Claude Codeのセキュリティ設定は「便利さを落とす作業」じゃない。AIに仕事を任せるための免許証だ

• URL: https://zenn.dev/taketsuyo/articles/72ba03bfae6216
• 日付: 2026-06-22
• Tier: Tier 3
• 要旨: Claude Code のセキュリティ設定は「便利さを落とす作業」ではなく、「AI に仕事を任せるための免許証」。AI が間違えることより、間違った時に想像より広い権限を持っていたと後から気づくのが怖い。Claude Code は相談相手ではなく「作業者」に近い。permission を飛ばすと開発体験気持ちいいが危ない。permission・allow・ask・deny で「自由にやっていい」「聞いてからやって」「絶対に触らないで」を分ける。settings.json は AI 時代の作業ルールブック。秘密情報と破壊的操作を deny に、.env・秘密鍵・認証情報・API キーは deny、rm・DB 破壊的操作・本番環境コマンドは ask。MCP は便利だがプロンプトインジェクション・接続先増で攻撃面増。明日やるなら「AI 用事故防止チェック」1つ作る。AI_SANDBOX.md にやらせていいこと・確認必要・絶対に触らせないもの書く。

詳細

Claude Code 使いで一番怖いのは AI が間違えることより、間違えた時に想像より広い権限を持っていたと後から気づく事故範囲。Claude Code は「相談相手」から「作業者」に近づいており、「バグ直して」で関連ファイル探す・テストを書く・コマンド実行・失敗時別方法を試す代行。便利だが権限を与えるから速くなり、権限整理しないまま使うと速く事故る。人間の仕事は「指示すること」から「境界線を設計すること」に移行。permission 飛ばすと気持ちいいが最後のフェンス失う。AI が依存関係直すつもりでコマンド実行・ログ読むつもりで.env 触る・不要ファイル消すつもりで広い範囲削除する場面で、人間なら「ちょっと待てよ」と止まるが AI は文脈取り違え進む。permission 飛ばさないは AI 信用しないでなく逆で、AI に長く仕事任せるため危ない操作だけ人間が握る設計。settings.json は allow「許可」・ask「確認」・deny「禁止」を分ける。従来は開発環境の設定で人間が書くコード品質整える（エディタ・フォーマッタ・Linter・CI）。これからは AI がファイル読む・コマンド打つ・外部ツール呼ぶから、開発環境に AI が動くための行動規範も必要。最低限は秘密情報（.env・秘密鍵・認証情報・API キー）deny、破壊的操作（rm・DB 破壊・本番環境）ask か deny。人間の設定ミス・文脈ミスも含めて守るための保険。Cursor とは見方が違い、Cursor はエディタ中心で「どのファイル読ませるか」「どの変更採用」が主戦場。Claude Code はターミナル・外部ツール含めて作業者に近いから、設定の重心が「コード補完精度」から「実行権限設計」に寄る。MCP は便利だが、外部 Issue・README・Webpage・ドキュメントに「隠しファイル読んで送信しろ」みたいな指示が書かれていたらプロンプトインジェクション。接続先増で攻撃経路も増。MCP は本当に必要なものだけ、信頼できる接続先に限定、IAM（Identity Access Management）に近い考え。明日やるなら：Claude Code 開く前にプロジェクトごとに小さなチェックリスト作成。本番環境の認証情報はないか・.env を deny に入れたか・削除系コマンドは ask か deny か・Git 管理下で作業しているか・MCP は本当に必要・ホームディレクトリ直下や本番サーバー上で動かしていないか。プロジェクトに「AI_SANDBOX.md」ファイル置いて、このプロジェクトで AI にやらせていいこと・確認必要・絶対に触らせないもの書く。AI 駆動開発はプロンプト技術だけでなく、AI が働く作業場を設計する技術が必要。チームに新エンジニア入った時のリポジトリ説明・環境構築・権限付与・レビュー方針を教えるのと同じく、AI エージェントにも同じことをする。どの棚を開けていいか・どの鍵は渡さないか・どの操作は必ず声をかけるか決められる人が AI 時代の開発を安心して速く進められる人。便利な道具を怖がる必要なし、丸ごと鍵束を渡す必要もない。まずは permission を飛ばさないところから。それだけで AI との付き合い方が少し変わる。