https://hdknr.github.io/blogs/tags/%E3%83%A1%E3%83%AB%E3%82%AB%E3%83%AA/Recent content in メルカリ on hdknr blogHugo -- 0.157.0jaThu, 16 Apr 2026 00:00:00 +0000https://hdknr.github.io/blogs/posts/2026/04/%E3%83%A1%E3%83%AB%E3%82%AB%E3%83%AA%E3%81%AEclaude-code%E4%BC%81%E6%A5%AD%E5%B0%8E%E5%85%A5%E3%82%AC%E3%82%A4%E3%83%89%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%AD%E5%AE%9A%E3%81%A8%E7%B5%84%E7%B9%94%E9%85%8D%E5%B8%83%E3%81%AE%E5%AE%9F%E8%B7%B5%E6%88%A6%E7%95%A5/Sat, 11 Apr 2026 00:00:00 +0000https://hdknr.github.io/blogs/posts/2026/04/%E3%83%A1%E3%83%AB%E3%82%AB%E3%83%AA%E3%81%AEclaude-code%E4%BC%81%E6%A5%AD%E5%B0%8E%E5%85%A5%E3%82%AC%E3%82%A4%E3%83%89%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%AD%E5%AE%9A%E3%81%A8%E7%B5%84%E7%B9%94%E9%85%8D%E5%B8%83%E3%81%AE%E5%AE%9F%E8%B7%B5%E6%88%A6%E7%95%A5/<p>メルカリが「Claude Code Meetup Japan #4」で公開した資料が注目を集めている。エンジニアだけでなく非エンジニアにもClaude Codeを全社展開するにあたって実施したセキュリティ設定と、MDMを活用した組織配布の実践的な戦略が体系的にまとめられている。</p> <h2 id="claude-codeがもたらすリスク">Claude Codeがもたらすリスク</h2> <p>Claude Codeは非常に強力なツールだが、その強力さゆえにセキュリティリスクも伴う。具体的には以下の操作が可能なため、適切な制限なしに利用すると重大な問題につながりかねない。</p> <ul> <li>ファイルの検索・読み書き・編集</li> <li>Webページの取得・検索</li> <li><strong>任意のコマンドの実行</strong>（<code>rm -rf</code> や <code>curl</code> など）</li> </ul> <p>PCに保存されている認証情報（APIキー、AWSクレデンシャルなど）や重要なファイルに、LLMが直接アクセスできてしまう状態は大きなリスクとなる。</p> <h2 id="メルカリが実施した5つのセキュリティ対策">メルカリが実施した5つのセキュリティ対策</h2> <p>メルカリのAI Security Teamはこれらのリスクに対し、以下の5つの対策を実施した。</p> <h3 id="1-バイパスモードの禁止">1. バイパスモードの禁止</h3> <p><code>--dangerously-skip-permissions</code> などのバイパスオプションを利用禁止にし、ユーザーによる確認ステップを必ず経由させる。LLMが自律的に危険な操作を実行できないようにする基本的な設定だ。</p> <h3 id="2-危険コマンドの確認必須化">2. 危険コマンドの確認必須化</h3> <p><code>bash</code> の実行や <code>curl</code> による外部通信など、影響範囲の大きいコマンドは都度ユーザーの確認を求めるように設定する。自動承認させずに人間が内容を確認してから実行させる。</p> <h3 id="3-危険な操作の禁止">3. 危険な操作の禁止</h3> <ul> <li>環境変数の読み込み（APIキー等の漏洩を防ぐ）</li> <li><code>sudo</code> によるシステム管理者権限での操作</li> </ul> <p>これらを設定レベルで禁止することで、意図しない権限昇格やクレデンシャルの流出を防ぐ。</p> <h3 id="4-sandboxによる操作範囲の制限">4. Sandboxによる操作範囲の制限</h3> <ul> <li>作業ディレクトリ外へのファイルアクセスを制限</li> <li>不要なネットワークアクセスを制限</li> </ul> <p>Sandboxを活用することで、Claude Codeの操作範囲を必要最小限に絞り込む。</p> <h3 id="5-セキュリティポリシーのシステムプロンプトへの組み込み">5. セキュリティポリシーのシステムプロンプトへの組み込み</h3> <p>社内のセキュリティポリシーをClaude Codeのシステムプロンプト（<code>CLAUDE.md</code> など）に直接記述する。LLM自体にセキュリティ意識を持たせる「教育」的なアプローチだ。</p> <h2 id="組織配布の課題と解決策">組織配布の課題と解決策</h2> <p>全社員に安全な設定を届けるうえで、メルカリが直面した課題がある。エンジニアと非エンジニアで求める設定のニーズが相反するという点だ。</p> <table> <thead> <tr> <th>対象</th> <th>ニーズ</th> </tr> </thead> <tbody> <tr> <td>エンジニア</td> <td>柔軟にカスタマイズできる設定</td> </tr> <tr> <td>非エンジニア</td> <td>何も考えなくても安全な初期設定</td> </tr> </tbody> </table> <h3 id="mdmを活用した属性別の設定配布">MDMを活用した属性別の設定配布</h3> <p>メルカリはMDM（Mobile Device Management：端末管理システム）と連携し、社員属性（エンジニア / 非エンジニア）に応じて配布する設定を分離した。</p> <ul> <li><strong>非エンジニア向け</strong>: 最も制限が強い安全な設定を自動適用。ユーザー側での変更を不要にする</li> <li><strong>エンジニア向け</strong>: 基本的な安全性を担保しつつ、業務に応じたカスタマイズを許容する</li> </ul> <p>これにより、全社員が「最初から安全な環境でClaude Codeを使える」状態を実現している。</p> <h2 id="企業でclaude-codeを導入する際のポイント">企業でClaude Codeを導入する際のポイント</h2> <p>メルカリの事例から、企業導入に際して押さえておきたいポイントをまとめる。</p>