結論から言うと、APIキーとは、あるサービスを使わせてもらうために発行される「あなた専用の合鍵(パスワード)」のことです。そして環境変数とは、その合鍵のような秘密の値を、プログラムのコードに直接書かず、別に分けて安全に持たせておく仕組みです。この2つは切っても切れない関係で、「大事な鍵(APIキー)を、安全な引き出し(環境変数)にしまう」とイメージすると、まるごと理解できます。
この記事は、エンジニアではない小さな会社と個人事業主の方——とくにこれから自分のホームページを自分で編集・更新できるようになりたい方に向けて、2026年7月時点の「APIキー・API・環境変数・.env」の意味を、むずかしい用語をその場でかみくだきながら整理したものです。私たち Techt は、自社とお客様のサイトで日常的にAPIキーを扱っている会社なので、教科書的な説明だけでなく「非エンジニアが最低限これだけは守ればいい」という実務の線引きまでお伝えできます。
この記事で分かること
- APIとは何か(サービス同士をつなぐ「窓口」のたとえ)
- APIキーとは何か(サービスの扉を開ける「合鍵」)
- なぜAPIキーは「秘密」なのか(漏れると課金・悪用されるしくみ)
- 環境変数・.envファイルとは何か(秘密をコードと分けて持つ仕組み)
- 非エンジニアが守るべき、鍵を漏らさない3つのルール
そもそもAPIとは?サービス同士をつなぐ「窓口」
APIキーの前に、まずAPI(エーピーアイ)から押さえます。APIとは、あるサービスの機能を、別のプログラムから使わせてもらうための「窓口(受付カウンター)」のことです。
たとえば、天気の情報、地図、決済、そしてAI——こうしたサービスは、それぞれ「ここに、こういう形でお願いを出してくれれば、答えを返しますよ」という窓口を用意しています。あなたのホームページやプログラムは、その窓口に決まった形でお願いを出すだけで、相手の中身の作りを知らなくても、その機能を借りられます。
レストランでたとえるなら、あなたは厨房(サービスの中身)に入らなくていい。ホールの店員さん(API)に「これをください」と頼めば、料理が出てくる。この「頼めば返してくれる受付窓口」がAPIです。ホームページにAIの機能や地図を組み込めるのは、この窓口を通じて外部サービスの力を借りているからです。
APIキーとは?サービスの扉を開ける「合鍵」
では、その窓口は誰にでも自由に使わせてくれるのでしょうか。ふつうは違います。サービス側は「窓口に来たお願いが、ちゃんと契約した正しい利用者からのものか」を確かめたい。そこで登場するのがAPIキーです。
APIキーとは、そのAPIを使うために発行される、あなた専用の「合鍵」または「パスワード」です。窓口にお願いを出すとき、この鍵を一緒に添えることで、サービス側は「あ、契約しているあなたですね」と確認し、機能を貸してくれます。見た目は sk-xxxx... のような、長くて意味のない文字列です。

大事なのは、このAPIキーが「あなたの身分証」と「あなたへの支払い」を結びつけているという点です。鍵を使って利用した分の料金は、鍵の持ち主であるあなたに請求されます。だからこそ、次に説明するように「鍵を他人に知られないこと」が決定的に重要になります。
なぜAPIキーは「秘密」にしないといけないのか
APIキーは「あなたのふりをできてしまう鍵」です。つまり、この鍵を手に入れた第三者は、あなたになりすましてサービスを使えてしまい、その料金はあなたに請求されます。家の合鍵を他人に渡したら、その人が自由に出入りできてしまうのと同じです。
とくにAIや外部サービスの多くは「使った分だけ課金」されるため、鍵が悪用されると、知らないうちに大量に使われて高額な請求が届く恐れがあります。実際、うっかり公開してしまったAPIキーが自動で拾われ、悪用されるケースは後を絶ちません。
いちばんやりがちで危険な失敗:APIキーをプログラムのコードに直接書き込んだまま、そのコードをGitHub(後述)などネット上に公開してしまうことです。コードが公開の場所に置かれると、そこに書かれた鍵も世界中から見える状態になり、拾われて悪用され、高額請求につながります。もし「鍵を公開してしまったかも」と気づいたら、あわてず、そのサービスの管理画面でその鍵を無効化(失効)して、新しい鍵を発行し直してください。合鍵を落としたら鍵ごと交換するのと同じです。
環境変数とは?秘密をコードと分けて持たせる仕組み
ここで、この記事のもう一つの主役環境変数(かんきょうへんすう)の出番です。環境変数とは、APIキーのような「秘密の設定値」を、プログラムのコードに直接書かず、外側に分けて持たせておく仕組みのことです。
考え方はシンプルです。コードの中には「秘密の鍵は、環境変数から読み込んでね」という指示だけを書いておき、実際の鍵の値は、コードとは別の場所に置いておく。こうすれば、コードそのものには鍵が一切書かれていないので、コードを人に見せても、ネット上に上げても、秘密は漏れません。
