1> ## Documentation Index

2> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

3> Use this file to discover all available pages before exploring further.

4 

5# AI エージェントの安全なデプロイ

6 

7> 分離、認証情報管理、ネットワーク制御を使用して Claude Code と Agent SDK のデプロイを保護するためのガイド

8 

9Claude Code と Agent SDK は、コードを実行し、ファイルにアクセスし、あなたに代わって外部サービスと相互作用できる強力なツールです。これらの機能を持つツールと同様に、これらを慎重にデプロイすることで、利点を得ながら適切な制御を維持できます。

10 

11事前に決められたコードパスに従う従来のソフトウェアとは異なり、これらのツールはコンテキストと目標に基づいて動的にアクションを生成します。この柔軟性が有用性をもたらしますが、処理するコンテンツ（ファイル、ウェブページ、ユーザー入力）によってその動作が影響を受ける可能性があることも意味します。これはプロンプトインジェクションと呼ばれることもあります。たとえば、リポジトリの README に異常な指示が含まれている場合、Claude Code はオペレーターが予想しなかった方法でそれらの指示をアクションに組み込む可能性があります。このガイドでは、このリスクを軽減するための実践的な方法について説明します。

12 

13良いニュースは、エージェントのデプロイを保護するために、エキゾチックなインフラストラクチャは必要ないということです。半信頼できるコードを実行する場合に適用される原則（分離、最小権限、多層防御）がここにも適用されます。Claude Code には一般的な懸念に対応するのに役立つ複数のセキュリティ機能が含まれており、このガイドではこれらと、さらなる強化が必要な場合の追加的な強化オプションについて説明します。

14 

15すべてのデプロイが最大限のセキュリティを必要とするわけではありません。開発者がノートパソコンで Claude Code を実行する場合と、マルチテナント環境で顧客データを処理する企業では、要件が異なります。このガイドでは、Claude Code の組み込みセキュリティ機能から強化されたプロダクション アーキテクチャまで、さまざまなオプションを提示しているため、状況に合ったものを選択できます。

16 

17<h2 id="threat-model">

18 脅威モデル

19</h2>

20 

21エージェントは、プロンプトインジェクション（処理するコンテンツに埋め込まれた指示）またはモデルエラーが原因で、意図しないアクションを実行する可能性があります。Claude モデルはこれに対する耐性を持つように設計されています。詳細については、[モデル概要](https://platform.claude.com/docs/ja/about-claude/models/overview)とデプロイするモデルのシステムカードを参照してください。

22 

23ただし、多層防御は依然として良い実践です。たとえば、エージェントが顧客データを外部サーバーに送信するよう指示する悪意のあるファイルを処理する場合、ネットワーク制御がそのリクエストを完全にブロックできます。

24 

25<h2 id="built-in-security-features">

26 組み込みセキュリティ機能

27</h2>

28 

29Claude Code には、一般的な懸念に対応するいくつかのセキュリティ機能が含まれています。詳細については、[セキュリティドキュメント](/ja/security)を参照してください。

30 

31* **権限システム**: すべてのツールと bash コマンドは、許可、ブロック、またはユーザーの承認をプロンプトするように設定できます。「すべての npm コマンドを許可」または「sudo を含むコマンドをブロック」などのルールを作成するには、glob パターンを使用します。組織は、すべてのユーザーに適用されるポリシーを設定できます。[権限](/ja/permissions)を参照してください。

32* **権限のためのコマンド解析**: bash コマンドを実行する前に、Claude Code はそれを AST に解析し、結果を権限ルールと照合します。きれいに解析できないコマンド、または許可ルールと一致しないコマンドは、明示的な承認が必要です。`eval` などの小さなコンストラクトセットは、許可ルールに関係なく常に承認が必要です。これは権限ゲートであり、サンドボックスではありません。ターゲットパスまたは効果からコマンドが危険かどうかを推測しません。

33* **ウェブ検索の要約**: 検索結果は、生のコンテンツをコンテキストに直接渡すのではなく、要約されます。これにより、悪意のあるウェブコンテンツからのプロンプトインジェクションのリスクが軽減されます。

