認証・課金・API キー管理

AI Navigate Original / 2026/5/16

共有:

要点

  • 公開前に認証・課金・キー管理が必須
  • キーはサーバー側で保持、クライアント/リポジトリに置かず漏洩時即ローテ
  • 呼び出し元を識別し未認証に高価モデルを叩かせない
  • 従量原価を価格に織り込む、リスクは動きすぎ事故

LLM を使うアプリを公開する前に、必ず固めておきたいのが API キー管理・ユーザー認証・課金(使用量計測)の 3 点です。ここが甘いと、キー漏洩による不正利用や、トークン課金がそのまま跳ね返るコスト暴走に直結します。LLM アプリで本当に怖いのは「動かない」ことより、「動きすぎて事故になる」こと。本ガイドは、初めて本番運用に踏み出す人向けに、要所を図とともに整理します。

ユーザー ログイン 自社サーバ 認証・計測・上限 API キー キー付与 LLM API 従量課金 課金・ログ

FIG.1 キーはクライアントに渡さず、自社サーバを必ず挟む。サーバが「誰が」「どれだけ」使ったかを記録する

01API キー管理が最優先

LLM API を呼ぶための鍵(API キー)は、流出すると第三者があなたの請求でモデルを呼び放題になります。OpenAI は公開リポジトリや公開ページ上でキーを検知すると自動的に無効化する仕組みを持っていますが、検知前に使われた分の請求は残ります。まず守るべきは次の原則です。

  • キーはサーバー側の環境変数 / シークレットマネージャ(AWS Secrets Manager、Google Secret Manager など)で保持する
  • クライアント(ブラウザ・モバイルアプリ)やリポジトリに絶対に置かない。フロントから直接 LLM API を叩く設計にしない
  • 環境・用途ごとにキーを分け、漏洩時はそのキーだけを即ローテーション(再発行)できるようにする
  • 使用上限とアラートを必ず設定する(コスト暴走の防止)

2026 年時点の OpenAI は、キーがプロジェクト単位に紐づく方式になっています。新しいキーは sk-proj- から始まり、特定プロジェクト内にスコープされます(旧来の sk- 形式は段階的に廃止)。キーごとに All / Restricted / Read Only の権限を設定でき、用途別に分けることで「どの機能がどれだけ使ったか」も把握しやすくなります。

02人のキーとシステムのキーを分ける

本番運用では、開発者個人に紐づくキーをそのまま使い続けないのが定石です。OpenAI / Anthropic などは、人ではなく仕組みに紐づくサービスアカウント用のキーを用意できます。担当者の退職や権限変更でアプリが止まらず、CI/CD・バックグラウンドワーカー・本番サービスに向いています。

続きを読むには無料登録が必要です

アカウントを作成すると、オリジナル記事の全文をお読みいただけます。