【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616

Transcript

1. Claude Code をセキュアに使うための 考え方と設定の勘どころ Claude Codeセミナー　セキュリティ/ガバナンス編 2026-06-16 川原 征大 1

2. 目次 本発表について 導入 守り方を3軸で考える 抑止する: CLAUDE.md 制限する: permissions 隔離する: サンドボックス

   おわりにむけて 参考リンク 2

3. 本発表について 自己紹介と本発表の狙いをお伝えします。 3

4. 自己紹介 川原征大 (kawahara-masahiro) クラスメソッド クラウド事業本部コンサルティング部 ブログ: 最近やっていること CCoEメンバーとしてAWSマルチアカウント環境のコストやセキ ュリティ改善、AI活用推進 AIエージェントのアプリ/インフラ開発の伴走支援

   https://dev.classmethod.jp/author/kawahara-masahiro/ 4

5. 本発表の狙い 想定する視聴者 Claude Code を使う方 / チームや組織で管理・推進する方 達成したいこと Claude Code

   を安全に使う / 使わせるために必要なセキュリテ ィの考え方をざっくりと把握する 5

6. 話さないこと 細かいトピックや技術的な挙動、シンタックスには踏み込みません。 📝 より技術的な話は... 社内エンジニア向けに実施した勉強会資料を公開しています。 設定の具体的なシンタックスや挙動の詳細はこちらをご覧ください。 → Claude Code を安全に使おう【社内勉強会スライド】

   | DevelopersIO 6

7. 導入 Claude Code の仕組みと、ツール制御の重要性について、簡単に押さえ ます。 7

8. Claude Code は Agentic Loop で動く Claude Code は 推論

   → ツール実行 → 検証 を繰り返す ループ （Agentic Loop）で動きます。 モデルが「次に何をすべきか」を考え、 ツール がファイル操作やコマン ド実行などの実際のアクションを担います。 出典: https://code.claude.com/docs/ja/how-claude-code-works 8

9. ツールは多種多様 = 何でもできる Claude Code のツールは多彩で、たいていの操作ができてしまいます。 Read : ファイルを読む Edit

   / Write : ファイルを変更する Bash : シェルコマンドを何でも実行する MCP や Skill : 広義にはツールの一種として扱われる 💡 だからこそツール制御が肝 Claude が「できること」はツールで決まります。 つまり ツールをどう制御するか が、そのまま安全性を左右します。 9

10. 守り方を3軸で考える ツールの制御アプローチを、3つの軸で整理します。 10

11. 抑止 / 制限 / 隔離 抑止する : 危険なツールを実行させないように誘導する 制限する :

    危険なツールを実行できないようにする 隔離する : 危険なツールを実行しても問題ない環境を作る 💡 Claude Code で実現するには 抑止 → CLAUDE.md ／ 制限 → permissions ／ 隔離 → サンドボックス 11

12. ヒトに例えると 新しいメンバーに仕事を任せるイメージです。 軸 考え方 ヒトでいうと 抑 止 「やらないでね」とお願い する ルールを伝える・注意する

    制 限 仕組みで操作を防ぐ 危険な道具（刃物・工具など）を持た せない 隔 離 影響が及ばない環境にする 外と隔てた専用の作業部屋で作業して もらう 仕組みや環境で多層に守るのが基本です。 12

13. 抑止する: CLAUDE.md まずは Claude に「お願い」する工夫です。 13

14. CLAUDE.md で「お願い」する CLAUDE.md は Claude に 永続的な指示を与える マークダウンです。 Claude は各セッションの開始時にこれを読みます。

    「やってほしくないこと」を書いておく例: # セキュリティ - .env, credentials 等の機密ファイルを読み取り・編集しない - シークレットやAPIキーをコードにハードコードしないこと - rm -rf / や force push 等の破壊的コマンドを実行しないこと 14

15. CLAUDE.md の動作イメージ 15

16. CLAUDE.md の注意点 ⚠ お守り程度と思いましょう CLAUDE.md はあくまで「お願い」です。Claude は従おうとしますが、 厳密な遵 守は保証されません。 次の「制限する」で、ツール実行そのものを止めましょう。

    16

17. 制限する: permissions お願いではなく、 機械的に ツール実行を制御します。 17

18. permissions で止める ツールの許可・拒否は settings.json (Claude Code 設定ファイル)の permissions に書きます。 permissions.allow

    : 手動承認なしで許可 permissions.ask : 実行のたびに確認する permissions.deny : 拒否する 💡 評価の順序 ルールは deny → ask → allow の順に評価されます。 最初にマッチしたものが優先されるため、deny が常に最優先です。 18

