結論から言うと、APIキーとは、あるサービスを使わせてもらうために発行される「あなた専用の合鍵(パスワード)」のことです。そして環境変数とは、その合鍵のような秘密の値を、プログラムのコードに直接書かず、別に分けて安全に持たせておく仕組みです。この2つは切っても切れない関係で、「大事な鍵(APIキー)を、安全な引き出し(環境変数)にしまう」とイメージすると、まるごと理解できます。

この記事は、エンジニアではない小さな会社と個人事業主の方——とくにこれから自分のホームページを自分で編集・更新できるようになりたい方に向けて、2026年7月時点の「APIキー・API・環境変数・.env」の意味を、むずかしい用語をその場でかみくだきながら整理したものです。私たち Techt は、自社とお客様のサイトで日常的にAPIキーを扱っている会社なので、教科書的な説明だけでなく「非エンジニアが最低限これだけは守ればいい」という実務の線引きまでお伝えできます。

この記事で分かること

  • APIとは何か(サービス同士をつなぐ「窓口」のたとえ)
  • APIキーとは何か(サービスの扉を開ける「合鍵」)
  • なぜAPIキーは「秘密」なのか(漏れると課金・悪用されるしくみ)
  • 環境変数・.envファイルとは何か(秘密をコードと分けて持つ仕組み)
  • 非エンジニアが守るべき、鍵を漏らさない3つのルール

そもそもAPIとは?サービス同士をつなぐ「窓口」

APIキーの前に、まずAPI(エーピーアイ)から押さえます。APIとは、あるサービスの機能を、別のプログラムから使わせてもらうための「窓口(受付カウンター)」のことです。

たとえば、天気の情報、地図、決済、そしてAI——こうしたサービスは、それぞれ「ここに、こういう形でお願いを出してくれれば、答えを返しますよ」という窓口を用意しています。あなたのホームページやプログラムは、その窓口に決まった形でお願いを出すだけで、相手の中身の作りを知らなくても、その機能を借りられます

レストランでたとえるなら、あなたは厨房(サービスの中身)に入らなくていい。ホールの店員さん(API)に「これをください」と頼めば、料理が出てくる。この「頼めば返してくれる受付窓口」がAPIです。ホームページにAIの機能や地図を組み込めるのは、この窓口を通じて外部サービスの力を借りているからです。

APIキーとは?サービスの扉を開ける「合鍵」

では、その窓口は誰にでも自由に使わせてくれるのでしょうか。ふつうは違います。サービス側は「窓口に来たお願いが、ちゃんと契約した正しい利用者からのものか」を確かめたい。そこで登場するのがAPIキーです。

APIキーとは、そのAPIを使うために発行される、あなた専用の「合鍵」または「パスワード」です。窓口にお願いを出すとき、この鍵を一緒に添えることで、サービス側は「あ、契約しているあなたですね」と確認し、機能を貸してくれます。見た目は sk-xxxx... のような、長くて意味のない文字列です。

APIキーが合鍵として働くことを示す図。左の「あなたのプログラム」が「APIキー」という鍵を使って「サービスの扉」を開け、右の「サービス」の機能を借りられることを、鍵と扉のモチーフと矢印で表している

大事なのは、このAPIキーが「あなたの身分証」と「あなたへの支払い」を結びつけているという点です。鍵を使って利用した分の料金は、鍵の持ち主であるあなたに請求されます。だからこそ、次に説明するように「鍵を他人に知られないこと」が決定的に重要になります。

なぜAPIキーは「秘密」にしないといけないのか

APIキーは「あなたのふりをできてしまう鍵」です。つまり、この鍵を手に入れた第三者は、あなたになりすましてサービスを使えてしまい、その料金はあなたに請求されます。家の合鍵を他人に渡したら、その人が自由に出入りできてしまうのと同じです。

とくにAIや外部サービスの多くは「使った分だけ課金」されるため、鍵が悪用されると、知らないうちに大量に使われて高額な請求が届く恐れがあります。実際、うっかり公開してしまったAPIキーが自動で拾われ、悪用されるケースは後を絶ちません。

いちばんやりがちで危険な失敗:APIキーをプログラムのコードに直接書き込んだまま、そのコードをGitHub(後述)などネット上に公開してしまうことです。コードが公開の場所に置かれると、そこに書かれた鍵も世界中から見える状態になり、拾われて悪用され、高額請求につながります。もし「鍵を公開してしまったかも」と気づいたら、あわてず、そのサービスの管理画面でその鍵を無効化(失効)して、新しい鍵を発行し直してください。合鍵を落としたら鍵ごと交換するのと同じです。