34* **サンドボックスモード**: Bash コマンドは、ファイルシステムとネットワークアクセスを制限するサンドボックス環境で実行できます。詳細については、[サンドボックスドキュメント](/ja/sandboxing)を参照してください。

35 

36<h2 id="security-principles">

37 セキュリティの原則

38</h2>

39 

40Claude Code のデフォルトを超えた追加の強化が必要なデプロイの場合、これらの原則は利用可能なオプションをガイドします。

41 

42<h3 id="security-boundaries">

43 セキュリティ境界

44</h3>

45 

46セキュリティ境界は、異なる信頼レベルを持つコンポーネントを分離します。高セキュリティのデプロイの場合、機密リソース（認証情報など）をエージェントを含む境界の外に配置できます。エージェントの環境で何か問題が発生した場合、その境界外のリソースは保護されたままです。

47 

48たとえば、エージェントに API キーへの直接アクセスを与える代わりに、エージェントの環境外で実行されるプロキシを実行して、キーをリクエストに注入することができます。エージェントは API 呼び出しを実行できますが、認証情報自体は見ることはありません。このパターンは、マルチテナント デプロイメントまたは信頼できないコンテンツを処理する場合に役立ちます。

49 

50<h3 id="least-privilege">

51 最小権限

52</h3>

53 

54必要に応じて、エージェントを特定のタスクに必要な機能のみに制限できます。

55 

56| リソース | 制限オプション |

57| -------- | -------------------------- |

58| ファイルシステム | 必要なディレクトリのみをマウント、読み取り専用を優先 |

59| ネットワーク | プロキシ経由で特定のエンドポイントに制限 |

60| 認証情報 | 直接公開するのではなく、プロキシ経由で注入 |

61| システム機能 | コンテナ内の Linux 機能をドロップ |

62 

63<h3 id="defense-in-depth">

64 多層防御

65</h3>

66 

67高セキュリティ環境では、複数の制御をレイヤー化することで追加の保護が提供されます。オプションには以下が含まれます。

68 

69* コンテナ分離

70* ネットワーク制限

71* ファイルシステム制御

72* プロキシでのリクエスト検証

73 

74適切な組み合わせは、脅威モデルと運用要件によって異なります。

75 

76<h2 id="isolation-technologies">

77 分離テクノロジー

78</h2>

79 

80異なる分離テクノロジーは、セキュリティ強度、パフォーマンス、運用の複雑さの間で異なるトレードオフを提供します。

81 

82<Info>

83 これらすべての構成では、Claude Code（または Agent SDK アプリケーション）は分離境界（サンドボックス、コンテナ、または VM）内で実行されます。以下で説明するセキュリティ制御は、エージェントがその境界内からアクセスできるものを制限します。

84</Info>

85 

86| テクノロジー | 分離強度 | パフォーマンスオーバーヘッド | 複雑さ |

87| -------------------- | -------------- | -------------- | ------ |

88| Sandbox runtime | 良好（安全なデフォルト） | 非常に低い | 低い |

89| コンテナ（Docker） | セットアップに依存 | 低い | 中程度 |

90| gVisor | 優秀（正しいセットアップで） | 中程度/高い | 中程度 |

91| VM（Firecracker、QEMU） | 優秀（正しいセットアップで） | 高い | 中程度/高い |

92 

93<h3 id="sandbox-runtime">

94 Sandbox runtime

95</h3>

96 

97コンテナなしで軽量な分離を行うには、[sandbox-runtime](https://github.com/anthropic-experimental/sandbox-runtime) が OS レベルでファイルシステムとネットワークの制限を強制します。

98 

99主な利点はシンプルさです。Docker 設定、コンテナイメージ、またはネットワーク設定は必要ありません。プロキシとファイルシステムの制限は組み込まれています。許可されたドメインとパスを指定する設定ファイルを提供します。

100 

101**動作方法:**

102 

103* **ファイルシステム**: OS プリミティブ（Linux では `bubblewrap`、macOS では `sandbox-exec`）を使用して、設定されたパスへの読み取り/書き込みアクセスを制限します

