AIを読む人から使う人へ:中学生にも分かるAPIキーを安全に扱う基本 #1
◉ AI×ビジネス活用 / 2026年07月

AIを読む人から使う人へ:中学生にも分かるAPIキーを安全に扱う基本 #1

2026年07月13日 読了目安:約21分 著者:AIFRONTNEWS編集部 CI/CD / セキュリティ / ベストプラクティス

あなたのAPIキー、どこに置いていますか?この記事では、.envとGitHub Secretsに安全に保管し、VS CodeのOpenAI Codexだけに依頼して、Node.jsの最小サンプルとGitHub Actionsのワークフローを自動生成します。

完成後は、プロジェクト直下に.env(Git管理外)、.gitignore、package.json、index.js、README.md、.github/workflows/ci.ymlがそろい、CIが成功する状態になります。

準備、キー発行、保存、生成、確認、失敗時の対応までをまとめて扱います。

この回のゴール

  • できること:.envと環境変数、GitHub SecretsでAPIキーを安全に保管し、最小のNode.jsサンプルとCIをCodexに作らせて動かせる。
  • 用意するもの:PC、インターネット、ブラウザ、VS Code、OpenAIアカウント、GitHubアカウント。
  • 大切な約束:APIキーは本文やコードに直書きせず、画面に表示しない。料金・仕様は変わるため、最新は各公式ページを確認する。
最初に知っておきたい用語
  • APIキー:オンラインサービスを使うための「本人確認の合言葉」。見せると他人に使われる危険がある。
  • .env:アプリが使う秘密の設定を入れるメモ帳のようなファイル。Gitには入れない。
  • 環境変数:OSが持つ設定置き場。アプリが値を読む仕組みで、鍵も置ける。
  • .gitignore:Gitに入れないものを決めるリスト。うっかり公開を防ぐ番人。
  • dotenv:.envの内容をアプリに読み込ませる道具(ライブラリ)。
  • GitHub Secrets:GitHub上で鍵を暗号化して保存し、Actionsから参照する仕組み。
  • GitHub Actions:GitHub上で自動実行する仕組み。テストやビルドを自動で動かせる。
  • OpenAI Codex:VS Codeの中で依頼するとコードや設定を作ってくれるAIのコーディングエージェント。

この記事でできること

この記事では、APIキーを安全に扱う最低限の土台を、VS Code内のOpenAI Codexに依頼して作ります。技術的には、.envとdotenvでローカルの鍵を読み、.gitignoreで公開を防ぎ、GitHub SecretsをActionsで参照する形を整えます。
補足の比喩として、家の合鍵を金庫(.envとSecrets)に入れ、玄関(GitHub公開)に置かないイメージです。

完成イメージ

完成すると、次の動きになります。まず技術的な挙動を示し、必要に応じて身近なたとえを補います(鍵は財布に入れて持ち歩かず、家の金庫と会社の金庫で分けるイメージ)。

最初に知っておきたいこと

APIキーはサービス利用の身分証です。漏れると不正利用や課金被害につながります。公式情報では「OpenAIのAPIキーは作成時のみ全体表示。失くしたら新規発行」(出典は本文末)と明記されています。料金や仕様は変わることがあるため、最新は公式ページを必ず確認してください。
補足の比喩として、家の鍵と同じで「見せない・置き忘れない・複製しない」を徹底します。

対象読者

次のような人を想定しています。技術説明を先に示し、比喩は補足にとどめます(小さな実験=理科の自由研究のように、まず安全確認から)。

必要なものと入れ方

ここでは、使う道具の役割と導入を、入手→インストール→サインイン→確認の順で説明します。UIの表記は英語の場合があります(日本語UIでは名前が少し異なることがあります)。

