こんにちは〜!さつきです(*´ω`*)♪
最近、Claude Code(クロードコード)を業務に取り入れ始めた方から、こんな相談が急増しています><
なおAIでツールを自作できる時代になったと聞いて触り始めたけれど、セキュリティって何に気をつければいいのかまったくわからなくて不安です……
さつきわかります、わかります! 非エンジニアの方こそ、ここは最重要項目ですよね♪ 実際にAIへ過剰な権限を付与したことで高額請求が発生した事例も多発しているので、基礎だけでも確実に押さえておきましょう^^*
Claude Codeをはじめとする自律型AIエージェント(指示を受けて自動的に作業を実行するAI)の普及により、プログラミング経験のない方でも高度な業務効率化ツールを制作できる時代が到来しました。
ただし、利便性の裏側には重大なセキュリティリスクが潜んでいます。エンジニアが長年の経験で培ってきた「セキュリティの常識」を持たずにAIを活用すると、機密情報の流出・高額請求・外部攻撃への無防備な露出を招いてしまいます(´;ω;`)
本記事では、非エンジニアの方がAIによる開発を行う際に最低限遵守すべき基礎知識、実際に発生した事故事例、そして明日から実践できる対策アクションを、専門用語には補足を添えながら丁寧に解説していきますね(*´ω`*)♪
2026年1月、IPA(情報処理推進機構:日本のIT分野における政府系専門機関)が発表した「情報セキュリティ10大脅威2026」では、「AIの利用をめぐるサイバーリスク」が初めて第3位にランクインしました。国レベルで警鐘が鳴らされている今、非エンジニアこそ知識をアップデートする必要があるタイミングです。
- 実際に起きている内部事故4つと外部からの攻撃4つの全体像
- 1975年から続くセキュリティ設計の6原則(非エンジニア向け抜粋版)
- 明日から実践できる5つの具体的な対策アクション
- 香港Arup社の約38億円被害事件・Anthropic社の流出事件など最新の実例
- IPAの最新ガイドラインと継続学習のポイント
クロードコードを使う前に知るべき「セキュリティの落とし穴」
まずは、なぜ非エンジニアこそ危険なのかという前提部分から整理していきましょう^^*
便利さの裏に潜む「気づかないうちの事故」
AIに指示を出すだけでシステムが構築できるようになった結果、意図しない操作や設定ミスによる事故が多発しています。これらは大きく2種類に分類されます。
- 自ら引き起こす内部事故 — 設定ミスや権限付与の誤りなど、利用者側のうっかりミスが原因
- 外部からの攻撃・脅威 — 悪意ある第三者がAIや周辺ツールの脆弱性を狙って仕掛ける攻撃
エンジニアであれば当たり前の「基礎知識」を持たないまま、パワフルなツールを握ることが最大のリスク要因です。技術力の問題ではなく、「何を知らないかを知らない」状態が危険なのですね。
実際に起きている事故事例|内部から起こる4つの危険
まずは、利用者自身が引き起こしてしまう事故から確認していきましょう。
①ハードコーディングによる機密情報の漏洩
ハードコーディング(プログラム内に直接値を書き込む行為)によって、AIが生成したコードにAPIキー(API=外部サービスと連携するための「鍵」のような認証情報)が埋め込まれてしまうケースです。
具体的な被害
GitHub(ソースコードを公開・共有できるプラットフォーム)などにアップロードされた場合、数分で世界中に拡散します。悪意ある第三者がそのAPIキーを悪用すると、クラウドサービスが不正に利用され、数十万円から数百万円の高額請求が発生する事例が後を絶ちません。
②過剰な権限付与によるAIの暴走
AIエージェントにPC全域の操作権限やクラウドの管理者権限を与えてしまう事例です。AIの誤作動や指示の勘違いにより、重要ファイルの全削除や機密データの外部送信が、人間が気づかない速度で実行されてしまいます。
なお実行前に確認してくれるのでは?