104* **ネットワーク**: ネットワーク名前空間を削除（Linux）または Seatbelt プロファイルを使用（macOS）して、ネットワークトラフィックを組み込みプロキシ経由でルーティングします

105* **設定**: ドメインとファイルシステムパスの JSON ベースの許可リスト

106 

107**セットアップ:**

108 

109```bash theme={null}

110npm install @anthropic-ai/sandbox-runtime

111```

112 

113次に、許可されたパスとドメインを指定する設定ファイルを作成します。

114 

115**セキュリティに関する考慮事項:**

116 

1171. **同一ホストカーネル**: VM とは異なり、サンドボックス化されたプロセスはホストカーネルを共有します。カーネルの脆弱性は理論的には脱出を可能にする可能性があります。一部の脅威モデルではこれは許容可能ですが、カーネルレベルの分離が必要な場合は、gVisor または別の VM を使用してください。

118 

1192. **TLS インスペクションなし**: プロキシは、クライアントが提供するホスト名に基づいてドメインを許可リストに登録し、暗号化されたトラフィックを終了または検査しません。サンドボックス内で実行されているコードは、[ドメインフロンティング](https://en.wikipedia.org/wiki/Domain_fronting)または同様の技術を使用して、許可リスト外のホストに到達する可能性があります。脅威モデルがより強力な保証を必要とする場合は、[TLS 終了プロキシ](#traffic-forwarding)を設定してください。詳細については、[サンドボックスセキュリティの制限](/ja/sandboxing#security-limitations)を参照してください。別途、エージェントが許可されたドメインに対する寛容な認証情報を持っている場合、そのドメインを使用して他のネットワークリクエストをトリガーしたり、データを流出させたりできないようにしてください。

120 

121多くの単一開発者および CI/CD ユースケースでは、sandbox-runtime は最小限のセットアップで大幅に改善されます。以下のセクションでは、より強力な分離が必要なデプロイメント用のコンテナと VM について説明します。

122 

123<h3 id="containers">

124 コンテナ

125</h3>

126 

127コンテナは Linux 名前空間を通じて分離を提供します。各コンテナはファイルシステム、プロセスツリー、ネットワークスタックの独自のビューを持ちながら、ホストカーネルを共有します。

128 

129セキュリティが強化されたコンテナ設定は次のようになります。

130 

131```bash theme={null}

132docker run \

133 --cap-drop ALL \

134 --security-opt no-new-privileges \

135 --security-opt seccomp=/path/to/seccomp-profile.json \

136 --read-only \

137 --tmpfs /tmp:rw,noexec,nosuid,size=100m \

138 --tmpfs /home/agent:rw,noexec,nosuid,size=500m \

139 --network none \

140 --memory 2g \

141 --cpus 2 \

142 --pids-limit 100 \

143 --user 1000:1000 \

144 -v /path/to/code:/workspace:ro \

145 -v /var/run/proxy.sock:/var/run/proxy.sock:ro \

146 agent-image

147```

148 

149各オプションの機能は次のとおりです。

150 

151| オプション | 目的 |

152| ---------------------------------- | --------------------------------------------------------------------------------------------------------- |

153| `--cap-drop ALL` | `NET_ADMIN` や `SYS_ADMIN` などの権限昇格を可能にする可能性のある Linux 機能を削除します |

154| `--security-opt no-new-privileges` | setuid バイナリを通じてプロセスが権限を取得するのを防ぎます |

155| `--security-opt seccomp=...` | 利用可能なシステムコールを制限します。Docker のデフォルトは約 44 をブロックし、カスタムプロファイルはさらにブロックできます |

156| `--read-only` | コンテナのルートファイルシステムを不変にし、エージェントが変更を永続化するのを防ぎます |

157| `--tmpfs /tmp:...` | コンテナが停止したときにクリアされる書き込み可能な一時ディレクトリを提供します |

158| `--network none` | すべてのネットワークインターフェースを削除します。エージェントはマウントされた Unix ソケット経由で通信します |

