- 投稿日:2026/04/14
- 更新日:2026/04/14
1. APIとは何か
API(エーピーアイ)とは、ソフトウェア同士が会話するための「窓口」です。
難しそうな言葉ですが、実はあなたはすでに1日に何十回もAPIを使っています。
あなたの「いつもの1日」はAPIだらけ
スマホを使う人なら、1日に何十回〜100回以上APIを使っていることも珍しくありません。
APIってどんなイメージ?
レストランで例えると:
お客さんは厨房の中を知らなくていい。ウェイターに頼むだけで料理が来る。APIはそのウェイター役です。
ClaudeもAPIで動いている
Claude・ChatGPT・Geminiなどは、APIを通じてプログラムから呼び出せます。つまり、自分のアプリやツールにAIの機能を組み込めるということです。そのアクセスに必要な「合言葉」が、次に説明するAPIキーです。
2. APIキーとは何か
APIキーとは、そのアプリやスクリプトがAPIを使うための認証情報です。
「このリクエストは、〇〇さん(または〇〇社)のアプリからのものです」
という証明に使われます。同時に、使った分だけ料金が発生する仕組みでもあります。
Claude.aiとAPIは別課金
意外と見落としがちなのが、Claude.aiとAPIの課金が別になっている点です。
自分でアプリを作る場合は、APIを使うので別途クレジットのチャージが必要です。
3. 実際にやってみた:HTMLファイル1枚の名前診断アプリ
今回はAnthropicのAPIを使った簡単なHTMLアプリを例に、APIキーの取得から管理まで実際に試してみました。
試しにClaude Codeを使って、赤ちゃんの名前診断アプリを作ってもらいました。
名前と苗字を入力すると、漢字の意味・画数・印象・苗字との相性をまとめて診断してくれるアプリです。もう一つのタブでは、「明るい印象で2文字」などの条件を入れると名前を5つ提案してもらえます。
できあがったのはHTMLファイル1枚。ブラウザで開くだけで動きます。インストール不要です。
そのとき初めて「APIキーを入力してください」という画面に出会いました。
APIキーという言葉自体は知っていましたが、実際に自分で扱うのは初めてで、ここで一度手が止まりました。
どこで取得するのか、どう管理すればいいのか。
このあたりを、今回実際に試した流れに沿って整理していきます。
4. APIキーの作り方(Anthropic)
① Anthropic Consoleにアクセス
https://console.anthropic.com/settings/keys を開きます。
② ログイン
「Continue with Google」またはメールアドレスでサインインします。
③ アカウント種類を選択
個人利用の場合は「individual」
チーム利用の場合は「Organization」を選択。
④ APIキー一覧ページで「Create key」をクリック
⑤ キー名を入力
APIキーはアプリごとに作成するのが望ましいです。万が一漏れた場合にそのキーだけ削除すれば済むため、被害を最小限に抑えられます。
・アプリごとに名前をつける(例:baby-name-app)
・Workspaceは「Default」のままでOK
⑥ 「Add」をクリックして作成
⑦ 表示されたキーをすぐコピーして安全な場所に保存
このキーは二度と表示されません。必ず保存してください。
⑧キーを安全に保管する
パスワードマネージャー(1Password等)に保存するのがおすすめです。
管理画面に戻っても全文は表示されません(末尾数文字だけ見える)。なくしたら新しいキーを作り直し、古いキーを削除してください。
クレジットの追加
APIキーを作成しただけでは使えません。クレジットのチャージが必要です。
左メニュー「Billing」→「Buy credits」をクリック
金額を選択(最小$5、税込$5.50)クレジットカード情報を入力して購入
・クレジットは購入から1年間有効です
・Claude.aiの月額サブスクとは別の課金です。Claude.aiを契約していてもAPIは別途チャージが必要です
・使った分だけ消費される従量課金のため、使いすぎの心配はほぼありません