たとえるなら、手紙の本文に暗証番号を書き込むのをやめて、「暗証番号は、いつもの引き出しを見て」と書いておくようなもの。手紙(コード)が誰かの目に触れても、引き出し(環境変数)の中身までは分からない、という発想です。
その置き場所としてよく使う「.envファイル」
環境変数の値を実際に書いておく置き場所として、開発の現場でよく使われるのが「.env(ドットエンブ)」というファイルです。ファイル名がドットで始まる、中身は「名前=値」を並べただけの、ふつうのテキストファイルです。
この .env ファイルの中に API_KEY=(実際の鍵の文字列) のように鍵をまとめて書いておき、プログラムは実行するときにここから値を読み込みます。鍵を1か所にまとめておけるので、鍵を変えたいときもこのファイルだけ直せば済み、コード本体をいじる必要がありません。ただし——この .env ファイルには本物の鍵が入っているので、絶対に外部に公開してはいけないファイルです。ここが次の話につながります。
非エンジニアが守るべき、鍵を漏らさない3つのルール
むずかしい理屈を全部覚える必要はありません。秘密情報を漏らさないために、非エンジニアが押さえるべきことは、次の3つだけです。
- ① コードの中に、鍵の値を直接書かない:これが事故の一番の原因です。鍵はコードに書かず、環境変数(.envファイルなど)に分けて持たせます。
- ② 鍵は「.envファイル」など環境変数にまとめて置く:秘密の値を1か所に集め、コード本体からは切り離しておきます。
- ③ その.envファイルを、GitHubなどネット上に上げない:この除外を指示するのが
.gitignore(ギットイグノア)という設定ファイルです。「この.envは記録・公開の対象から外して」とあらかじめ書いておくと、うっかり一緒に公開する事故を防げます。
ここで出てきたGitHub(ギットハブ)は、プログラムのコードを保存・共有できるネット上のサービスで、多くの場合コードが公開の場所に置かれます。Gitという「変更履歴を記録する仕組み」とセットで使われ、Claude Code のようなAIの道具でサイトを更新するときにもよく登場します。この.gitignoreで「上げないファイル」を指定しておくことが、鍵を守る最後のカギです。

参考までに、私たち Techt も、自社とお客様のサイトを扱うなかで、APIキーは環境変数や秘密管理の仕組み(Secret Manager 等)で扱い、鍵そのものはGitHubに上げない運用をしています。特別なことをしているわけではなく、この「鍵はコードと分ける・公開の場所に上げない」という基本を、当たり前に守っているだけです。逆に言えば、この基本さえ守れば、非エンジニアの方でも大きな事故はほぼ防げます。
APIキーが分かると、Claude Codeに正しく指示できる
最近は、Claude Code(クロードコード)のようなAIの道具を使って、非エンジニアの方が自分でホームページを編集・更新したり、外部サービスをつないだりすることも現実的になってきました。その際、AIから「APIキーを環境変数に設定してください」「この鍵は.gitignoreで除外します」といった案内が出てくる場面は、必ずと言っていいほど訪れます。
ただし、ここで大事なことが1つあります。AIは、使う人の理解を超えては働いてくれません。「APIキーは合鍵だから人に見せてはいけない」「鍵はコードと分けて、公開の場所に上げない」を分かっている人ほど、AIに安心して任せられ、鍵を扱う場面でも「いま何をしているのか」を落ち着いて判断できます。逆に仕組みを知らないままだと、AIの提案の意味が読めず、うっかり鍵を公開してしまう——という事故は、まさにこの理解の差から起こります。この記事で学んだ基礎が、そのままAIを安全に使いこなす土台になります。
本記事は、大手コンサルでのDX支援やエンジニアとしての実務経験を持つ代表の監修のもと、非エンジニアにも分かるよう要点を整理しています(2026年7月時点)。細かな仕様や各サービスのAPIキーの管理方法は、公式ドキュメントもあわせてご確認ください。
よくある質問
APIとは何ですか?わかりやすく教えてください。
APIとは、あるサービスの機能を、別のプログラムから使わせてもらうための「窓口」のことです。たとえば天気サービスや地図サービス、AIサービスは、それぞれ「ここに頼めば答えを返しますよ」という窓口(API)を用意しています。あなたのホームページやプログラムは、その窓口に決まった形でお願いを出すだけで、相手の機能を借りられます。中身の作りを知らなくても使える、いわば「サービス同士をつなぐ受付カウンター」だと考えると分かりやすいです(2026年7月時点)。
APIキーとは何ですか?
