---

AIツールを使わないと「取り残される」時代に潜む落とし穴

X（旧Twitter）などのエンジニア界隈では、「Google Antigravity」「Claude Code」「Cursor」といったAIが自動でコードを書いてくれる「AIエージェント型ツール」が爆発的なブームになっています。「これを使いこなせないと時代に取り残される」とまで言われるほど、その普及スピードは加速しています。

「AIに指示するだけでアプリが完成する！」「無料で最強モデルが使える！」と熱狂する声が多い一方で、今、この便利さの裏側で「AIによる致命的な情報漏洩」という大惨事が多発しているのをご存知でしょうか？

今回は、AIツールを使い始めたばかりの初心者〜中級者の方向けに、「AIに何を読ませたらヤバいのか」「実際にどれほどの損害額になるのか」を分かりやすく解説します。知識がないまま流行りに乗ると、取り返しのつかない事態になりかねません。ぜひご自身の環境をチェックしてみてください。

そもそも「.envファイル」って何？なぜヤバいの？

「.env（ドットエンブ）」ファイルとは、APIキーやデータベースパスワードなど、外部に漏らしてはいけない認証情報を平文で記載した設定ファイルです。システム開発の世界では「家の合鍵や、金庫の暗証番号をまとめて書いたメモ帳」と例えると分かりやすいでしょう。

具体的には以下のような情報が含まれます：

• APIキー（外部の有料サービスを使うためのパスワード）
• データベースのパスワード
• 暗号化のための秘密鍵

これらの情報はそのままの文字（平文）で書かれており、従来は「このファイルはネット上にアップロードしない（.gitignoreに記載する）」というルールで安全が保たれていました。

常識崩壊。AIは「家政婦」のようにあなたのパソコンを徘徊する

では、なぜ今になってこの.envファイルが大問題になっているのでしょうか？

これまでのAI（ChatGPTなど）は「受付窓口」のようなもので、人間がコピー＆ペーストして渡したテキストだけを読んでいました。しかし、最新のAIエージェントツール（ターミナルで動くCLIツールなど）は**「家の中を勝手に歩き回る優秀な家政婦」**へと進化しています。

AIが「このアプリの仕組みを理解してコードを書こう！」とフォルダ内を探索した際、机の上に置いてあった「.env（暗証番号のメモ帳）」まで読み込んでしまう可能性があります。その内容はインターネットを通じて外部のAIサーバー（GoogleやAnthropicなど）に送信されてしまうため、注意が必要です。

【重要】 「プロンプトで『.envは読まないでね』とお願いすればいい」と思う方もいますが、プロンプトによる指示は信頼できる技術的制御ではありません。後述するファイル除外設定など、システム的な対策を必ず行いましょう。

「無料だからお得」「有料だから安全」の罠。AIエンジニアが語る真実

「AIに読み込まれたくらいで本当に漏洩になるの？学習されるの？」という疑問が湧くと思います。結論から言うと、ツールや使い方、さらにはプランによって全く異なります。

ChatGPTやGeminiの「無料Web版（ブラウザ版）」

ブラウザのチャット画面に入力したテキストは、基本的にAIの今後の学習（モデル改善）に利用されます。ここにパスワードや機密コードを貼るのは、世界中に向けて暗証番号を公開するのと同じです。

有料ツールでの開発（API経由・ターミナル利用）

「有料プラン（API利用）なら学習データに使われないから安全でしょ？」と思う方が多いですが、これは大きな勘違いです。学習されなかったとしても、**あなたのパソコンから海の向こうにあるAI企業のサーバーへ、「生のパスワード」が送信されている時点でセキュリティ事故（情報漏洩）**です。

各AI企業の利用規約によっては、送信されたデータが一定期間ログとして保存される場合があります。もしそのサーバーがサイバー攻撃を受けたら、一巻の終わりです。

【番外編】各AIツールの学習ポリシー比較

最近よく使われるAIツールについて、データ学習ポリシーを整理しました。ツール選びや設定の参考にしてください。 (※以下に記載する設定画面のUIやパスは2026年3月時点のものです。)

⚠️ Genspark（無料プラン）

デフォルトで入力データがAI学習に利用される設定になっています。機密情報・業務データの入力は控えましょう。

✅ Genspark（有料プラン：Plus / Pro）

有料プランでは設定画面から入力データのAI学習をOFFにする機能が提供されています。ただし、デフォルトはONのため、利用開始時に必ず Settings > プライバシー から「AI目的のデータ収集」をオフにすることが必須です。