159| `--memory 2g` | メモリ使用量を 2GB に制限して、リソース枯渇を防ぎます |

160| `--pids-limit 100` | プロセス数を制限してフォークボムを防ぎます |

161| `--user 1000:1000` | 非ルートユーザーとして実行します |

162| `-v ...:/workspace:ro` | コードを読み取り専用でマウントして、エージェントが分析できるが変更できないようにします。**`~/.ssh`、`~/.aws`、`~/.config` などの機密ホストディレクトリのマウントは避けてください** |

163| `-v .../proxy.sock:...` | コンテナ外で実行されているプロキシに接続された Unix ソケットをマウントします（以下を参照） |

164 

165**Unix ソケットアーキテクチャ:**

166 

167`--network none` を使用すると、コンテナはネットワークインターフェースを持ちません。エージェントが外部世界に到達する唯一の方法は、マウントされた Unix ソケット経由です。これはホストで実行されているプロキシに接続します。このプロキシはドメイン許可リストを強制し、認証情報を注入し、すべてのトラフィックをログに記録できます。

168 

169これは [sandbox-runtime](https://github.com/anthropic-experimental/sandbox-runtime) で使用されるのと同じアーキテクチャです。エージェントがプロンプトインジェクション経由で侵害された場合でも、任意のサーバーにデータを流出させることはできません。プロキシ経由でのみ通信でき、プロキシは到達可能なドメインを制御します。詳細については、[Claude Code サンドボックスブログ投稿](https://www.anthropic.com/engineering/claude-code-sandboxing)を参照してください。

170 

171**追加の強化オプション:**

172 

173| オプション | 目的 |

174| ---------------- | ------------------------------------------------------------- |

175| `--userns-remap` | コンテナルートを非特権ホストユーザーにマップします。デーモン設定が必要ですが、コンテナエスケープからのダメージを制限します |

176| `--ipc private` | プロセス間通信を分離して、クロスコンテナ攻撃を防ぎます |

177 

178<h3 id="gvisor">

179 gVisor

180</h3>

181 

182標準コンテナはホストカーネルを共有します。コンテナ内のコードがシステムコールを実行すると、ホストを実行するのと同じカーネルに直接移動します。これは、カーネルの脆弱性がコンテナエスケープを許可する可能性があることを意味します。gVisor はユーザースペースでシステムコールをインターセプトしてホストカーネルに到達する前に、ほとんどのシステムコールを実際のカーネルを関与させずに処理する独自の互換性レイヤーを実装することでこれに対処します。

183 

184エージェントが悪意のあるコードを実行する場合（おそらくプロンプトインジェクションが原因）、そのコードはコンテナ内で実行され、カーネルエクスプロイトを試みる可能性があります。gVisor を使用すると、攻撃面は大幅に小さくなります。悪意のあるコードは最初に gVisor のユーザースペース実装を悪用する必要があり、実際のカーネルへのアクセスは限定的です。

185 

186Docker で gVisor を使用するには、`runsc` ランタイムをインストールしてデーモンを設定します。

187 

188```json theme={null}

189// /etc/docker/daemon.json

190{

191 "runtimes": {

192 "runsc": {

193 "path": "/usr/local/bin/runsc"

194 }

195 }

196}

197```

198 

199次に、以下を使用してコンテナを実行します。

200 

201```bash theme={null}

202docker run --runtime=runsc agent-image

203```

204 

205**パフォーマンスに関する考慮事項:**

206 

207| ワークロード | オーバーヘッド |

208| ------------ | ------------------------------ |

209| CPU バウンド計算 | 約 0%（システムコールインターセプションなし） |

210| シンプルなシステムコール | 約 2 倍遅い |

211| ファイル I/O 集約的 | 大量のオープン/クローズパターンで最大 10～200 倍遅い |

212 

213マルチテナント環境または信頼できないコンテンツを処理する場合、追加の分離はしばしば価値があります。

214 

215<h3 id="virtual-machines">

216 仮想マシン

217</h3>

218 

219VM は CPU 仮想化拡張機能を通じてハードウェアレベルの分離を提供します。各 VM は独自のカーネルを実行し、強力な境界を作成します。ゲストカーネルの脆弱性はホストを直接侵害しません。ただし、VM は自動的に gVisor などの代替案より「より安全」ではありません。VM セキュリティはハイパーバイザーとデバイスエミュレーションコードに大きく依存します。

