CC逆引きリファレンス

.env へのアクセスを禁止したい

13. セキュリティリスク回避

コマンド / 機能

"deny": ["Read(.env*)", "Edit(.env*)"]

概要

環境変数ファイル(.env)に含まれる API キーやパスワードなどの機密情報を Claude がアクセスできないよう保護します。

設定例

// settings.json
{
  "permissions": {
    "deny": [
      "Read(.env)",
      "Read(.env.*)",
      "Read(.env.local)",
      "Read(.env.production)",
      "Edit(.env)",
      "Edit(.env.*)",
      "Write(.env)",
      "Write(.env.*)"
    ]
  }
}

// より包括的な設定
{
  "permissions": {
    "deny": [
      "Read(**/.env*)",
      "Edit(**/.env*)",
      "Write(**/.env*)"
    ]
  }
}

こんな時に使う

  • 環境変数ファイルの漏洩を防ぎたい時
  • API キーなどの機密情報を保護したい時

使い方

  1. 1settings.json の permissions.deny に .env パターンを追加
  2. 2Read, Edit, Write すべてを禁止する
  3. 3サブディレクトリの .env も含める場合は **/.env* を使用
  4. 4プロジェクト設定(.claude/settings.json)に配置してチームで共有

Tips

  • .env.example や .env.sample は許可してもよい(機密情報を含まない場合)
  • deny ルールは allow より優先されるので確実に保護できる
  • .gitignore に .env を追加して Git にもコミットしない
  • 環境変数は direnv や 1Password CLI など安全な方法で管理推奨

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
外部スクリプトの安全な実行
ダウンロード→確認→実行
秘密鍵を保護したい
"deny": ["Read(*.key)", "Read(~/.ssh/*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
サンドボックスを有効化したい
/sandbox または settings.json
前の記事
外部スクリプトの安全な実行
次の記事
秘密鍵を保護したい