【非エンジニアのためのClaude/ClaudeCodeシリーズ】Claude Code を使う前にやったセキュリティ設定4選
はじめに
クラスメソッドアカウント営業部の土屋です。
本記事では、非エンジニアである私が「Claude Codeのセキュリティ設定において最低限これだけはやっておこう」というセキュリティ設定を、紹介します。
なぜこの記事を書いたか
私は非エンジニアの営業担当として、Claude Codeを日常的に使う機会が増えています。議事録の整理、提案資料の下書き、営業数字の把握等もはや無くてはならないツールです。
ただ、使い始めた頃の正直な気持ちは「便利だけど、なんか怖い」でした。
- お客様の情報が入ったファイルを、勝手に読まれないか?
- 「コマンドを実行していい?」と聞かれたとき、よく分からないままOKを押して大丈夫なのか?
- 知らない拡張機能(後述する「MCP」というもの)を入れて、情報が抜かれないか?
そこで公式ドキュメントを開いてみたのですが、「権限ルールの評価順序は deny → ask → allow」「サンドボックスとの併用が推奨」…という用語の壁にぶち当たり、最初の一歩で挫折しかけました。。
そもそも何が危ないのか — 押さえるべき2つのリスク
リスク① 機密ファイルの漏洩
Claude Codeは、自分のパソコンの中のファイルを読むことができます。便利な反面、放っておくと 「読まれたら困るファイル」までもが読まれてしまう リスクがあります。
気にすべきファイルの例:
- パスワードや API キーが書かれた
.envという設定ファイル - 自分用の SSH 鍵(
~/.ssh/フォルダ) - ダウンロード済みの契約書PDF
- SlackやGmailからエクスポートしたデータ
これらがClaudeに読まれると、AIが中身を見て応答に含めてしまったり、悪意ある拡張機能が入っていれば外部に送られたり、といった事故につながります。
リスク② 危険なコマンドの暴走
Claude Codeは、人間に「このコマンドを実行していい?」と聞いた上で、PC のコマンドを実行できます。怖いのは、よく分からないまま「OK」を押してしまう ことです。
代表的な危険コマンド:
rm -rf→ ファイルやフォルダを 一気に削除sudo→ 管理者権限 でなんでも実行
特に「プロンプトインジェクション」という攻撃手法では、悪意あるサイトの文章をClaudeに読ませることで、こうした危険なコマンドを実行するよう仕向けられます。
最低限やるべき4つの設定
設定① 機密ファイルを読ませない
.envなどの機密ファイルをClaudeが読めないようにブロック。漏洩リスクの一番大きな入り口を塞ぎます。
何ができるの?
Claude Code には「この種類のファイルは絶対に読ませない」というルールを設定する仕組みがあります。これを permissions の deny(拒否)ルールと呼びます。
やり方
Claude Code の中で /permissions というコマンドを入力すると、現在の権限設定が確認できます。
deny(拒否)セクションに、読ませたくないファイルのパターンを追加します。公式ドキュメントが推奨している基本パターンは以下のとおりです(Claude Code 公式ドキュメント より):
{
"permissions": {
"deny": [
"Read(//**/.env*)",
"Read(//**/credentials*)",
"Read(~/.ssh/**)",
"Read(~/.aws/**)"
]
}
}
用語ミニ解説
Read(...)→ ファイルを 読む ことを禁止//→ パソコン全体のどこにあっても対象にする書き方~/→ 自分のホームフォルダの中を対象**/→ 「どのフォルダの中にあっても」という意味.env*→.envから始まるすべてのファイル(.env.localなど)
⚠️ ひとつだけ知っておいてほしいこと
このルールは「Claudeに直接ファイルを開かせない」設定です。ただし、Claudeが裏でコマンド(例: cat .env)を使って中身を読みに行くケースまでは止められません。完全に塞ぎたい場合は、サンドボックスという「隔離部屋」のような仕組みを併用するのが公式の推奨です。
設定② 危険なコマンドを止める
結論: rm -rf などの「実行されたら戻せない」コマンドを最初からブロック。
やり方
公式ドキュメントの例を参考に、こんな設定を入れます:
{
"permissions": {
"deny": [
"Bash(rm -rf *)",
"Bash(git push --force *)",
"Bash(sudo *)",
"Bash(curl *)",
"Bash(wget *)"
]
}
}
💡
curlやwgetを一緒に止めているのは、外部の知らないサイトから怪しいデータを取ってこさせない ためです。Web ページの中身を介した攻撃(プロンプトインジェクション)の入口を一つ減らせます。⚠️ これらの deny は変数置換等で回避される可能性もあり万全ではありませんが、「やらないより圧倒的に安全」な土台になります。より強固な防御はサンドボックス併用です。
承認時の判断軸 3つ
設定②を入れても「ask(都度確認)」のコマンドは出てきます。私は次の3つで判断します:
- コマンドの意味が分かるか?
