangerously-skip-permissions フラグは --permission-mode bypassPermissions と同等です。保護されたディレクトリへの書き込みを除く、すべての権限プロンプトをスキップします。強力な隔離環境で動か
す場合を除き、原則使わないようにしましょう。 💡 Tips: バイパスモード自体をブロックできる settings.json に disableBypassPermissionsMode: "disable" を設定すると、そもそもバイパスモードに入れなくできます。通常は組織ポリシーを強制する目的でに置かれます。管理設定(managed-settings) 53

autoMode の雑感(メモレベル) autoMode は分類器モデルがアクションの安全性を判断し、許可なしで実行可否を決めるモード (現在は研究プレビュー) 少し触った感想: わりと承認無しに色々実行するので、ちょっと怖
い。 Permissions や Sandboxing の設定はちゃんと固めた上で使いたいと思った未検証: autoMode.environment で信頼インフラを分類器に連携できる未検証: 分類器組み込みのblock/allowルールをオーバーライドできる autoMode.allow / autoMode.soft_deny に追加ルールを定義する claude auto-mode defaults でデフォルトの完全なリストを取得し、それをベースに編集する (空リストから書き始めない) 54

出典: ブロックルールと allow ルールをオーバーライドする - Claude Code Docs 55

小ネタ: "🤖 Co-Authored-By" を消すキーを更新して、 git コミットとプルリクエストメッセージをカスタマイズできます。以下、空にする設定です。 ※
includeCoAuthoredBy 設定は非推奨になっています。 attribution { "attribution": { "commit": "", "pr": "" }} 56

Claude Code の周辺環境も整えましょうシークレット管理ツール ( , 等) 認証情報を .env などに平文で置くのを避けます
Claude Code に読み取られるリスク自体を無くしましょう .gitignore 機密情報は確実に ignore します。誤ってコミット対象に含めてしまうリスクを下げましょう settings.local.json など個人設定も ignore 対象にします。個人設定の設定が他メンバーに混ざるのを防ぎますで機密情報のコミットを検出・ブロックしますなど… 1Password CLI aws-vault pre-commit gitleaks 57

有益なリソース読み込みたい公式ドキュメント : 基本仕様や設定可能なキー一覧が分かる : 権限ルールの構文が分かる : サンドボックス機能を理解できる : 各モードの権限が分かる
: 利用可能なツール一覧が分かる Claude Codeの設定設定 > 権限設定 > サンドボックスはじめに > パーミッションモードリファレンス > ツール 58

おわりに以下、今回話したことです。安全に Claude Code を使うにはツールの制御が肝抑止 : CLAUDE.md
でお願いする。ただしお守り程度と割り切る制限 : permissions で deny/ask/allow を定義する。複雑な判定は Hooks で補う隔離 : サンドボックスで Bash ツールを OS レベルで封じ込める。より強力な隔離は Dev Container も選択肢周辺環境 (シークレット管理、 .gitignore 、pre-commit 等) も合わせて整えよう安全な Claude Code 環境を作りましょう！ 59

参考本資料作成にあたり、参考にしたリンクを記載します。 60

Claude Code 公式ドキュメント基本情報 settings.json (権限/ツール/Hooks) サンドボックス, Dev Container Claude
Code の仕組み Claude があなたのプロジェクトを記憶する方法モデル構成パーミッションモード Claude Code の設定権限を設定するツールリファレンス Hooksリファレンスサンドボックス Dev Container 61

関連リポジトリ・ツール anthropics/claude-code/.devcontainer - Dev Container リファレンス実装 1Password CLI 99designs/aws-vault
pre-commit gitleaks/gitleaks 62

Claude Code を安全に使おう勉強会 / Claude Code Security B...

Claude Code を安全に使おう勉強会 / Claude Code Security Basics

More Decks by MasahiroKawahara

Other Decks in Technology

Featured

Transcript