さつきそこが落とし穴ですよ>< 利便性を求めて「すべて許可」モード(いちいち確認を求めない設定)を選んでしまうと、その瞬間から取り返しのつかない事態になる恐れがあります。必ず確認プロセスを挟みましょう^^*
③シャドウAIの利用リスク
シャドウAI(会社が承認していない個人判断のAIツール利用)によって、入力した顧客データがAIの学習素材として活用されてしまう危険性があります。また、運営実態の不明な「野良サービス」を経由して情報が抜き取られる事例も報告されています。
④リポジトリの設定ミス|Anthropic社でも発生
リポジトリ(ソースコードの保管場所。GitHub等)の公開範囲設定を誤ると、本来非公開であるべきコードが全世界に露出してしまいます。
衝撃的な事例として、Claude Codeを開発するAnthropic社自身が2026年3月31日、設定ミスによりClaude Codeのソースコードを流出させてしまいました。npm(ソフトウェア部品の配布基盤)で公開した更新ファイルに、本来含めるべきでないデバッグ用ファイルが紛れ込んでいたことが原因です。
流出規模は約59.8MB、約513,000行に及ぶTypeScript(プログラミング言語の一種)のコード。わずか数時間でGitHub上に拡散・複製され、回収不能の事態となりました。専門企業ですら人為的ミスで事故を起こすのですから、個人で扱う場合は一層の注意が必要ですね。
外部からの攻撃|AIだからこそ狙われる4つの脅威
続いて、悪意ある第三者からの攻撃についても確認していきましょう。
①プロンプト・インジェクション
プロンプト・インジェクション(AIに対して言葉の罠で不正な命令を実行させる攻撃)は、AIを言葉で騙し、本来守るべきルールを破らせる手法です。AIエージェントが外部ウェブサイトを読み込んだ際、そのページ内に隠された悪意ある命令を実行してしまうリスクがあります。
②SQLインジェクション
SQLインジェクション(データベースを操作する命令文を不正に注入する攻撃)は、古典的かつ致命的な攻撃手法です。データの抜き取りや削除が行われます。AIが生成したコードの対策が不十分な場合に発生しやすい脆弱性ですので、公開前の検証は必須です。
③ディープフェイクによるソーシャル・エンジニアリング|香港Arup社の事例
AIを活用して実在の人物の声や姿を偽装し、送金指示などを出す攻撃です。2024年、英国の世界的設計企業Arup社(シドニー・オペラハウスを手がけた企業)の香港オフィスで、壮絶な被害事例が発生しました。
事件の概要
従業員は当初、英国本社のCFO(最高財務責任者)を名乗る「秘密取引の指示メール」に疑念を抱いていました。しかしビデオ会議に参加したところ、CFOや同僚たちの姿が画面に映し出されており、違和感は払拭されました。
しかし参加者全員がAI生成のディープフェイク(偽動画)でした。従業員は指示に従い、15回に分けて総額約2,560万ドル(約38億円)を送金してしまいました(´;ω;`)
④サプライチェーン攻撃|Axios乗っ取り事件
サプライチェーン攻撃(ソフトウェア部品の供給経路を狙った攻撃)では、広く信頼されているパッケージ(プログラムの部品)にウイルスが仕込まれます。
2026年3月31日、全世界で週に1億回以上ダウンロードされている「Axios」(JavaScript用の通信部品)が、北朝鮮系ハッカー集団「UNC1069」によって乗っ取られる事件が発生しました。ウイルス入りバージョンが約3時間にわたり配布され、世界中の開発者が影響を受けた可能性があります。
AIが提案するパッケージを無条件に導入すると、このような事件に巻き込まれる恐れがあります。提案を盲信せず検証する習慣が、命綱になりますね。
セキュリティ設計の6原則|1975年から続く普遍ルール
ここまで事故事例を見てきましたが、実は1975年に発表された論文「The Protection of Information in Computer Systems」(Saltzer&Schroeder著)の中で、すでに情報セキュリティの基本原則が体系化されています。
原典では8原則ですが、本記事では非エンジニアの方が実務で即活用できる6つに絞ってお伝えしますね(*´ω`*)♪ この原則を理解すると、新しいAIツールやサービスの安全性を自分自身で判断できるようになります。
①最小権限の原則(Least Privilege)
タスク実行に必要な最低限の権限のみを付与すること。AIにPC全域の権限を与えず、特定のフォルダ操作のみを許可する運用が理想です。
②多層防御(Defense in Depth)
守りを何重にも重ねる考え方です。「APIキーをコードから分離する」「リポジトリを非公開に設定する」「キーの利用権限を制限する」といった対策を組み合わせることで、一つの壁が破られても被害を防げる状態にしておきます。
