チームで安全にClaude Codeを利用するためのプラクティス / team-claude-code-practices

Transcript

1. 2026/01/09 佐藤智樹 チームで安全にClaude Codeを 利⽤するためのプラクティス

2. 本セッションの対象者 • Claude Codeをすでに使っている or これから使いたい⽅ • Claude Codeを導⼊したいがどんなリスクや対策があるのか知りたい⽅ 得られること

   • Claude Codeがもつ潜在的なリスクをざっくり知る • 社内でClaude Codeを導⼊する際のリスク分析の例を知り、問題に備える 本セッションの⽬的 2

3. • 会社宣伝 • 前提 • 脅威モデリングとは • Claude Codeが持つ機能の再確認 •

   Claude CodeをSTRIDEで考えてみる ⽬次 3

4. 名称    クラスメソッド株式会社 本社所在地 東京都港区⻄新橋1-1-1 ⽇⽐⾕フォートタワー 従業員数  820⼈（グループ全体） 売上    950億円（2025年6⽉末） 設⽴    2004年7⽉7⽇ (第21期) 拠点    国内 8拠点       東京

   / 札幌 / 仙台/ 上越 / 名古屋 / ⼤阪 / 福岡 / 那覇       海外 6拠点       ベルリン（ドイツ） / バンクーバー（カナダ） /       バンコク（タイ） / ソウル（韓国） /       ダナン（ベトナム）/ マレーシア 会社概要 4

5. ⾃分たちの知⾒や経験をオープンに公開しています。情報発信に細かいルールはな く、透明性の⾼い情報を発信しており、情報発信の⽂化が醸成されています。 会社⽂化の紹介（DevelopersIO） 5 クラスメソッドの情報発信⽂化を代表する 「やってみた系技術ブログ」 - 約40,000本の技術記事 - ⼿順や設計含め全部を公開するスタンス

   - 最低限のルールで⾃由に発信 - 社内フィードバックで⾃分⾃⾝の勉強にも - インプット∕アウトプットのサイクルを⾼速に

6. 「知⾒を共有するエンジニアに対価を」を コンセプトとした技術情報共有コミュニティです。 - 開発の知⾒やアイデアを得たら、気軽に記事にしてください - 知⾒がたくさん公開されるような場にしたいという 気持ちから、「また書こう」と思えるサービスを作っています - バッチ機能や書籍機能、Publicationなどの機能も提供 社員や社員以外の⽅も発信するプラットフォームづくりを通して、世の中の⽅々が

   情報を発信するための環境にも貢献しています！ 会社サービスの紹介（Zenn） 6 https://zenn.dev/about

7. 第4回 Agentic AI Hackathon with Google Cloud 開催！ 7 ハッカソン開催期間中に、AI

   Agent 構築の Bootcamp も開催！ 詳細は「zenn ハッカソン」で！

8. ⾃⼰紹介 8 • 2016年 某SIerにて基幹システム開発従事 • 2020年 ⼊社 バックエンドエンジニア ◦ IoT宅配ボックス、⼯場/家電などのIoTシステムの バックエンド、インフラ構築に従事 •

   2023年 テクニカルマネージャー ◦ 部署内全体技術⼒向上のため施策実施 ◦ 案件にアーキテクトとして参画 • 2025年 ◦ AI駆動開発など⽣成AIを活⽤した⽣産性向上を ⽬的として活動。AI駆動開発の外部向け研修実施 • 部署 ◦ 製造ビジネステクノロジー部 • 名前 ◦ 佐藤智樹 • 役割 ◦ テクニカルマネージャー @tmk2154 @tomoki10 @tomoki10

9. これからClaude Code上で起きうるいくつかの問題と対策の話しをしますが全部に対 応しようという話しではないです。紹介する対策の中には利便性を損なうものも含ま れます。 チーム内でまずどんなリスクがあるのかを把握し、どのリスクは対策して、どのリス クは受容するのかという参考に使ってください。以下を読むのもおすすめです。 前提 9 https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/

10. おさらい：AIエージェントの構造 10 「A Survey on Large Language Model based Autonomous

    Agents」https://arxiv.org/pdf/2308.11432 より解釈

11. 基本以下の4つで構成される • Profile … エージェントが誰かを定義 ex: 研究者、エンジニア • Memory …

    保持する固有の情報 ex: コンテキストやRAGなど • Planning … タスク分解やフィード バックなどで⾏動を計画 • Action … タスクの実⾏ Actionでコーディングに関連する ツールを使って作業を完遂 おさらい：AIコーディングエージェントの構造 11

12. 基本以下の4つで構成される • Profile … エージェントが誰かを定義 ex: 研究者、エンジニア • Memory …

    保持する固有の情報 ex: コンテキストやRAGなど • Planning … タスク分解やフィード バックなどで⾏動を計画 • Action … タスクの実⾏ ⾚線部分がユーザーの検討領域 おさらい：AIコーディングエージェントの構造 12

