Production Security Enterprise Checklist

Claude Code 本番環境準備チェックリスト

本番環境に Claude Code をデプロイするチームのための包括的なチェックリスト。セキュリティ、パフォーマンス、監視、ガバナンスの考慮事項。

2026年1月14日 8 min read 著者:Claude World

Claude Code を個人的な実験から本番チーム利用に移行するには、セキュリティ、ガバナンス、運用の問題を慎重に検討する必要があります。

このチェックリストは、組織全体で Claude Code を展開する前に、チームが必要事項をカバーしているか確認するのに役立ちます。

デプロイ前チェックリスト

1. アクセス制御

[ ] API キーが安全に保存されている(コード内にない)
[ ] チームメンバーが適切な Anthropic アカウントアクセス権を持っている
[ ] キーローテーションスケジュールが確立されている
[ ] アクセスログが有効になっている
[ ] 退職するチームメンバーのオフボーディングプロセスが定義されている

キー保存オプション:

  • 環境変数(基本)
  • シークレットマネージャー(AWS Secrets Manager、Vault など)
  • 組織管理キー(エンタープライズ)

2. 権限設定

// .claude/settings.json - チームテンプレート
{
  "permissions": {
    "allow": [
      "Read",
      "Write(src/**)",
      "Edit(src/**)",
      "Bash(npm:*)",
      "Bash(git:*)"
    ],
    "deny": [
      "Read(.env*)",
      "Read(secrets/**)",
      "Write(.env*)",
      "Bash(rm -rf:*)",
      "Bash(*--force*)"
    ]
  }
}
[ ] プロジェクトのデフォルト権限が定義されている
[ ] 機密ファイルパターンが拒否リストにある
[ ] 破壊的なコマンドがブロックされている
[ ] 権限テンプレートが文書化されている
[ ] チームが権限モデルについてトレーニングを受けている

3. データ保護

[ ] 機密データパターンが特定されている
[ ] .gitignore に Claude の成果物が含まれている
[ ] CLAUDE.md に認証情報がない
[ ] PII 取り扱いガイドラインが確立されている
[ ] データ保持ポリシーが定義されている

gitignore すべきファイル:

# Claude Code の成果物
.claude/memory.json
CLAUDE.local.md
.auto-cycle/
.auto-explore/
.cms-iterate/

4. コードレビュー統合

[ ] AI 生成コードのレビュープロセスが定義されている
[ ] PR テンプレートに AI の開示が含まれている
[ ] セキュリティレビューのトリガーが確立されている
[ ] テストカバレッジ要件が設定されている
[ ] 品質ゲートが設定されている

PR テンプレートの追加:

## AI アシスタンス
- [ ] この PR には AI 生成のコードが含まれています
- [ ] AI 生成のコードはレビュー済みです
- [ ] テストが AI 生成のセクションをカバーしています

セキュリティチェックリスト

5. エンタープライズ設定

[ ] 組織ポリシーファイルが設定されている(エンタープライズの場合)
[ ] MCP 許可リストが定義されている
[ ] ツール制限が適切
[ ] 監査ログが有効になっている
[ ] コンプライアンス要件が文書化されている

エンタープライズ設定の場所:

/etc/claude-code/settings.json  # macOS/Linux
%PROGRAMDATA%\claude-code\settings.json  # Windows

6. ネットワークセキュリティ

[ ] プロキシ設定が構成されている(必要な場合)
[ ] ファイアウォールルールが Anthropic API を許可している
[ ] プロンプトに機密データがない(または暗号化が設定されている)
[ ] ネットワークログが API 呼び出しをキャプチャしている(必要な場合)

7. シークレット管理

[ ] ハードコードされた API キーがない
[ ] CLAUDE.md にシークレットがない
[ ] 環境変数が適切にスコープされている
[ ] CI/CD でシークレットスキャンがある
[ ] Pre-commit フックがシークレットをチェックしている