VS Code

  1. これは何?:プログラムを書くノート。フォルダ内のファイルを一覧し、編集できます。
  2. 用意するもの:PC、ブラウザ、Microsoftアカウントは任意。
  3. 入れ方・開き方:公式サイト https://code.visualstudio.com/ を開く→Downloadを押す→インストーラーに従って入れる→アプリを起動する。
  4. 最初の設定:日本語表示にしたい場合は、左下の歯車→Command Palette→”Configure Display Language”→Japanese。
  5. できたか確認:上部タイトルに「Visual Studio Code」、左のサイドバーに「Explorer」「Extensions」などのアイコンが見える。

OpenAI Codex拡張

  1. これは何?:VS Codeの中で指示を書くと、必要なファイルや設定を提案・作成してくれるAIの相棒。
  2. 用意するもの:OpenAIのアカウント(ChatGPTアカウントまたはOpenAI APIキーでサインイン)。
  3. 入れ方・開き方:VS Code左の四つの四角アイコン「Extensions」をクリック→検索欄に「Codex」と入力→発行元がOpenAIの「OpenAI Codex」拡張を選ぶ→Installを押す→サイドバーのCodexアイコンをクリック。
  4. 最初の設定:Codexパネル右上の「Sign in」→ブラウザで許可画面が開く→OpenAIのアカウントで承認→VS Codeに戻る→Codexの「New Chat」を押し、入力欄をクリック。
  5. できたか確認:サイドバーに「Codex」アイコンが表示→拡張パネルに「New Chat」ボタン→チャット欄にカーソルが置ける。Marketplaceの拡張名・発行元名が表示されている。

注:Codexの提供や名称は変わる可能性があります。最新情報は拡張の詳細ページで確認してください。代替の列挙は本記事では行いません。

OpenAIアカウント

  1. これは何?:OpenAIのサービスを使うための会員登録。APIキーを発行できます。
  2. 用意するもの:メールアドレス、ブラウザ、支払い設定(必要に応じて)。
  3. 入れ方・開き方:公式ヘルプのAPIキー案内 https://help.openai.com/en/articles/4936850-where-do-i-find-my-openai-api-key を開く→記載の手順からAPI Keysページに進む。
  4. 最初の設定:アカウントでサインイン→新しいSecret keyを作成。
  5. できたか確認:「Create new secret key」で作成→キーが一度だけ全文表示される。

Node.jsとnpm

  1. これは何?:JavaScriptをPC上で動かすエンジンと道具箱。
  2. 用意するもの:PC、ブラウザ。
  3. 入れ方・開き方:公式 https://nodejs.org/ にアクセス→LTS版をダウンロード→インストーラーに従って入れる。
  4. 最初の設定:特になし。VS Codeからプロジェクトを開く準備をする。
  5. できたか確認:VS CodeのCodexに「ターミナルを開いてNode.jsのバージョンを確認する手順を案内して」と頼み、その指示どおりの画面遷移で確認できる。

GitHubアカウント

  1. これは何?:ソースコードを置いて共同作業できる場所。
  2. 用意するもの:メールアドレス、ブラウザ。
  3. 入れ方・開き方:https://github.com/ にアクセス→Sign upで登録→プロフィール設定→新しいリポジトリを作成。
  4. 最初の設定:リポジトリ画面→Settings→Secrets and variables→Actions→New repository secretで鍵を登録する準備。
  5. できたか確認:画面のパンくずが「Settings → Secrets and variables → Actions」と表示され、「New repository secret」ボタンが見える。

