> ## Documentation Index
> Fetch the complete documentation index at: https://docs.qoder.com/llms.txt
> Use this file to discover all available pages before exploring further.

# API キーのセキュリティ

> Teams OpenAPI キーの保管、ローテーション、漏洩時の対応。

Qoder は **API キーの完全な値を作成時にのみ表示**します。同じシークレットを後から再ダウンロードすることはできません。キーはサーバー上に**安全に保管**され、作成後にプレーンテキストとして公開されることはありません。以下のプラクティスに従ってリスクを軽減してください。

## スコープと権限

* インテグレーションに合わせた **有効期限** を設定し、期限が切れたらローテーションしてください。
* キーは作成者の組織権限を**超えることはなく**、製品の **API スコープ** によって制限されます。追加の権限を付与することはできません。

## 保管

API キーは**パスワード**と同様に扱ってください：

| 推奨事項                     | 理由                                        |
| ------------------------ | ----------------------------------------- |
| メール、IM、プレーンテキストのチケットを避ける | 転送・保持が容易なため                               |
| シェル履歴にキーを残さない            | 環境変数やプロンプトを使用する                           |
| Git にキーをコミットしない          | すべてのリポジトリで `.gitignore` とシークレットストレージを使用する |

## 利用習慣

| 推奨事項                         | 理由                  |
| ---------------------------- | ------------------- |
| 環境変数またはシークレットマネージャーからキーを読み込む | シークレットをソースコードから分離   |
| 定期的にキーをローテーション               | 影響範囲を限定             |
| 環境ごとに異なるキーを使用                | 開発 / ステージング / 本番の分離 |

## キーが漏洩した場合

1. コンソールで即座にキーを**取り消しまたは削除**してください。
2. 新しいキーを**作成**し、すべての呼び出し元を更新してください。
3. 悪用が疑われる場合、セキュリティ担当者と Qoder サポートに、エラーレスポンスの **`requestId`** 値を添えてご連絡ください。

<Note>
  最小権限の原則を適用してください：API を呼び出す必要があるシステムと人員のみがキーを受け取るべきです。
</Note>