Pre-commit フックの例:

#!/bin/bash
# .git/hooks/pre-commit
if git diff --cached | grep -E "(sk-ant-|ANTHROPIC_API_KEY)" > /dev/null; then
  echo "エラー:コミットに API キーが含まれている可能性があります"
  exit 1
fi

8. コード品質ゲート

[ ] 静的分析に AI 生成コードが含まれている
[ ] セキュリティスキャンがすべてのコードをカバーしている
[ ] 依存関係チェックが有効になっている
[ ] ライセンスコンプライアンスが検証されている
[ ] パフォーマンスベンチマークが確立されている

運用チェックリスト

9. 監視と可観測性

[ ] 使用状況の追跡が実装されている
[ ] コスト監視が設定されている
[ ] エラー率が追跡されている
[ ] トークン使用量がログされている
[ ] アラートしきい値が設定されている

追跡アプローチ:

# セッションコストをログ
claude --cost >> ~/.claude/usage.log

# レポート用に解析
cat ~/.claude/usage.log | jq '.total_cost'

10. コスト管理

[ ] 予算アラートが設定されている
[ ] チーム/プロジェクトごとのコスト追跡
[ ] モデル使用ガイドライン(Haiku vs Sonnet vs Opus をいつ使うか)
[ ] コストレビュースケジュールが確立されている
[ ] 最適化戦略が文書化されている

モデルコストの最適化:

モデルコスト使用するとき
Haiku$素早いタスク、探索
Sonnet$$日常の開発
Opus$$$重要な決定、複雑なタスク

11. インシデント対応

[ ] AI 関連のインシデントプレイブックが作成されている
[ ] ロールバック手順が文書化されている
[ ] 連絡エスカレーションパスが定義されている
[ ] インシデント後のレビュープロセスが確立されている

計画すべきインシデントタイプ:

  • 不適切なコード生成
  • セキュリティ脆弱性の導入
  • コスト超過
  • サービス中断

12. バックアップと復旧

[ ] CLAUDE.md が git でバージョン管理されている
[ ] メモリファイルがバックアップされている(MCP を使用している場合)
[ ] 設定が文書化されている
[ ] 復旧手順がテストされている

チーム準備チェックリスト

13. ドキュメント

[ ] チーム CLAUDE.md テンプレートが作成されている
[ ] 使用ガイドラインが文書化されている
[ ] ベストプラクティスが共有されている
[ ] FAQ が編集されている
[ ] トラブルシューティングガイドが利用可能

14. トレーニング

[ ] 初期トレーニングが完了している
[ ] 権限モデルが理解されている
[ ] セキュリティガイドラインがレビューされている
[ ] ベストプラクティスワークショップが完了している
[ ] 継続的な学習リソースが共有されている

トレーニングトピック:

  1. 基本的な Claude Code の使用
  2. 権限設定
  3. セキュリティの考慮事項
  4. コスト最適化
  5. チームワークフロー統合

15. サポート構造

[ ] 内部チャンピオンが特定されている
[ ] サポートチャンネルが作成されている(Slack/Teams)
[ ] エスカレーションパスが定義されている
[ ] フィードバックメカニズムが確立されている
[ ] 定期チェックインスケジュールが設定されている

16. ガバナンス

[ ] 使用ポリシーが承認されている
[ ] コード所有権が明確化されている
[ ] 責任の考慮事項が対処されている
[ ] コンプライアンス要件が満たされている
[ ] 監査証跡が維持されている

統合チェックリスト

17. CI/CD 統合

[ ] CI 環境で Claude Code が利用可能(必要な場合)
[ ] API キーが安全に注入されている
[ ] 自動テストに AI 生成コードが含まれている
[ ] ビルドパイプラインが Claude の成果物を処理している
[ ] デプロイプロセスは変更なし

