← 用語集一覧へ戻る

APIキー

API Key
security beginner
他のサービス(API)を利用させてもらうための「専用のパスワード・合鍵」のようなもの。
APIキー (API Key)

概要(サマリー)

他のサービス(API)を利用させてもらうための、利用者確認用の秘密の文字列のこと。

たとえば「自分のアプリにChatGPTなどの外部サービスを組み込みたい」と思ったとき、ただ接続するだけでは通常は使えない。
そこで、自分に発行された APIキー を一緒に送ることで、「この利用者には利用が許可されている」と相手のサービス側に伝える。

.env環境変数に保存されることが多いが、他人に知られてはいけない重要情報である。
GitHub などへそのまま公開すると、不正利用や課金トラブルの原因になるため、厳重に管理する必要がある。

詳細解説

APIキーとは、APIを使うときに、自分が正規の利用者であることを示すための秘密の文字列である。
見た目としては、英数字や記号が並んだ長い文字列になっていることが多い。

サービス提供側は、この APIキー を見て

  • 誰の利用か
  • 利用が許可されているか
  • どのプランの利用者か
  • どれくらい使ったか

などを判別する。
つまり APIキー は、単なる飾りではなく、認証・識別・利用管理のための重要な情報である。

何のために使うのか

API は、外部のサービスの機能を自分のアプリやサイトから使うための仕組みである。
ただし、誰でも無制限に使えると、悪用や過剰利用が起きやすくなる。

そこで、サービス側は APIキー を発行し、

  • 正規の利用者だけに使わせる
  • 利用量を記録する
  • 制限や課金に反映する
  • 不正利用を追跡する

といった管理を行う。

たとえば、画像生成API、翻訳API、地図API、AI API などでは、この APIキー の入力が必要になることが多い。

どんなイメージで考えればよいか

初心者向けには、APIキー はよく「パスワード」や「合鍵」にたとえられる。
このイメージはかなり分かりやすい。

ただし、少し正確に言うと、APIキーは

  • ログイン用の人間向けパスワード
  • サービス利用のための機械向け認証情報

の中間のような存在である。

つまり、人間が毎回手で打ってログインするためのものというより、プログラムが相手のサービスにアクセスするときに提示する秘密の証明書のようなものだと考えるとよい。

APIキーが使われる流れ

APIキーを使う流れは、ざっくり言うと次のようになる。

  1. サービスでアカウントを作る
  2. 管理画面などで APIキー を発行する
  3. 自分のアプリやプログラムに設定する
  4. APIリクエスト時にそのキーを一緒に送る
  5. サービス側がキーを確認して処理を返す

このとき、キーが正しくない、無効になっている、権限が足りない、などの場合はエラーになることがある。

コードではどう使われるのか

APIキーは、コードの中で直接書かれることもあるが、通常はそれを避ける。
理由は、ソースコードにベタ書きすると漏えいしやすいからである。

初心者向けには、次のような流れで使うことが多い。

  • .env ファイルに保存する
  • 環境変数として読み込む
  • プログラム内でその値を使ってAPIに送る

たとえば考え方としては、

  • APIキーそのものは外に出さない
  • コードはその置き場所だけ知っている

という設計にするのが基本である。

なぜ .env や環境変数に入れるのか

APIキーを安全に扱うためである。
もしコード本体にそのまま書くと、

  • Git に履歴として残る
  • GitHub に誤って公開される
  • 他の人に見られる
  • 本番用とテスト用の切り替えがしにくい

といった問題が起きやすい。

一方で .env や環境変数に分けておけば、

  • 機密情報とコードを分離できる
  • 公開用コードに秘密情報を含めずに済む
  • 環境ごとに値を変えやすい

という利点がある。

APIキーが漏れると何が危険なのか

APIキーはとても重要である。
なぜなら、他人がそのキーを使えると、あなたになりすましてAPIを利用できてしまうことがあるからである。

たとえば、漏えいすると次のようなリスクがある。

  • 勝手にAPIを使われる
  • 利用料・課金が発生する
  • 利用制限を使い切られる
  • 不正利用の責任が自分側に見える
  • サービス停止やキー無効化が必要になる

特に有料APIでは、漏えいがそのまま金銭トラブルに直結することもある。
そのため、APIキーは「見られても問題ない設定値」ではなく、絶対に秘密にすべき情報として扱う必要がある。

フロントエンドに直接置くのは危険

初心者がやりがちなミスの1つが、APIキーを HTML や JavaScript のフロントエンド側にそのまま書いてしまうことである。

ブラウザに送られたコードは基本的に利用者から見える。
そのため、そこに APIキー を書いてしまうと、ユーザーや第三者に見られる可能性がある。

このため、重要なAPIキーは通常、

といった考え方が必要になる。

APIキーとログインパスワードの違い

似ているようで少し違う。

APIキー

  • プログラムやアプリがAPIを利用するときに使う
  • サービス利用者の識別や認証に使う
  • システム連携向け

ログインパスワード

  • 人間がサービスにログインするときに使う
  • アカウント本人確認に使う
  • 人間向けの認証情報

どちらも秘密情報ではあるが、用途が違う。
APIキーは「プログラム用の秘密鍵」のような感覚で理解するとよい。

APIキーだけで十分とは限らない

サービスによっては、APIキーだけでなく、さらに別の仕組みを組み合わせることもある。

たとえば、

  • シークレットキー
  • OAuth
  • アクセストークン
  • リクエスト署名
  • IP制限

などである。

そのため、APIキーは「API認証の代表例」ではあるが、すべてのサービスが同じ方式とは限らない。

AI時代にAPIキーが重要な理由

AI時代では、外部のAIサービスや各種ツールを組み合わせて使う機会が増えている。
たとえば、

  • 生成AI API
  • 音声認識API
  • 翻訳API
  • 画像生成API
  • 外部データ連携API

などである。

このとき、APIキーの理解がないと、

  • なぜ接続できないのか分からない
  • どこに書くべきか分からない
  • セキュリティ事故を起こしやすい
  • GitHub に秘密情報を載せてしまう

といった問題が起きやすい。
そのため、APIキーは AI コーディング初心者にとっても非常に重要な基礎知識である。

より詳しくAIに聞いてみよう

  • APIキーとは何かを、中学生でもわかるように説明してください。
  • APIキーとログインパスワードの違いを、初心者向けに説明してください。
  • なぜAPIキーを .env や環境変数で管理するのか教えてください。
  • APIキーを GitHub に公開すると何が危険なのか、具体例つきで説明してください。
  • フロントエンドにAPIキーを直接書くと危険な理由を教えてください。