※この記事にはプロモーション(広告)が含まれます。
AIを相棒に自作ツールを作っていると、必ずぶつかるのが「パスワードや合鍵をどこに書くか」問題です。動かすにはパスワードが必要。でも、書き方を間違えると、人に渡したり公開したりした瞬間に漏れてしまいます。
私はブログの投稿ツールやbotをいくつも動かしていて、それぞれにパスワードや”合鍵”(トークンと呼ばれる鍵)が必要です。コードをバリバリ書けるわけではない会社員ですが、何個も作るうちに「ここだけは絶対に守る」というルールを覚えました。今日はその基本を、やさしく共有します。
この記事でわかること
・なぜパスワードを「直書き」してはいけないのか(こわい実例つき)
・私が実際にやっている、秘密の分け方
・うっかり漏らさないための注意点
なぜ「直書き」がダメなの?
パスワードをプログラム本体に直接書くと、そのファイルを渡した相手・公開した先に、パスワードまで一緒に渡ってしまうからです。
たとえるなら、合鍵を玄関ドアにテープで貼っておくようなもの。家(プログラム)を見せるたびに、鍵まで見せてしまう。これでは、いくら中がしっかりしていても危険です。
特にこわいのが、プログラムを GitHub(コードを保存・公開する場所)に上げるときです。世界中から見えるだけでなく、「漏れた鍵を自動で探し回るプログラム」がネット上に動いていて、うっかり上げたDiscordのbotトークンなどは、数分〜数時間で見つかって乗っ取られることもあります。「自分の小さなツールなんて誰も見ない」は通用しないんです。
私が実際にやっている、秘密の分け方
① パスワードはプログラム本体に書かない
② 別のファイル(秘密の箱)にまとめて入れる
③ プログラムは、その箱からこっそり読み込むだけにする
④ 人に渡す・公開するときは秘密の箱だけ外す
具体的には、私はパスワードを secret.json や .env といった別ファイルに入れて、プログラムからはそこを読むだけにしています。そして、.gitignore(=「これはアップしないでね」リスト)に、その秘密ファイルを登録しておきます。こうしておくと、GitHubに上げても秘密ファイルだけは絶対に上がりません。「鍵は別、家は別」を、ファイルのレベルで徹底する形です。
難しそうに聞こえますが、AIに「パスワードは別ファイルに入れて、.gitignoreで除外する形にして」と頼めば、その形で作ってくれます。私もそう頼んで、全部のツールをこの形にしました。
▶ あわせて読みたい
自作ツールを「ダブルクリックで動くアプリ」にして配る方法
うっかり漏らさないための注意
これだけは気をつけて
① 秘密の箱を、人に渡すフォルダに入れない
② GitHubやクラウドに上げる時は、.gitignore を先に設定(あとからだと手遅れなことも)
③ もし漏れたら、すぐパスワードを作り直す(漏れた鍵は使えなくする=無効化する)
特に②は、私もヒヤッとしたことがあります。便利だからと何でもまとめて保存すると、秘密の箱まで一緒に上がってしまう。上げる前に .gitignore を設定して、ひと呼吸おいて確認、これが効きます。そして③が大事で、一度ネットに出た鍵は「もう漏れた」と考えて、必ず作り直すこと。古い鍵を残しておくほうが危険です。
よくある質問(FAQ)
Q. 自分だけで使うツールでも、分けたほうがいいですか?
A. はい。最初から分けておく癖をつけると、あとで「人に渡そう」となった時に安全です。後から直すより、最初から分けるほうがラクです。
Q. 難しい設定が必要ですか?
A. いいえ。「パスワードは別ファイルに入れて、そこから読むようにして」とAIに伝えれば、そういう形で作ってくれます。
Q. もし一度ネットに上げてしまったら?
A. すぐにそのパスワードを作り直してください。一度ネットに出たものは「もう漏れた」と考えて、古い鍵を使えなくするのが鉄則です。
まとめ
・パスワードを本体に直書きすると、渡した瞬間に漏れる
・秘密は secret.json や .env のような別ファイルに入れ、.gitignore で除外する
・GitHubには漏れた鍵を探すプログラムがいる。「誰も見ない」は通用しない
・もし漏れたら、すぐ作り直して古い鍵を無効に
「鍵は別、家は別」。これを最初から守るだけで、自作ツールはぐっと安全になります。
「自作ツールの安全、これで大丈夫?」という方へ
記事のようなツール制作や、安全な作り方・自動化について、しなもこAI相談所でご相談にのっています。「これ大丈夫?」のひと言からで大丈夫です。よろしければお気軽にどうぞ。
最終更新:2026年6月26日



コメント