18. ツール統合

[ ] IDE 統合がテストされている(VS Code、JetBrains)
[ ] Git フックが設定されている
[ ] MCP サーバーがセットアップされている
[ ] メモリシステムが設定されている
[ ] 他の AI ツールと互換性がある

19. リポジトリセットアップ

[ ] プロジェクト CLAUDE.md が作成されている
[ ] .claude/settings.json が設定されている
[ ] .gitignore が更新されている
[ ] チームがリポジトリアクセス権を持っている
[ ] ブランチ保護が適切

リポジトリ構造:

your-project/
├── .claude/
│   ├── CLAUDE.md          # チーム標準
│   ├── settings.json      # 権限
│   └── rules/             # オプション:モジュラールール
├── .gitignore             # Claude の成果物を含む
└── CLAUDE.local.md        # 個人用(gitignore)

デプロイ後チェックリスト

20. ロールアウト監視

[ ] 初期使用メトリクスが収集されている
[ ] フィードバック調査が送信されている
[ ] 問題が追跡され優先順位付けされている
[ ] クイックウィンが文書化されている
[ ] 成功事例が共有されている

21. 継続的改善

[ ] 毎月の CLAUDE.md レビューがスケジュールされている
[ ] 権限更新プロセスが定義されている
[ ] 新機能評価プロセスが設定されている
[ ] チームレトロスペクティブに AI トピックが含まれている
[ ] ベストプラクティスが定期的に更新されている

22. コンプライアンス検証

[ ] 監査ログがレビューされている
[ ] 使用がポリシー内
[ ] セキュリティインシデントなし
[ ] コストが予算内
[ ] チーム満足度が測定されている

クイックスタート:最小限の本番環境

迅速にデプロイする必要がある場合は、これらの項目を優先:

必須(1日目)

  1. 安全な API キー - 環境変数またはシークレットマネージャー
  2. 基本権限 - 機密ファイルと破壊的コマンドをブロック
  3. チーム CLAUDE.md - コア標準と慣例
  4. セキュリティトレーニング - やるべきこと、やってはいけないことの30分セッション

あるべき(1週目)

  1. コスト監視 - 使用状況を追跡しアラートを設定
  2. コードレビュープロセス - AI 生成コードレビューを含む
  3. ドキュメント - 使用ガイドラインと FAQ
  4. サポートチャンネル - 質問と共有の場

あると良い(1ヶ月目)

  1. エンタープライズ設定 - 完全なガバナンスセットアップ
  2. 高度な MCP - カスタムツールと統合
  3. メトリクスダッシュボード - 使用状況と生産性の追跡
  4. トレーニングプログラム - 継続的な教育

印刷用チェックリスト

CLAUDE CODE 本番環境準備チェックリスト
=====================================

デプロイ前
[ ] API キーが安全
[ ] 権限が設定済み
[ ] 機密データが保護されている
[ ] コードレビュープロセスが定義されている

セキュリティ
[ ] エンタープライズ設定が完了
[ ] ネットワークセキュリティが検証済み
[ ] シークレット管理が確認済み
[ ] 品質ゲートが設定済み

運用
[ ] 監視が有効
[ ] コスト管理が設定済み
[ ] インシデント対応が計画済み
[ ] バックアップ手順がテスト済み

チーム
[ ] ドキュメントが完成
[ ] トレーニングが実施済み
[ ] サポート構造が準備完了
[ ] ガバナンスが承認済み

統合
[ ] CI/CD が設定済み
[ ] ツールが統合済み
[ ] リポジトリがセットアップ済み
[ ] ロールアウト計画が準備完了

デプロイ後
[ ] 監視がアクティブ
[ ] フィードバックが収集済み
[ ] コンプライアンスが検証済み
[ ] 改善がスケジュール済み

このチェックリストを出発点として使用してください。組織の特定のニーズとコンプライアンス要件に合わせて調整してください。

出典:Claude Code ドキュメントClaude Code GitHub