エージェントと作るものの全体像

作るものは次の最小セットです。技術の要点を先に示し、補足の比喩は控えめに添えます(机の引き出し=.env、会社の金庫=Secrets)。

構成図イメージ:ローカル(.env)↔コード(dotenv)/GitHub(Secrets)↔Actions。

手順1: ツールを準備する

目的を確認する

VS CodeとOpenAI Codexを使える状態にし、Codexチャットを開けるようにします。ここが土台です。

画面で行う操作

Codexに頼む内容

この段階では、環境確認の手順をガイドさせます(コマンドの直入力は依頼しません)。

例:「ターミナルの開き方と、Node.jsが入っているかを確認する画面手順を案内して。私が自分でコマンドは打たない前提で、次に進むチェックリストも出して。」

成功の見分け方

次に進む前の確認

Codexのチャットが開けること。Extensions→OpenAI Codex→Installedの表示があること。

手順2: APIキーを安全に用意する

目的を確認する

OpenAIのAPIキーを発行し、安全に保存します。キーは作成時のみ全文が見えます(公式情報)。

画面で行う操作

.envと.gitignoreの方針

.envは鍵を入れる私用メモ、.gitignoreは「.envをGitに入れない」約束です。財布に鍵を入れないのと同じ考え方です。

代替の環境変数

OSの環境変数に置く方法もあります。今回は.envを使い、CIではGitHub Secretsを使います。

GitHub Secretsへの登録

次に進む前の確認

手順3: エージェントにアプリを作ってもらう

目的を確認する

Codexに、必要ファイル一式の作成を依頼します。読者はコードを打ちません。

画面で行う操作

VS CodeのCodexチャットに、次の依頼をそのまま送ります。

Codexに送るプロンプト

目的:APIキーを安全に扱う最小のNode.jsプロジェクトを、VS Code内で私の代わりに作ってください。
前提:私はコードやコマンドを直接入力しません。必要な操作は、VS Code上で私が押すべきボタンと画面遷移で案内してください。
作るもの:
- package.json(dotenvを依存に追加)。
- index.js(process.env.OPENAI_API_KEYをdotenv経由で読み、キーの存在だけを確認して"OK"を表示。キー自体は絶対に出力しない)。
- .env.example(OPENAI_API_KEY= の行だけを含める)。
- .gitignore(.env を含め、node_modules など一般的な除外も)。
- README.md(.envの使い方、OpenAI APIキーの安全な保存、GitHub Secretsの登録手順、漏えい時の初動)。
- .github/workflows/ci.yml(GitHub ActionsでOPENAI_API_KEYをsecretsから参照して、index.jsを実行する。ログにキーを出さない)。
安全なAPIキー管理:
- .envに実値は書かせず、ユーザーが自分で入れる前提。
- すべてのスクリプトとログでキーを表示しない。
- READMEに「キーは作成時のみ全体表示。失くしたら新規発行」の注意。
動作確認:
- ローカル:.envにOPENAI_API_KEYを入れたら、スクリプトが"OK"を表示すること。
- CI:GitHub Actionsでsecrets.OPENAI_API_KEYを使い、同じ確認を通すこと。
自己点検チェックリスト:
- [.envが.gitignoreに入っているか]
- [index.jsやログにキーを出していないか]
- [ci.ymlでsecrets参照になっているか]
分からないとき:
- 私に質問してから進めてください。ターミナルの開き方やGitHubへのプッシュ手順は、私がボタンで操作できるように画面パスで案内してください。

Codexが作るもの・確認点

手順4: 動かして確認する

目的を確認する

ローカルとGitHub Actionsの双方で、キーが安全に参照され、値を出さずに動くかを確かめます。

画面で行う操作(ローカル)

画面で行う操作(GitHub Actions)

次に進む前の確認

手順5: エージェントと直す

目的を確認する

漏れやすい点をCodexに点検してもらい、必要なら修正します。

Codexに送る依頼例(.envとログの点検)

Codexチャットに次を送ります。

Codexに送るプロンプト

プロジェクト全体を点検してください。チェックリスト:
- .envが.gitignoreに入っているか。
- スクリプトやREADME、CIのログにAPIキーが出ないようになっているか。
- GitHub Actionsのワークフローでsecrets参照が正しいか。
問題があれば、修正案と画面操作の手順で私を案内してください。

成功の見分け方

よくあるエラー

.envをコミットしてしまった

process.envがundefinedになる

ActionsでSecret未設定

次に試すこと

まとめ

参考文献・公式情報