🔐 Claude Code セキュリティチェックリスト

自分の契約タイプを確認した（Consumer / Commercial） Consumer の場合：claude.ai/settings/privacy で学習設定をOFFにした

~/.claude/settings.json（User）に全プロジェクト共通の deny を設定した .claude/settings.json（Project）にプロジェクト固有の allow / ask / deny + sandbox を設定した .claude/settings.local.json（Local）を .gitignore に追加した .claude/settings.json をリポジトリにコミットした（チーム共有）

disableBypassPermissionsMode: "disable" を設定した（全許可モードの無効化） disableAutoMode: "disable" を設定した（自動実行モードの無効化） .env* / *.env を deny に追加した *.keystore / *.jks / *.p12 / *.pem を deny に追加した（署名鍵） *service-account*.json / *-sa.json を deny に追加した（GCPサービスアカウント） ~/.aws/* / ~/.config/gcloud/* を deny に追加した（クラウド認証） ~/.ssh/* / *id_rsa* / *id_ed25519* を deny に追加した（SSH鍵） git push --force / git push -f を deny に追加した sudo / rm -rf / dd / mkfs / kill -9 を deny に追加した printenv / env / export を deny に追加した（環境変数出力防止） curl / wget / nc / nmap / ssh / scp を deny に追加した（外部通信防止） git push * を ask に追加した（リモートへの影響） git clean * / git reset * を ask に追加した（ファイル削除・巻き戻し） gh * を ask に追加した（GitHub CLI / PR・Issue操作） uv add * / pip install * などパッケージインストール系を ask に追加した WebFetch(*) を ask に追加した（未許可ドメインへの通信） 必要なドキュメントドメインのみ allow に追加した
例: github.com / docs.python.org / flask.palletsprojects.com / pypi.org / docs.docker.com / sqlite.org sandbox.enabled: true を設定した autoAllowBashIfSandboxed: true を設定した（隔離内での自動実行） excludedCommands: ["git", "docker"] を設定した（sandbox対象外） allowUnsandboxedCommands: false を設定した（sandbox外コマンドを禁止） network.allowedDomains に必要なドメインのみ追加した
例: github.com / pypi.org / files.pythonhosted.org / docker.io allowLocalBinding: true を設定した（Flask開発サーバー用）

機密ファイルの内容をチャットに貼らない ログを貼る前に機密情報をマスク（*** 等）する 聞くなら「構造」だけ渡し、実際の値は渡さない ルールを CLAUDE.md に記載してチームに共有する 外部READMEやブログのコマンドをそのままコピペしない