13. Claude Codeがもつツールの機能 13 • ファイル読取∕編集∕検索 ◦ 実⾏したディレクトリ配下のコードを読み取りや編集、検索が可能 • CLIコマンド実⾏ ◦

    デフォルトでは許可したコマンドを実⾏可能 ◦ --dangerously-skip-permissions オプションで⾃動承認が可能 • インターネットアクセス ◦ エージェントの知識強化やインターネットからの情報収集 • MCP / Skills の実⾏ ほかには、タスク管理、サブエージェント、ユーザー対話などなど 上記の機能をアクセス制御するための権限管理もある

14. Claude Codeがもつツールの機能 14 Claude Code Tools File Read/Edit CLI Command

    Web Fetch MCP / Skills Terminal File Internet ※Claude Codeが外界のものを操作する仕組みのため記載  特有の考慮事項が多いため今回は検討対象から除外 実際のツールを抽象化して以下のように整理

15. 脅威モデリングとは アプリケーションとその環境のセキュリティホールを⾒つけるための⼿法※ ⼀般的に以下のステップをとる 1. アプリケーションの評価と図式化 2. アプリケーションの構築におけるセキュリティ上の⽋陥を特定する 3. 発⾒した⽋陥を修正するための変更を⾏う 4.

    変更が適⽤され、正しく脅威が緩和されることを検証する 1を実施後、2はSTRIDEという脅威分類フレームワークを観点として⽤いて、脅威の 洗い出しと対策を検討。今回はアプリではないので、3,4はアレンジして検討 2はブレストなどで⾏うと複数⼈の観点が出るので良いです。今回は登壇者とLLMにて実施してます 脅威モデリングの実施 15 ※https://www.cloudflare.com/ja-jp/learning/security/glossary/what-is-threat-modeling/

16. STRIDEは以下の頭⽂字です • Spoofing（なりすまし）… 利⽤者や権限のなりすまし • Tampering（改ざん）… データやコードの改ざん、実⾏環境のデータ削除 • Repudiation（否認）… 証跡がなく操作の追跡や証明ができない

    • Information disclosure（情報漏えい）… 機密データや個⼈情報の流出 • Denial of service（サービス妨害）… システムやサービスへの過剰な負荷 • Elevation of privilege（特権の昇格）… 管理者権限や特権の取得 STRIDE脅威モデルとは 16

17. Claude Codeで当てはまる例を洗い出す 17 カテゴリ 具体例 Spoofing（なりすまし） ・別人が設定済みのAPIキーを悪用 Tampering（改ざん） ・エージェントが誤って重要なコードを編集/削除 ・

    想定範囲外の操作で実行環境のデータを削除 Repudiation（否認） ・誰がファイルを削除/編集したか追跡できない ・誰が「--dangerously-skip-permissions」を使ったか不明 Information disclosure （情報漏えい） ・機密ファイルや認証情報をAIが外部に送信 Denial of service （サービス妨害） ・AIが無限にCLIコマンドを実行しCPU/メモリ枯渇 ・ネットワークへの大量リクエスト送信 Elevation of privilege （特権の昇格） ・本来禁止されているコマンドを実行

18. 別⼈が設定済みのAPIキーを悪⽤ → リポジトリ内のシークレット悪⽤を想定 → Claude Codeの設定にAPIキー⼊れてリポジトリへコミットしない   .mcp.jsonでMCPにAPIキーを使わせる場合は環境変数の値を使う Spoofing（なりすまし）への対策 18

    https://code.claude.com/docs/en/mcp#environment-variable-expansion-in-mcp-json

19. • エージェントが誤って重要なコードを編集/削除 → 定期的にコードをリポジトリやリモートリポジトリにコミット/プッシュ → 誤って上書きされないようMainブランチへの直Push禁⽌などは外部で設定 Tampering（改ざん）への対策 19 Claude Code

    ローカルリポジトリ リモートリポジトリ Feature ブランチ Feature ブランチ Main ブランチ GitHub Push

20. • 想定範囲外の操作で実⾏環境のデータを削除 → 不正なコマンド実⾏を防⽌のため操作権限を   settings.json や settings.local.json で絞る  

    ※コマンドやMCPツール実⾏確認時に「2. Yes …」を押してるとallowへ追加されるので再確認不要 Tampering（改ざん）への対策２ 20 https://code.claude.com/docs/en/settings

21. • 想定範囲外の操作で実⾏環境のデータを削除 → VMやコンテナ、DevContainerを使って実⾏環境を分離し破壊を防ぐ Tampering（改ざん）への対策３ 21 Claude Code Amazon EC2

    OR ローカルPC 操作

22. • 誰がファイルを削除/編集したか追跡できない → Mainとなるソースコードはリモートリポジトリ上で管理 • 誰が「--dangerously-skip-permissions」を使ったか不明 → Linuxのコマンド実⾏履歴で保持。気になる場合外部転送やEC2上などで実⾏ →「--dangerously-skip-permissions」を使っても良いようにdenyを設定 Repudiation（否認）への対策

    22

23. • 機密ファイルや認証情報をAIが外部に送信 → Fetch ToolがアクセスできるドメインやMCPサーバを制限 → envファイルなど認証情報が含まれるファイルへのアクセスを制限 → Claude Codeが提供しているDevContainer設定※を使⽤しNWを制限