✅ NotebookLM（Google）

Googleはアップロードした資料をAIの学習に使わないと公式に明言しています。社内資料の要約などには比較的安全に使えます。

⚠️ Cursor（Free / Proプラン）

無料・ProプランではデフォルトでPrivacy ModeがOFFになっており、コード・プロンプトが学習に使われる可能性があります。Settings > General > Privacy Mode をONにすることで学習・保存が一切行われなくなります。（※Businessプランはデフォルトで強制ONです）

⚠️ Google Antigravity

無料プランでは入力データがサービス改善に利用される可能性があります。有料プランではデータ保護が強化されますが、利用前に公式のプライバシーポリシーをご確認ください。

✅ Claude Code（APIキー経由・ターミナル利用）

Anthropic APIを使ったClaude Code（商用API利用）では、明示的に同意しない限り入力・出力内容はモデルの学習に使用されません。

情報漏洩で発生する「リアルな損害額」

自社開発ツールの場合：クリプトジャッキングの恐怖

AWSなどのクラウドサーバーの鍵が漏れると、世界中のハッカーが仮想通貨のマイニング（採掘）サーバーを勝手に大量に立ち上げます。金曜日の夜に漏洩した場合、月曜の朝に出社した時には約300万〜1,000万円もの高額なサーバー代が請求される事例があります。 (※AWSのBilling Alertで早期検知は可能ですが、それに加えてAWS Budgetsのアクション機能等で「一定額を超えたら自動で制限をかける（止める）」といった物理的なストッパーを必ず用意しておくべきです。)

クライアントワーク（受託開発）の場合：億単位の賠償リスク

顧客のパスワードが漏洩した場合、NDA（秘密保持契約）違反となります。どこから漏れたのかを調査するフォレンジック（デジタル鑑識）だけで約100万〜300万円。それに加えて、被害に遭ったユーザーへの損害賠償などが重なり、中小規模の制作会社であれば一発で倒産に追い込まれる規模の損失になります。

今日からできる！絶対にやるべき3つの防衛策

悲劇を防ぐために、具体的な対策をご紹介します。

対策①：ダミーのファイルで開発する（初心者におすすめ！）

ローカルのパソコンで開発する際は、本物のパスワードが入った .env をそもそも置かないという方法です。代わりに .env.sample のようなファイルを作り、「API_KEY=ここにキーを入れる」といったダミーの文字だけを書いておきます。

対策②：AIツールの除外設定をガチガチにする

AIツールに対して「このファイルは絶対に見るな」とシステム的に制限をかけます。

• Antigravity / Cursor: .cursorignore という除外ファイルを作り、そこに .env と記載する。（※.gitignoreだけではエージェントの挙動により突き抜ける事故があるため、明示的なブロックを推奨します）
• Claude Code: .claude/settings.json 内の permissions ブロックで以下のように設定する。

{ "permissions": { "deny": ["Read(.env*)", "Read(**/.env*)"] } }

対策③：環境変数管理ツールを使う（中級者以上向け）

最近は.envファイル自体をパソコンに保存せず、「dotenvx」で暗号化したり、専用のクラウドツール（AWS Secrets Managerなど）にパスワードを預け、プログラムを実行する瞬間だけ呼び出す方法が主流になりつつあります。

よくある質問（FAQ）

Q. CursorやGensparkの有料プランなら安全ですか？ A. 有料プランでもデフォルト設定のままでは学習されるケースがあります。「有料だから自動的に安全」とは限らないため、必ず各ツールの設定（Privacy ModeのONなど）を確認しましょう。

Q. Claude Code（ターミナル）でAPIキーを使って開発している場合は安全ですか？ A. AnthropicのAPIキーを使った商用API経由の利用であれば、明示的に同意しない限り学習には使用されません。ただし、claude.aiのWebブラウザ版アカウントから利用する場合は消費者向けポリシーが適用されるため注意が必要です。

まとめ

「AIが全部やってくれるから、知識ゼロでも開発できる！」 そんな甘い言葉が飛び交う今だからこそ、本当に怖いのは「自分が何をAIに渡しているのか分かっていないこと」です。

AIは圧倒的なスピードと恩恵をもたらす最強の武器ですが、扱い方を間違えれば自社や顧客を危険に晒す凶器にもなります。ツールが進化すればするほど、ビジネスの現場において**「何を隠し、何を守るべきか」を判断し、適切に管理するガバナンス（統治）とITリテラシー（基礎教養）**がより一層求められています。

私たちnovarisでは、こうした最新のAI技術の「光と影」を正しく理解し、堅牢なセキュリティ対策（人間のエンジニアによる品質保証）を講じた上で、安全かつ爆速なシステム開発をご提案しています。

「社内のAI利用ルールが定まっていない」「安全に自社ツールを開発したい」とお悩みの方は、ぜひ一度novarisにご相談ください！お問い合わせはこちらから

• 前へ
• 記事一覧へ戻る
• 次へ

---