220 

221Firecracker は軽量マイクロ VM 分離用に設計されています。125ms 以下で VM をブートでき、メモリオーバーヘッドは 5 MiB 未満で、不要なデバイスエミュレーションを削除して攻撃面を削減します。

222 

223このアプローチでは、エージェント VM は外部ネットワークインターフェースを持ちません。代わりに、`vsock`（仮想ソケット）を通じて通信します。すべてのトラフィックは vsock 経由でホスト上のプロキシにルーティングされ、プロキシが許可リストを強制し、リクエストを転送する前に認証情報を注入します。

224 

225<h3 id="cloud-deployments">

226 クラウドデプロイメント

227</h3>

228 

229クラウドデプロイメントの場合、上記の分離テクノロジーのいずれかをクラウドネイティブネットワーク制御と組み合わせることができます。

230 

2311. エージェントコンテナをインターネットゲートウェイなしのプライベートサブネットで実行します

2322. クラウドファイアウォールルール（AWS セキュリティグループ、GCP VPC ファイアウォール）を設定して、プロキシ以外へのすべての送信をブロックします

2333. リクエストを検証し、ドメイン許可リストを強制し、認証情報を注入し、外部 API に転送する [Envoy](https://www.envoyproxy.io/) などのプロキシ（`credential_injector` フィルター付き）を実行します

2344. エージェントのサービスアカウントに最小限の IAM 権限を割り当て、機密アクセスをプロキシ経由でルーティングします

2355. 監査目的でプロキシですべてのトラフィックをログに記録します

236 

237<h2 id="credential-management">

238 認証情報管理

239</h2>

240 

241エージェントは、API を呼び出し、リポジトリにアクセスし、クラウドサービスと相互作用するために認証情報が必要なことがよくあります。課題は、認証情報自体を公開することなく、このアクセスを提供することです。

242 

243<h3 id="the-proxy-pattern">

244 プロキシパターン

245</h3>

246 

247推奨されるアプローチは、エージェントのセキュリティ境界の外でプロキシを実行して、送信リクエストに認証情報を注入することです。エージェントは認証情報なしでリクエストを送信し、プロキシがそれらを追加して、リクエストを宛先に転送します。

248 

249このパターンにはいくつかの利点があります。

250 

2511. エージェントは実際の認証情報を見ることはありません

2522. プロキシは許可されたエンドポイントの許可リストを強制できます

2533. プロキシはすべてのリクエストを監査用にログに記録できます

2544. 認証情報は各エージェントに分散されるのではなく、1 つの安全な場所に保存されます

255 

256<h3 id="configuring-claude-code-to-use-a-proxy">

257 Claude Code をプロキシを使用するように設定する

258</h3>

259 

260Claude Code は、サンプリングリクエストをプロキシ経由でルーティングするための 2 つの方法をサポートしています。

261 

262**オプション 1: ANTHROPIC\_BASE\_URL（シンプルですがサンプリング API リクエストのみ）**

263 

264```bash theme={null}

265export ANTHROPIC_BASE_URL="http://localhost:8080"

266```

267 

268これにより、Claude Code と Agent SDK は、Claude API に直接ではなく、プロキシにサンプリングリクエストを送信するように指示されます。プロキシはプレーンテキスト HTTP リクエストを受け取り、検査および変更（認証情報の注入を含む）してから、実際の API に転送できます。

269 

270**オプション 2: HTTP\_PROXY / HTTPS\_PROXY（システム全体）**

271 

272```bash theme={null}

273export HTTP_PROXY="http://localhost:8080"

274export HTTPS_PROXY="http://localhost:8080"

275```

276 

277Claude Code と Agent SDK はこれらの標準環境変数を尊重し、すべての HTTP トラフィックをプロキシ経由でルーティングします。HTTPS の場合、プロキシは暗号化された CONNECT トンネルを作成します。TLS インターセプションなしでは、リクエストコンテンツを見たり変更したりすることはできません。