APIキーとは、そのAPI(窓口)を使うために発行される、あなた専用の「合鍵」または「パスワード」のことです。サービス側は、窓口に来たお願いが「契約した正しい利用者からのものか」をこの鍵で確認します。だからAPIキーは、あなたの身分証と支払いを結びつけた大切なものです。他人に知られると、その人があなたのふりをしてサービスを使えてしまい、料金があなたに請求されます。合鍵と同じで、むやみに見せない・渡さないのが基本です。
環境変数とは何ですか?.envファイルとは何ですか?
環境変数とは、APIキーのような「秘密の設定値」を、プログラムのコードに直接書かず、外側に分けて持たせておく仕組みのことです。コードには「環境変数から鍵を読み込む」とだけ書き、実際の鍵の値は別の場所に置きます。その置き場所としてよく使うファイルが「.env(ドットエンブ)」です。鍵の値を1か所にまとめておけるので、コードを人に見せても秘密が漏れず、鍵を変えたい時もそのファイルだけ直せば済みます(2026年7月時点)。
APIキーが漏れるとどうなりますか?
APIキーが漏れると、それを手に入れた第三者があなたのふりをしてサービスを使えてしまい、その利用料があなたに請求されます。とくにAIや外部サービスは使った分だけ課金される仕組みが多く、悪用されると高額請求につながる恐れがあります。もし漏れた可能性に気づいたら、まずそのサービスの管理画面で該当のAPIキーを無効化(失効)し、新しい鍵を発行し直してください。合鍵を落としたら鍵ごと交換するのと同じ考え方です。
APIキーはどうやって安全に管理すればいいですか?
基本は3つです。①コードの中に鍵の値を直接書かない、②鍵は環境変数(.envファイルなど)に分けて置く、③その.envファイルをGitHubなどネット上に上げない(.gitignoreで除外する)。この3点を守るだけで、うっかり公開して漏らす事故はほとんど防げます。私たち Techt も、APIキーは環境変数や秘密管理の仕組み(Secret Manager 等)で扱い、鍵そのものはGitHubに上げない運用をしています。仕組みを知らないまま扱うのが一番危険なので、まずこの3つを押さえてください。
まとめ
- APIは「サービス同士をつなぐ窓口」。あなたのプログラムは窓口にお願いを出すだけで、相手の機能を借りられる
- APIキーは、そのAPIを使うための「あなた専用の合鍵(パスワード)」。身分証と支払いに結びついているので秘密にする
- 鍵が漏れると、他人にあなたのふりをして使われ、料金があなたに請求される。とくにコードに直書きして公開する事故が危険
- 環境変数(.envファイルなど)は、その秘密の鍵をコードと分けて持たせる仕組み。鍵はコードに書かない
- 守るべきは3つ——①コードに直書きしない ②鍵は環境変数に置く ③.envはGitHubに上げない(.gitignoreで除外)
APIキーと環境変数は、身構えるほど難しいものではありません。「大事な合鍵(APIキー)を、安全な引き出し(環境変数)にしまって、公開の場所には出さない」——この一点を軸にすれば、Claude Code で自分のサイトを触るときも、鍵の扱いで迷わなくなります。あわせて、鍵を上げてはいけない場所であるGitとGitHubの仕組みを読むと、なぜ.gitignoreが必要なのかが腑に落ちます。自分のサイトをAIで編集できるようになりたい方はClaude Codeの始め方もどうぞ。Techt は自社とお客様のサイトでAPIキーを安全に管理しながら Claude Code で運用している経験をもとに、小さな会社と個人事業主の方のAI活用の相談を受けています。仕組みや自走化で行き詰まったら、無料相談でお気軽にどうぞ。