- 実行されたら戻せるか? (削除系・上書き系は要警戒)
- 自分の作業フォルダの外を触っていないか?
設定③ bypassPermissionsモードを使わない
Claude CodeにはbypassPermissionsモードという設定があります。便利そうに見えますが、初心者は使わないほうがいいと考えています。
どんなモード?
「確認を全部スキップして、Claude にやらせたいことを全部やらせる」モード。
なぜ危険か
「いちいち確認されるのが面倒だから」と切り替えたくなる気持ちは分かります。ですが、
- 誤った操作も、悪意ある指示も、全部実行されます
- 営業職の PC には、お客様情報・社内資料・個人情報など、漏洩したら大ごとになるデータが入っています
公式ドキュメントにも「このモードは、Claude Code が損害を引き起こせないコンテナや VM などの隔離された環境でのみ使用してください」と明記されています(Claude Code 公式ドキュメント)。
設定④ 知らない MCP サーバーを入れない
MCP は便利な拡張機能ですが、信頼できるものだけに。
MCP とは
MCP は「ClaudeをSlackやGmailなどの外部サービスと繋ぐ拡張プラグイン」のようなものです。たとえば:
- Slack MCP → Claude が Slack の DM を読んだり送ったりできる
- Gmail MCP → メールの要約や返信下書きを Claude に頼める
- HubSpot MCP → 顧客管理システムの情報を Claude が扱える
…という具合に、Claude の活躍の場を一気に広げてくれます。
なぜ要注意か
営業職は、まさに Slack、Gmail、CRM、カレンダー といったツールを毎日使っています。「あ、それ繋げると便利そう!」と惹かれる気持ちはよく分かります。
- MCP は「他人が作ったプログラム」です
- 一度入れた MCP は、初期設定のまま使うと、その MCP が提供する操作が広く許可されます(個別に絞ることも可能ですが、初期設定は要注意です)
- 悪意ある MCP は、お客様の情報や Slack DM、メールの内容を 外部に送る ことができてしまいます
つまり、MCP を入れる = 自分のデジタル業務生活の鍵を渡すことに近いのです。
私が MCP を入れるときに決めている3つのルール:
- GitHub からクローンしたリポジトリの
.mcp.jsonは自動承認しない - Anthropic コネクタディレクトリ に掲載があるか確認する — Anthropic が一定の基準で確認した拡張機能だけが掲載されています
- 「便利そう」では入れない — 「公式が紹介している」「自分が中身を信頼できる」の2軸でしか入れない
やってみての効果
設定後、不安が消えて、業務効率も落ちていません。
設定前は、毎回 Claude を起動するたびに「今日は変なファイル読まれないかな」と無意識に身構えていました。今は「最低限のガードは効いている」という安心感があります。
設定後も「ask(都度確認)」のプロンプトは出てきますが、そのたびに「このコマンドは何をするんだろう?」と一瞬考える 「立ち止まる癖」 がついたのは、AI ツール全般に共通する大事な姿勢だと思います。
もっと深く学ぶための次のステップ
結論: 本記事は入り口です。次のリソースで深掘りできます。
公式ドキュメント
- Claude Code セキュリティ — 全体の考え方と保護機能
- Claude Code 権限 — allow / ask / deny の詳細
- Claude Code サンドボックス — 本記事では触れなかった「隔離」の仕組み
クラスメソッド DevelopersIO 関連記事
- Claude Code を安全に使おう【社内勉強会スライド】 — より体系的な解説
- Claude CodeでCLAUDE.mdに書いた禁止事項とsettings.jsonのdenyルールを検証してみた
- Claude Codeのpermissions設定、allowとdenyの優先順位を検証してみた
まとめ
非エンジニアの営業担当として、私が Claude Code を使う前にやった「最低限これだけ」4つの設定を紹介しました。
| # | 設定 | 一言で言うと |
|---|---|---|
| ① | 機密ファイルを読ませない | .env などを deny で守る |
| ② | 危険なコマンドを止める | rm -rf などを deny で守る |
| ③ | 「全部スキップ」モードを使わない | bypassPermissions は触らない |
| ④ | 知らない MCP サーバーを入れない | 公式 + 自分の信頼の2軸で判断 |
不安なまま使うより、設定してから使う方が、結果的に作業も速くなります。Claude Code との付き合いがより楽しく、より生産的になることを願っています!