    Information disclosure（情報漏えい）への対策 23 ※https://code.claude.com/docs/en/devcontainer

24. DevContainer内で使われる init-firewall.sh の紹介 • localhostに関連するNAT設定の保持 • iptables の初期化でNW転送ルールを削除 • 以下最低限の通信のみ許可

    ◦ DNS クライアント→サーバ ◦ SSH ◦ locahost • 特定ドメインのIPを解決し許可リストに追加 ◦ アクセスしたいドメインが増えるとClaude CodeのFetch許可＋NW許可が必要 • ホストネットワークへの接続許可 • iptables ルールにマッチしない通信の拒否 Claude Codeが提供しているDevContainer設定の内容 24 https://github.com/anthropics/claude-code/blob/main/.devcontainer/init-firewall.sh

25. DevContainerのNW制限設定を利⽤した感想 • メリット ◦ 想定外の箇所にClaude Codeがデータ送信することを防⽌ ▪ 「--dangerously-skip-permissions」を使っても防げる • デメリット

    ◦ アクセス先が制限されるので随時NWの⽳あけが必要 ▪ AWSであればIPリストが公開されているのでまとめて⽳あけ可能※ ◦ 外部ノウハウの収集時にアクセス制限で阻まれる→思考の質が落ちるかも？ Claude Codeが提供しているDevContainer設定の注意 25 ※https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html AWSのIPだけ穴あけしたサンプル https://github.com/tomoki10/claude-code-setup-sample/blob/main/.devcontainer/init-firewall.sh

26. • AIが無限にCLIコマンドを実⾏しCPU/メモリ枯渇 → コンテキストの枯渇などで⾃然と上限までは操作継続されない？ → 気になる場合、コンテナやVMなど分離された環境上で実⾏ • ネットワークへの⼤量リクエスト送信 → ⼤量リクエストはClaude

    Code⾃体で防⽌できない。気になる場合は   VPC上にClaude Codeを配置しNWトラフィックをVPC Flow Logsで監視 通常利⽤では⼤きな問題ではなそうだが、Claude CodeやClaude Codeの実⾏元が 乗っ取られるとこのリスクが⼤きくなる!? Denial of service（サービス妨害）への対策 26

27. • 本来禁⽌されているコマンドを実⾏ → コマンド/ファイル操作権限をsettings.json や settings.local.json で絞る   Linuxの場合は実⾏ユーザの権限管理も合わせて実施 →

    実⾏環境の権限昇格がなされても被害がないようにコンテナやVMを   サンドボックスとして使って隔離（多層防御の観点） Elevation of privilege（特権の昇格）への対策 27

28. 対策概要図 28 Claude Code Tools File Read/Edit CLI Command Web

    Fetch MCP / Skills Terminal File Internet Amazon EC2 OR settings.json + settings.local.json (allow/deny list) ローカルPC

29. 対策サマリ 29 カテゴリ 具体例 考えられる対策 Spoofing（なりすまし） ・別人が設定済みの APIキーを悪用 ・.mcp.jsonなどにシークレットを含めず 　環境変数などリポジトリ外で設定する

    Tampering（改ざん） ・エージェントが誤って重要なコードを編集 /削除 ・ 想定範囲外の操作で実行環境のデータを削除 ・コードの外部管理（ GitHub/GitLabなど） ・settings.jsonやsettings.local.jsonで権限制御 ・環境分離（コンテナ／ VM 利用） Repudiation（否認） ・誰が「--dangerously-skip-permissions」を使ったか不明 ・誰がファイルを削除 /編集したか追跡できない ・コードの外部管理（ GitHub/GitLabなど） ・ログを外部保管、環境分離 Information disclosure （情報漏えい） ・機密ファイルや認証情報を AIが外部に送信 ・インターネットアクセスを通じた誤送信 ・Fetch Toolのドメイン制御 ・MCPサーバの許可制御 ・ファイルアクセス範囲の制御 ・NW分離（コンテナ／VM 利用） Denial of service （サービス妨害） ・AIが無限ループでCLIコマンド実行→CPU/メモリ枯渇 ・ネットワークへの大量リクエスト送信 ・環境分離（コンテナ／ VM 利用） ・NW監視 Elevation of privilege （特権の昇格） ・本来禁止されているコマンドを実行 ・settings.json などで権限制御（sudo禁止） ・環境分離（コンテナ／ VM 利用）

30. 宣伝：企業でのAI駆動開発導⼊も⽀援します！ 30 https://classmethod.jp/news/20250725-anthropic/ https://classmethod.jp/services/aidd/

31. ⽣成AI技術を活⽤した「トライ＆エラー」の⼿法を習得し、失敗から学び、成⻑するイノ ベーション⽂化を根付かせるための実践的な⽀援を提供します 主にエンジニアの⽅を対象に、AIエージェントを活⽤するスキルを⾝につけていただきます ⼿を動かしながらコーディングや定常作業の効率化の⼿段をご紹介します 宣伝：AI駆動開発実践プログラム 31

32. 個⼈的な宣伝：AI駆動開発の書籍がでました！ 32 Burikaigi 2026のクラスメソッド ブースにて物理本を販売中！ インターネットでも販売中！