Skip to content

見せていいもの・ダメなもの

ファイル・情報理由
.env ファイルAPIキー・DB接続情報が含まれる
*secret*, *credential*認証情報
SSH秘密鍵(~/.ssh/id_rsa 等)サーバーアクセス権が漏洩する
個人情報を含むDBダンププライバシー法令違反のリスク
パスワードが平文で書かれたファイルそのまま
社内限定の設計書・契約書機密情報の漏洩
ファイル・情報注意点
config/database.yml (Rails)本番DB接続情報が含まれることがある
appsettings.json (.NET)接続文字列に注意
ログファイルユーザーの行動・IPアドレスが含まれることがある
Slackの会話社内機密・個人情報が含まれる場合がある

APIキー: APIを利用するための認証情報。外部に漏れると不正利用されるため厳重に管理が必要。API: Application Programming Interface の略。外部サービスとプログラム間でデータをやりとりするための接続口。
  • ソースコード(認証情報が含まれていないもの)
  • package.json, Gemfile, requirements.txt(依存関係)
  • README.md, ドキュメント
  • テストコード
  • 設定ファイル(シークレットが含まれない部分)
  • エラーログ(個人情報を除いたもの)

Gitに含めてはいけないファイル = Claude Codeに渡してはいけないファイル、と覚えると分かりやすい。


## 触ってはいけないファイル
- .env(絶対に読まない・変更しない)
- config/secrets.yml
- 本番環境の設定ファイル全般
- src/certificates/ 配下のファイル

Claude Codeはこの指示を守り、該当ファイルに触れません。


CLAUDE.md: プロジェクトのルートに置くClaude Code専用の設定ファイル。プロジェクト固有のルールやコンテキストを記述する。
  1. APIキーなら即座に無効化: 漏洩したキーをコンソールで削除・再発行する
  2. Anthropicのデータポリシーを確認: プロプランでは入力データはモデル学習に使われない(利用規約で確認する)
  3. 社内報告: セキュリティポリシーに従って報告する