19. permissions.deny の具体例 ~/.claude/settings.json に置く例です。 { "permissions": { "deny": [ "Read(//**/.env*)",

    "Read(//**/credentials*)", "Edit(//**/.env*)", "Bash(rm *)", "Bash(git push *)" ]}} 19

20. permissions の動作イメージ 20

21. permissions の注意点 ⚠ Read(.env) の deny は Bash(cat .env) を防げない

    deny の効果は「そのツール内のみ」 。 Bash 経由の迂回 ( cat .env , less.env , スク リプト等) は止められません。 ここを塞ぐのが、次の「隔離」です。 21

22. (隔離の話の前に…) hooks という仕組みもある permissions は静的なパターンマッチですが、より柔軟な制御には hooks が使えます。 ツール実行の直前や直後に、シェルスクリプト等を自動実行できる仕 組み settings.json

    の hooks に記述する 例: 特定の条件を満たすコマンドを未然にブロックする、など 22

23. 隔離する: サンドボックス 実行しても影響が及ばない環境を作ります。 23

24. サンドボックスのアプローチは様々 出典: 今回は手軽に始められる Bash サンドボックス を紹介します。 https://code.claude.com/docs/ja/sandbox-environments 24

25. Bash サンドボックスとは は Bash ツールのファイルアクセスとネットワーク を OS レベル で制限します。 💡

    何が嬉しい？ OS レベルで制限するため、コマンド名に関係なく すべての子プロセスに同じ制約が かかります。 permissionsで課題だった 「文字列マッチの迂回」を根本から塞げます。 Bash サンドボックス 25

26. Bashサンドボックスの設定例 settings.json の sandbox セクションで有効化します。 { "sandbox": { "enabled": true,

    "autoAllowBashIfSandboxed": false, "filesystem": { "denyRead": [ "//**/.env*" ] }, "network": { "allowedDomains": [ "dev.classmethod.jp" ] }}} 26

27. Bashサンドボックスの動作イメージ 27

28. Tips: ユーザー体験は結構悪くなる 強力な仕組みですが、使い勝手とのトレードオフがあります。 (以下、自 身の体感を含みます) 最初は Bash の実行失敗や、アクセス承認の確認が多発しがち 一部のツール (

    gh , terraform 等) が素の設定では動かないこともあ る 例外や境界設定を地道にチューニングしながら運用するのが現実的 管理設定 ( managed-settings.json 等) で組織全体にサンドボックスを強制 するときは、 開発体験を大きく損なう可能性がある点に注意しましょう。 28

29. おわりにむけて 最後に、今日の要点 + α を話します。 29

30. 1つに頼らず、重ねて守る 安全に Claude Code を使う鍵は ツールの制御 。 抑止 : CLAUDE.md

    でお願いする — ただし「お願い」レベル 制限 : permissions で機械的に止める — ただし迂回経路は残る 隔離 : Bash サンドボックスなどで環境を分離する 重ねて守る のが基本です。 30

31. 加えて、周辺環境も整える Claude Code 単体だけでなく、周りも合わせて整えます。 シークレット管理ツール ( , 等) 認証情報を平文で置かず、読み取られるリスク自体を無くす 最小権限の原則

    Claude Code に渡す権限は必要最小限に絞る （例: AWS調査の みであればReadOnlyポリシーのみ） 機密情報のコミット防止 .gitignore や 等で、意図しないコミットを未然に防ぐ 1Password CLI aws-vault gitleaks 31

32. 加えて、 「人」も大事 仕組みで守るのが基本ですが、 使う人のリテラシー・スキル も大事で す。 たとえば Claude が提案するツール実行に対して「これは OK

    / これは危 険」を判断できるか。 Linux コマンドや git, aws, python 等のツールに 対する理解があってこそ、 適切に承認・拒否できます。 📝 NIST CSF も「人」を挙げている 代表的なフレームワーク NIST CSF でも、防御 (Protect) の中に 意識向上とトレー ニング (PR.AT) が位置づけられています。 仕組み ＋ 人 の両輪で守りましょう。 32

33. (おわり) 万能なガードレールは無い 利用環境や利用者のリテラシー・スキルなど、 さまざまな条件を鑑みて、 ガードレールを厳しくしたり、緩くしたりします。 自身/プロジェクト/組織の状況に合わせて、調整し続けましょう。 安全な Claude Code 環境を作りましょう！

    ご清聴ありがとうございます！ 33

34. 参考リンク Claude Code の設定 - Claude Code Docs 権限を設定する -

    Claude Code Docs Bash サンドボックス - Claude Code Docs サンドボックス環境 - Claude Code Docs NIST Cybersecurity Framework - NIST Claude Code を安全に使おう【社内勉強会スライド】 - DevelopersIO 34