APIトークンをチャットに貼るのは危険？情報流出リスクと安全な扱い方

「トークンが流出した」というニュースをたまに見かけますよね。

FigmaやGitHubのAPIトークンを発行したとき、「Claude Codeに使ってもらうにはどこに貼ればいいんだろう？」と思って、チャットに直接貼ろうとした方もいるかもしれません。

リスクがゼロではないので、少し整理してみます。

チャットに貼ると何が起きるか

チャットに貼ったトークンは、会話ログとしてAnthropicのサーバーに残ります。直ちに悪用されるわけではないですが、以下のようなシナリオでリスクが出てきます。

• 画面共有中に見える → ペアプログラミングやオンライン会議中にそのまま流れる
• コピペミスで別の場所に貼ってしまう → Slackやメモに誤って貼るケース
• 有効期限が長いと被害が長引く → 90日・無期限のトークンが漏れると対応が遅れたとき困る

特に書き込み・削除権限のあるトークンを貼ってしまうと、最悪の場合データの改ざんや削除につながります。

リスクが比較的低いケース

とはいえ、状況によってはチャットに貼っても許容範囲のこともあります。

• 有効期限を1日に設定してある → 翌日には無効になる
• 読み取り専用スコープ（read only）のみ → 書き込み・削除ができない

この2つが揃っていれば、万が一流出しても被害は限定的です。

より安全な方法：環境変数にセットする

一番確実なのは、トークンをターミナルで環境変数にセットする方法です。

export FIGMA_TOKEN="ここにトークンを貼る（ターミナルに直接）"

こうすると、Claude Codeがbashコマンド内で $FIGMA_TOKEN として参照できます。トークンの文字列がチャットに流れることはありません。

ちょっと手間に感じるかもしれませんが、一度やってみると「なるほど、こっちの方が気持ちいい」となります。

まとめ

「簡単重視なら1日期限のread専用トークンをチャットに貼る、安全重視なら環境変数」が一つの目安です。

APIを使う機会が増えてきたら、環境変数の扱いに慣れておくと後々ラクになりますよ。

関連記事

• claude -p はターミナルだけじゃない。CI/CDや自動化での使い方
• GitHubのサービス一覧とリリース時期——「コードを置く場所」から「開発のOS」へ