278 

279<h3 id="implementing-a-proxy">

280 プロキシの実装

281</h3>

282 

283独自のプロキシを構築するか、既存のプロキシを使用できます。

284 

285* [Envoy Proxy](https://www.envoyproxy.io/): 認証ヘッダーを追加するための `credential_injector` フィルター付きのプロダクショングレードプロキシ

286* [mitmproxy](https://mitmproxy.org/): HTTPS トラフィックを検査および変更するための TLS 終了プロキシ

287* [Squid](http://www.squid-cache.org/): アクセス制御リスト付きのキャッシングプロキシ

288* [LiteLLM](https://github.com/BerriAI/litellm): 認証情報注入とレート制限を備えた LLM ゲートウェイ

289 

290<h3 id="credentials-for-other-services">

291 他のサービスの認証情報

292</h3>

293 

294Claude API からのサンプリングを超えて、エージェントは git リポジトリ、データベース、内部 API などの他のサービスへの認証済みアクセスが必要なことがよくあります。主に 2 つのアプローチがあります。

295 

296<h4 id="custom-tools">

297 カスタムツール

298</h4>

299 

300MCP サーバーまたはカスタムツールを通じてアクセスを提供し、エージェントのセキュリティ境界の外で実行されているサービスにリクエストをルーティングします。エージェントはツールを呼び出しますが、実際の認証済みリクエストは外部で発生します。ツール呼び出しはプロキシに対して行われ、プロキシが認証情報を注入します。

301 

302たとえば、git MCP サーバーはエージェントからのコマンドを受け入れることができますが、ホストで実行されている git プロキシにそれらを転送し、プロキシがリモートリポジトリに接続する前に認証を追加します。エージェントは認証情報を見ることはありません。

303 

304利点:

305 

306* **TLS インターセプションなし**: 外部サービスは認証済みリクエストを直接実行します

307* **認証情報は外部に留まる**: エージェントはツールインターフェースのみを見て、基礎となる認証情報は見ません

308 

309<h4 id="traffic-forwarding">

310 トラフィック転送

311</h4>

312 

313Claude API 呼び出しの場合、`ANTHROPIC_BASE_URL` を使用すると、プレーンテキストでリクエストを検査および変更できるプロキシにリクエストをルーティングできます。ただし、他の HTTPS サービス（GitHub、npm レジストリ、内部 API）の場合、トラフィックはしばしばエンドツーエンドで暗号化されます。`HTTP_PROXY` 経由でプロキシ経由でルーティングしても、プロキシは不透明な TLS トンネルのみを見て、認証情報を注入することはできません。

314 

315カスタムツールを使用せずに任意のサービスへの HTTPS トラフィックを変更するには、トラフィックを復号化し、検査または変更してから、転送する前に再暗号化する TLS 終了プロキシが必要です。これには以下が必要です。

316 

3171. エージェントのコンテナの外でプロキシを実行する

3182. プロキシの CA 証明書をエージェントの信頼ストアにインストールする（エージェントがプロキシの証明書を信頼するため）

3193. `HTTP_PROXY`/`HTTPS_PROXY` を設定してトラフィックをプロキシ経由でルーティングする

320 

321このアプローチはカスタムツールを記述することなく、HTTP ベースのサービスを処理しますが、証明書管理の複雑さが増します。

322 

323すべてのプログラムが `HTTP_PROXY`/`HTTPS_PROXY` を尊重するわけではないことに注意してください。ほとんどのツール（curl、pip、npm、git）は尊重しますが、これらの変数をバイパスして直接接続する場合もあります。たとえば、Node.js `fetch()` はデフォルトではこれらの変数を無視します。Node 24 以降では、`NODE_USE_ENV_PROXY=1` を設定してサポートを有効にできます。包括的なカバレッジの場合、[proxychains](https://github.com/haad/proxychains) を使用してネットワーク呼び出しをインターセプトするか、iptables を設定して送信トラフィックを透過プロキシにリダイレクトできます。

