IT用語
(
ひよぺん
)
Home
コラム
用語集
About
検索
Ctrl K
Esc
見つかりませんでした
調べたいIT用語を入力してね
APIキー
えーぴーあいきー
セキュリティ
用語集
› 🔒 セキュリティ › APIキー
【えーぴーあいきー】
APIキー とは?
最終更新:
2026年3月25日
💡 APIを使うための「合言葉」
📌 このページのポイント
API
利用時にリクエストに含めて送信する
環境変数
やシークレットマネージャーで安全に管理
GitHub
に公開すると不正利用される(頻発するインシデント)
レート制限と利用量の追跡に使用される
APIキーによる認証フロー
クライアント
リクエスト +
🔑 APIキー
送信
APIサーバー
キーを検証
権限を確認
✓ 200 OK
データ返却
✗ 401/403
アクセス拒否
⚠️ APIキーの取り扱い注意
公開リポジトリにコミットしない・環境変数で管理する・定期的にローテーション
APIキーを使った認証と許可・拒否の流れ
ひよこ
API
キーってどう使うの?
ペンギン先生
API
リクエストのヘッダやクエリパラメータに含めて送信するよ。例えば「Authorization: Bearer sk-abc123...」のように。サービス側はこのキーで「誰のリクエストか」を識別して、利用量の計測や
アクセス制御
を行うんだ
ひよこ
API
キーを漏洩させたらどうなるの?
ペンギン先生
不正利用で高額な請求が来ることがあるよ。
AWS
のアクセスキーが
GitHub
に公開されて、数百万円のEC2
インスタンス
を立てられた事例は有名。
OpenAI
の
API
キーを漏洩させて大量の
トークン
を消費されるケースも多い。漏洩に気づいたら即座にキーを無効化(ローテーション)しよう
ひよこ
安全な管理方法は?
ペンギン先生
①
環境変数
(.envファイル)に保存してコードに直書きしない、②.gitignoreに.envを追加して
Git
にコミットしない、③
本番環境
では
AWS
Secrets ManagerやVaultで管理、④
GitHub
Secret ScanningやGitGuardianで漏洩を自動検知。「コードにシークレットを書かない」は鉄則だよ
ひよこ
API
キーと
OAuth
の違いは?
ペンギン先生
API
キーは「
アプリケーション
」を識別する。
OAuth
は「ユーザー」の権限を委譲する。
API
キーは単純だけど権限の細かい制御が難しく、漏洩時のリスクも高い。ユーザーデータを扱う
API
は
OAuth
、
サーバー
間の
API
呼び出しには
API
キーという使い分けが一般的だね
まとめ:ざっくりこれだけ覚えればOK!
「
API
キー」って出てきたら「
API
を使うための認証用の秘密
文字列
」と思えればだいたいOK!
📖 おまけ:英語の意味
「API Key」
= APIキー
💬 API(アプリケーション連携の窓口)にアクセスするためのKey(鍵)だよ
🔗 あわせて読みたい
環境変数 とは?
OAuth とは?
Web API とは?
シェアする
X
URLコピー
← 用語集にもどる