補足:ローカルアプリでのAPIキーの扱いと、.envについて
今回のように自分のPCだけで動かすローカルアプリの場合に限り、HTMLにAPIキーを直接入力する形でも動作させることはできます。
ただし、この方法は以下の条件を守ることが前提です。
・インターネットに公開しない
・GitHubにアップしない
・他人にファイルを渡さない
HTMLファイルは中身がそのまま見えてしまうため、公開した瞬間にAPIキーも公開された状態になる点に注意が必要です。
今回私は、HTMLファイルにAPIキーを直接書かず、
パスワードマネージャーに保存したAPIキーを毎回コピーして入力する形で使っていました。
少し手間はかかりますが、ファイル内にキーを残さずに済むため、
「うっかり共有してしまうリスク」を減らせるという意味で安心感があります。
複数人で開発する場合やGitHubでコードを管理する場合は、
.env というファイルにAPIキーを書いて、コードとは別に管理する方法があるようです。
5. 正しい管理方法
✅ 環境変数に保存する
APIキーはコードの外、「環境変数」という場所に保存します。
# .envファイル(コードと別管理)
ANTHROPIC_API_KEY=sk-xxxxxxxxxxxxxxxxxxxxxxxx
コードからは os.environ["ANTHROPIC_API_KEY"] のように呼び出すだけ。キーそのものはコードに書きません。
✅ 1サービス・1用途ごとに別のキーを作る
用途を分けておくと、漏れたときに「そのキーだけ」無効化できます。
✅ 対応している場合は、必要最低限の権限だけ与える
サービスによっては「読み取り専用」「このAPIだけ使える」など権限を絞る設定が可能です。対応している場合は積極的に活用しましょう。
✅ 使い終わったキーはすぐ削除する
テスト用・一時的に発行したキーは、使い終わったら削除が基本です。
✅ 必要に応じて定期的にローテーション(更新)する
キーを新しく発行し直すことで、漏洩リスクを下げられます。運用ルールに合わせて見直しましょう。
6. やってはいけないこと
❌ コードの中に直接書いてGitHubにあげる
# これを公開リポジトリにあげるのは絶対NG
api_key = "sk-ant-xxxxxxxxxxxxxxxxxxxxxxxx"
❌ チャットやメールで送る
Slack・Teams・メール本文での共有はしないでください。
❌ スクリーンショットに写したまま送る
画面共有・録画・スクショにAPIキーが映った状態で送るのも危険です。
APIキーの公開による不正利用は、企業・個人問わず実際に多く報告されています。実際に、公開リポジトリにキーを含めてしまい、不正利用や高額請求につながった例があります。
7. 漏れると何が起きるか
APIキーが他人に知られると、あなたの権限でAPIを勝手に使われるおそれがあります。
8. 漏れたと思ったらすぐやること
自分で触ってみて思いましたが、APIキーは「気づいたらすぐ対応できる状態」にしておくのが大事だと感じました。
1.即座にキーを無効化(各サービスの管理画面から削除する)
2.新しいキーを発行し、システムを更新する
3.利用履歴を確認(不審な呼び出しがないか)
4.請求額を確認し、異常があればサービスに報告・異議申し立て
9. チェックリスト
今すぐ確認してみましょう。
✅APIキーをGitHubや共有ドキュメントに貼っていない
✅チャット・メールでAPIキーを送ったことがない
✅キーはパスワードマネージャーか安全な場所に1箇所だけ保管している
✅用途ごとに別のキーを作っている
✅使い終わったキーは削除している
✅キーが漏れたときの対応手順を知っている
まとめ:APIキーは「クレジットカード番号」や「パスワード」と同じくらい大切に扱ってください。
今回、実際にHTMLの簡単なアプリを作ってみて、
APIキーは「なんとなく知っているもの」から「自分で扱うもの」に変わりました。
最初はとりあえず動かすことだけを考えていましたが、
触ってみてはじめて「どう管理するか」が大事だと実感しました。
APIキーは、クレジットカード番号やパスワードと同じように扱うべきものです。
最初から意識しておくだけで、後からのトラブルはかなり防げると思います。