324 

325<Info>

326 **透過プロキシ**はネットワークレベルでトラフィックをインターセプトするため、クライアントはそれを使用するように設定する必要がありません。通常のプロキシはクライアントが明示的に接続して HTTP CONNECT または SOCKS を話す必要があります。透過プロキシ（Squid または透過モードの mitmproxy など）は、リダイレクトされた生の TCP 接続を処理できます。

327</Info>

328 

329どちらのアプローチでも、TLS 終了プロキシと信頼された CA 証明書が必要です。トラフィックが実際にプロキシに到達することを確認するだけです。

330 

331<h2 id="filesystem-configuration">

332 ファイルシステム設定

333</h2>

334 

335ファイルシステム制御は、エージェントが読み取りおよび書き込みできるファイルを決定します。

336 

337<h3 id="read-only-code-mounting">

338 読み取り専用コードマウント

339</h3>

340 

341エージェントがコードを分析する必要があるが変更しない場合は、ディレクトリを読み取り専用でマウントします。

342 

343```bash theme={null}

344docker run -v /path/to/code:/workspace:ro agent-image

345```

346 

347<Warning>

348 コードディレクトリへの読み取り専用アクセスでも、認証情報を公開する可能性があります。マウント前に除外またはサニタイズする一般的なファイル:

349 

350 | ファイル | リスク |

351 | ------------------------------------------------------- | ------------------------- |

352 | `.env`、`.env.local` | API キー、データベースパスワード、シークレット |

353 | `~/.git-credentials` | プレーンテキストの git パスワード/トークン |

354 | `~/.aws/credentials` | AWS アクセスキー |

355 | `~/.config/gcloud/application_default_credentials.json` | Google Cloud ADC トークン |

356 | `~/.azure/` | Azure CLI 認証情報 |

357 | `~/.docker/config.json` | Docker レジストリ認証トークン |

358 | `~/.kube/config` | Kubernetes クラスター認証情報 |

359 | `.npmrc`、`.pypirc` | パッケージレジストリトークン |

360 | `*-service-account.json` | GCP サービスアカウントキー |

361 | `*.pem`、`*.key` | 秘密鍵 |

362 

363 必要なソースファイルのみをコピーするか、`.dockerignore` スタイルのフィルタリングを使用することを検討してください。

364</Warning>

365 

366<h3 id="writable-locations">

367 書き込み可能な場所

368</h3>

369 

370エージェントがファイルを書き込む必要がある場合、変更を永続化するかどうかに応じて、いくつかのオプションがあります。

371 

372コンテナ内の一時的なワークスペースの場合、メモリ内にのみ存在し、コンテナが停止したときにクリアされる `tmpfs` マウントを使用します。

373 

374```bash theme={null}

375docker run \

376 --read-only \

377 --tmpfs /tmp:rw,noexec,nosuid,size=100m \

378 --tmpfs /workspace:rw,noexec,size=500m \

379 agent-image

380```

381 

382変更を永続化する前に確認したい場合、オーバーレイファイルシステムを使用すると、エージェントは基礎となるファイルを変更することなく書き込みできます。変更は別のレイヤーに保存され、検査、適用、または破棄できます。完全に永続的な出力の場合、専用ボリュームをマウントしますが、機密ディレクトリとは別に保つようにしてください。

383 

384<h2 id="further-reading">

385 さらに詳しく

386</h2>

387 

388* [Claude Code セキュリティドキュメント](/ja/security)

389* [Agent SDK のホスティング](/ja/agent-sdk/hosting)

390* [権限の処理](/ja/agent-sdk/permissions)

391* [Sandbox runtime](https://github.com/anthropic-experimental/sandbox-runtime)

392* [AI エージェントの致命的な三つ組](https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/)

393* [OWASP Top 10 for LLM Applications](https://owasp.org/www-project-top-10-for-large-language-model-applications/)

394* [Docker セキュリティベストプラクティス](https://docs.docker.com/engine/security/)

395* [gVisor ドキュメント](https://gvisor.dev/docs/)

396* [Firecracker ドキュメント](https://firecracker-microvm.github.io/)