環境変数とは?秘密をコードと分けて持たせる仕組み

ここで、この記事のもう一つの主役環境変数(かんきょうへんすう)の出番です。環境変数とは、APIキーのような「秘密の設定値」を、プログラムのコードに直接書かず、外側に分けて持たせておく仕組みのことです。

考え方はシンプルです。コードの中には「秘密の鍵は、環境変数から読み込んでね」という指示だけを書いておき、実際の鍵の値は、コードとは別の場所に置いておく。こうすれば、コードそのものには鍵が一切書かれていないので、コードを人に見せても、ネット上に上げても、秘密は漏れません。

たとえるなら、手紙の本文に暗証番号を書き込むのをやめて、「暗証番号は、いつもの引き出しを見て」と書いておくようなもの。手紙(コード)が誰かの目に触れても、引き出し(環境変数)の中身までは分からない、という発想です。

その置き場所としてよく使う「.envファイル」

環境変数の値を実際に書いておく置き場所として、開発の現場でよく使われるのが「.env(ドットエンブ)」というファイルです。ファイル名がドットで始まる、中身は「名前=値」を並べただけの、ふつうのテキストファイルです。

この .env ファイルの中に API_KEY=(実際の鍵の文字列) のように鍵をまとめて書いておき、プログラムは実行するときにここから値を読み込みます。鍵を1か所にまとめておけるので、鍵を変えたいときもこのファイルだけ直せば済み、コード本体をいじる必要がありません。ただし——この .env ファイルには本物の鍵が入っているので、絶対に外部に公開してはいけないファイルです。ここが次の話につながります。

非エンジニアが守るべき、鍵を漏らさない3つのルール

むずかしい理屈を全部覚える必要はありません。秘密情報を漏らさないために、非エンジニアが押さえるべきことは、次の3つだけです。

  • ① コードの中に、鍵の値を直接書かない:これが事故の一番の原因です。鍵はコードに書かず、環境変数(.envファイルなど)に分けて持たせます。
  • ② 鍵は「.envファイル」など環境変数にまとめて置く:秘密の値を1か所に集め、コード本体からは切り離しておきます。
  • ③ その.envファイルを、GitHubなどネット上に上げない:この除外を指示するのが .gitignore(ギットイグノア)という設定ファイルです。「この.envは記録・公開の対象から外して」とあらかじめ書いておくと、うっかり一緒に公開する事故を防げます。

ここで出てきたGitHub(ギットハブ)は、プログラムのコードを保存・共有できるネット上のサービスで、多くの場合コードが公開の場所に置かれます。Gitという「変更履歴を記録する仕組み」とセットで使われ、Claude Code のようなAIの道具でサイトを更新するときにもよく登場します。この.gitignoreで「上げないファイル」を指定しておくことが、鍵を守る最後のカギです。

秘密のAPIキーをコードと分けて管理する分離図。左の「コード」はGitHubに上げてよいが、鍵の入った「.env(秘密のAPIキー)」は.gitignoreで除外してGitHubに上げない、という切り分けを矢印とバツ印で表している

参考までに、私たち Techt も、自社とお客様のサイトを扱うなかで、APIキーは環境変数や秘密管理の仕組み(Secret Manager 等)で扱い、鍵そのものはGitHubに上げない運用をしています。特別なことをしているわけではなく、この「鍵はコードと分ける・公開の場所に上げない」という基本を、当たり前に守っているだけです。逆に言えば、この基本さえ守れば、非エンジニアの方でも大きな事故はほぼ防げます。

APIキーが分かると、Claude Codeに正しく指示できる

最近は、Claude Code(クロードコード)のようなAIの道具を使って、非エンジニアの方が自分でホームページを編集・更新したり、外部サービスをつないだりすることも現実的になってきました。その際、AIから「APIキーを環境変数に設定してください」「この鍵は.gitignoreで除外します」といった案内が出てくる場面は、必ずと言っていいほど訪れます。

ただし、ここで大事なことが1つあります。AIは、使う人の理解を超えては働いてくれません。「APIキーは合鍵だから人に見せてはいけない」「鍵はコードと分けて、公開の場所に上げない」を分かっている人ほど、AIに安心して任せられ、鍵を扱う場面でも「いま何をしているのか」を落ち着いて判断できます。逆に仕組みを知らないままだと、AIの提案の意味が読めず、うっかり鍵を公開してしまう——という事故は、まさにこの理解の差から起こります。この記事で学んだ基礎が、そのままAIを安全に使いこなす土台になります。