③フェイルセーフ・デフォルト(Fail-Safe Defaults)
「迷ったら拒否」を初期設定にすること。Git(ソースコード管理ツール)の設定であればデフォルトを「非公開」とし、AIからの実行承認要求に対して内容が不明な場合は「No」を選択するのが正しい姿勢です。
④攻撃面の最小化(Attack Surface Reduction)
侵入の窓口(アカウント・API・パッケージ等)を減らすこと。不要になったAIサービスは解約し、不必要な拡張機能の導入を避ける運用を徹底します。
⑤被害範囲の最小化(Blast Radius Minimization)
万一侵入された際に被害が波及しないよう設計する原則です。APIキーを複数のサービスで使い回さない、日常業務を管理者権限ではなく一般ユーザーアカウントで行う、といった対策が該当します。
⑥職務分離(Separation of Duties)
「実行者」と「承認者」を分けること。AIがコードを実行しようとする際、人間が必ず内容を確認・承認するプロセスを挟むことで、AIの暴走や誤操作を防止できます。
なおなんだか難しそうに感じます……
さつき安心してください♪ 言葉は硬めですが、要するに「権限は最小限に」「守りは何重にも」「迷ったら拒否」「人の目を必ず介す」という、日常業務の判断と同じ感覚で大丈夫ですよ^^*
明日から実践する5つの対策アクション
原則を理解した上で、具体的に何から始めればよいかを順に解説していきますね(´艸`*)♪
最優先で取り組むべき対策です。APIキーをプログラム内に直接書かない「ハードコーディング禁止」を徹底し、「.env」という専用ファイルに分離して保存します。さらに「.gitignore」の設定で.envファイルをGitの管理対象から除外し、Claude Code等に対しては.envファイルを読み込まないよう明示的に拒否設定を行いましょう。
会社が未承認のAIサービスに、顧客情報・未公開の事業計画・機密資料を入力しないことを徹底します。より高い安全性が求められる場面では、インターネットから遮断された環境で動作するローカルLLM(手元のPCで動かすAI)の活用も選択肢です。
AIが提案するコマンドやパッケージを盲信せず、意味を理解してから実行しましょう。存在しないパッケージをAIが捏造してしまうハルシネーション(AIがもっともらしい嘘を生成する現象)のリスクもあるため、インストール前に実在性を確認してください。
AIで制作したツールやアプリを外部または社内に公開する前に、必ずエンジニアやセキュリティ担当者のレビューを受けましょう。「動く」ことと「安全である」ことは別問題という認識が重要です。
セキュリティの脅威は日々進化しています。IPAのガイドラインや最新のニュースに定期的に目を通し、知識をアップデートし続けることが、自分自身と組織を守る唯一の方法ですね(*´`)
今日すぐできる第一歩
まずはClaude Codeの設定画面で「.envファイルの閲覧を拒否する」設定を追加してみてください。たった1ステップで、漏洩事故の大半を防げます♡
なおIPAの情報は難しそうですが、初心者でも読めますか?
さつきIPAが2026年4月に公開した「AI利用者のためのセキュリティ豆知識」は、非エンジニアの方向けにわかりやすくまとめられていますよ♪ 無料で読めるので、ブックマークしておくと便利です☆
まとめ|安全にAIを活用するための心構え
ここまでお読みいただき、ありがとうございました(*´ω`*)♪ 最後に、本記事の要点をチェックリスト形式で整理しますね。
- AIに過剰な権限を与えず、常に人間の承認(職務分離)を介す
- APIキー等の機密情報は「.env」ファイルで分離管理し、Gitの管理対象から除外する
- AIへの閲覧制限(拒否設定)を明示的に設定する
- AIが提案するコマンド・パッケージの実在性と安全性を必ず検証する
- 公開前に第三者によるレビューを受ける
- 「迷ったら拒否」の姿勢を初期設定にする
- IPAのガイドラインを定期的に確認し、知識をアップデートし続ける
AIに過剰な権限を与えず、常に人間の承認を介し、機密情報を適切に分離管理すること。この3点が、ビジネスにおける安全なAI活用の絶対条件です。
Claude Codeは正しく使えば、非エンジニアの方にとって最強の武器になります。怖がって使わないのはもったいない選択ですが、何も知らずに使うのはもっと危険です。本記事の6原則と5つの対策を実践しながら、安心してAI時代を生き抜いていきましょうね^^*
最後までお読みいただき、ありがとうございました(*´ω`*)♪ それでは、またお会いしましょう!
コメント