本記事は、大手コンサルでのDX支援やエンジニアとしての実務経験を持つ代表の監修のもと、非エンジニアにも分かるよう要点を整理しています(2026年7月時点)。細かな仕様や各サービスのAPIキーの管理方法は、公式ドキュメントもあわせてご確認ください。

よくある質問

APIとは何ですか?わかりやすく教えてください。

APIとは、あるサービスの機能を、別のプログラムから使わせてもらうための「窓口」のことです。たとえば天気サービスや地図サービス、AIサービスは、それぞれ「ここに頼めば答えを返しますよ」という窓口(API)を用意しています。あなたのホームページやプログラムは、その窓口に決まった形でお願いを出すだけで、相手の機能を借りられます。中身の作りを知らなくても使える、いわば「サービス同士をつなぐ受付カウンター」だと考えると分かりやすいです(2026年7月時点)。

APIキーとは何ですか?

APIキーとは、そのAPI(窓口)を使うために発行される、あなた専用の「合鍵」または「パスワード」のことです。サービス側は、窓口に来たお願いが「契約した正しい利用者からのものか」をこの鍵で確認します。だからAPIキーは、あなたの身分証と支払いを結びつけた大切なものです。他人に知られると、その人があなたのふりをしてサービスを使えてしまい、料金があなたに請求されます。合鍵と同じで、むやみに見せない・渡さないのが基本です。

環境変数とは何ですか?.envファイルとは何ですか?

環境変数とは、APIキーのような「秘密の設定値」を、プログラムのコードに直接書かず、外側に分けて持たせておく仕組みのことです。コードには「環境変数から鍵を読み込む」とだけ書き、実際の鍵の値は別の場所に置きます。その置き場所としてよく使うファイルが「.env(ドットエンブ)」です。鍵の値を1か所にまとめておけるので、コードを人に見せても秘密が漏れず、鍵を変えたい時もそのファイルだけ直せば済みます(2026年7月時点)。

APIキーが漏れるとどうなりますか?

APIキーが漏れると、それを手に入れた第三者があなたのふりをしてサービスを使えてしまい、その利用料があなたに請求されます。とくにAIや外部サービスは使った分だけ課金される仕組みが多く、悪用されると高額請求につながる恐れがあります。もし漏れた可能性に気づいたら、まずそのサービスの管理画面で該当のAPIキーを無効化(失効)し、新しい鍵を発行し直してください。合鍵を落としたら鍵ごと交換するのと同じ考え方です。

APIキーはどうやって安全に管理すればいいですか?

基本は3つです。①コードの中に鍵の値を直接書かない、②鍵は環境変数(.envファイルなど)に分けて置く、③その.envファイルをGitHubなどネット上に上げない(.gitignoreで除外する)。この3点を守るだけで、うっかり公開して漏らす事故はほとんど防げます。私たち Techt も、APIキーは環境変数や秘密管理の仕組み(Secret Manager 等)で扱い、鍵そのものはGitHubに上げない運用をしています。仕組みを知らないまま扱うのが一番危険なので、まずこの3つを押さえてください。

まとめ

  • APIは「サービス同士をつなぐ窓口」。あなたのプログラムは窓口にお願いを出すだけで、相手の機能を借りられる
  • APIキーは、そのAPIを使うための「あなた専用の合鍵(パスワード)」。身分証と支払いに結びついているので秘密にする
  • 鍵が漏れると、他人にあなたのふりをして使われ、料金があなたに請求される。とくにコードに直書きして公開する事故が危険
  • 環境変数(.envファイルなど)は、その秘密の鍵をコードと分けて持たせる仕組み。鍵はコードに書かない
  • 守るべきは3つ——①コードに直書きしない ②鍵は環境変数に置く ③.envはGitHubに上げない(.gitignoreで除外)

APIキーと環境変数は、身構えるほど難しいものではありません。「大事な合鍵(APIキー)を、安全な引き出し(環境変数)にしまって、公開の場所には出さない」——この一点を軸にすれば、Claude Code で自分のサイトを触るときも、鍵の扱いで迷わなくなります。あわせて、鍵を上げてはいけない場所であるGitとGitHubの仕組みを読むと、なぜ.gitignoreが必要なのかが腑に落ちます。自分のサイトをAIで編集できるようになりたい方はClaude Codeの始め方もどうぞ。Techt は自社とお客様のサイトでAPIキーを安全に管理しながら Claude Code で運用している経験をもとに、小さな会社と個人事業主の方のAI活用の相談を受けています。仕組みや自走化で行き詰まったら、無料相談でお気軽にどうぞ。