---

title: "OpenClaw セキュリティ入門: 初心者向けに安全な使い方を整理" slug: "openclaw-security" date: "2026-03-21" description: "OpenClaw セキュリティが気になる初心者向けに、公式Security・README・Gateway docsをもとに、信頼境界、最小権限、公開設定、具体的な安全策をやさしく整理します。" primaryKeyword: "OpenClaw セキュリティ" secondaryKeywords:

• "OpenClaw 安全"
• "OpenClaw trust boundary"
• "OpenClaw allowlist"
• "OpenClaw pairing" searchIntent: "informational" audience: "OpenClawをこれから試す初心者"

---

OpenClaw セキュリティ入門: 初心者向けに安全な使い方を整理

OpenClawを調べると、「便利そうだけど安全なの？」「AIにツールを渡して大丈夫？」と不安になりやすいです。結論から言うと、OpenClaw公式も「完璧に安全」とは言っておらず、まずは信頼境界を狭く保ち、必要最小限の権限だけを渡し、公開を急がない前提で使うことを勧めています。この記事では、OpenClaw公式Security、README、Gateway docsの一次情報をもとに、初心者向けに“安全に使う考え方”を整理します。

TL;DR

• OpenClawは公式に「個人向けの personal assistant」を前提にしており、最初から複数の敵対的ユーザーを同じGatewayで安全に分離する前提ではありません。
• まず守るべきなのは、信頼境界を分けることです。信頼境界とは「同じ権限を共有してよい人・端末・設定のまとまり」のことです。
• 初心者は、Gatewayを loopback のまま動かし、token/password 認証を使い、DMは pairing または allowlist で絞るのが基本です。
• pairing は、知らない相手をすぐ通さず、短いコードで承認する仕組みです。allowlist は、通してよい相手だけを明示する許可リストです。
• 安全性は「AIが賢いか」より、tools権限、sandbox、公開範囲、認証、ファイル権限のほうが効きます。
• 迷ったら openclaw security audit を定期的に実行し、公開前に --deep で確認するのが無難です。

結論

初心者にとってのOpenClaw セキュリティは、「危険か安全か」を二択で判断する話ではありません。公式の考え方に沿うなら、自分だけが使う小さな範囲から始め、広げるたびに権限を1つずつ確認するのが正解に近いです。

特に大事なのは次の3点です。

1. 同じGatewayを、互いに信頼していない人たちで共有しない
2. 最初は最小権限にして、必要になった権限だけ足す
3. 公開DMや公開Webを後回しにし、まずローカルで動かす

OpenClaw公式Securityでも、完全無欠な設定を約束するのではなく、「誰が話しかけられるか」「どこで動くか」「何に触れられるか」を意識して、少しずつ広げる運用が推奨されています。

よくある不安

AIが勝手に危険なことをしませんか？

可能性をゼロとは言えません。だから公式は、システムプロンプトだけに頼らず、tool policy、exec approvals、sandboxing、channel allowlists のような「外側の制御」を重視しています。ここでいうtool policyは、AIが使えるツールの範囲を制限する設定です。

知らない人からDMが来たらそのまま実行されますか？

デフォルトではそうならないよう配慮されています。READMEでは、Telegram、WhatsApp、Signal、iMessage、Microsoft Teams、Discord、Google Chat、Slack などで、既定のDM挙動として pairing が案内されています。つまり、未知の送信者には短いコードを返し、承認されるまでメッセージをそのまま処理しない設計です。

共有チームで1つのOpenClawを使っても大丈夫ですか？

「同じ会社チームで、同じ信頼境界として扱えるか」によります。公式Securityは、敵対的または相互不信のユーザーを同じGatewayで安全に分離するものではないと明記しています。チーム共用で使うなら、個人用と分けた専用マシンや専用OSユーザー、専用アカウントで運用するほうが安全です。

ブラウザ操作や exec が怖いです

その感覚は正しいです。OpenClawの価値はツール連携にありますが、同時にそこがリスク面でも重要です。初心者はまず、メッセージ中心のプロファイルや読み取り中心の構成から始め、exec、browser、web系ツール、高権限ノード機能は必要になるまで広げないのが無難です。

公式が言っている前提

1. 信頼境界: まず「誰を同じ箱に入れるか」を決める

trust boundary（信頼境界） とは、「同じ設定、同じ資格情報、同じツール権限を共有してもよい範囲」のことです。OpenClaw公式Securityは、1つのGatewayを single-user / personal assistant model として扱っています。つまり、基本は「自分用」または「同じ境界として扱える少人数用」です。

ここで重要なのは、sessionKeyや会話の分離だけで、権限分離まで自動でできるわけではないという点です。公式は、複数の信頼できない人が同じtool-enabled agentに話しかけるなら、その人たちは実質的に同じツール権限を共有しているとみなすべきだと説明しています。

初心者向けに言い換えると、次の理解で十分です。

• 会話が分かれていても、同じGateway・同じ資格情報・同じツール権限なら、完全に別人向けの安全境界にはならない
• 個人用とチーム用、仕事用と私用は、できればGatewayごと分ける
• 不安なら、まず「1人・1台・1Gateway」から始める

2. 最小権限: できるだけ少ない権限から始める

least privilege（最小権限） とは、「動作に必要な分だけ許可し、それ以上は渡さない」という考え方です。OpenClaw公式Securityの hardened baseline でも、次のような方向が示されています。

• gateway.bind は loopback
• gateway.auth は token
• dmPolicy は pairing
• session.dmScope は per-channel-peer
• tools は messaging寄り
• group:automation、group:runtime、group:fs、sessions_spawn、sessions_send などを deny
• fs.workspaceOnly を有効
• exec は deny 寄り、ask: "always"
• elevated.enabled は false

ここでいう tools権限 は、AIが使える機能の範囲です。たとえば、ファイル操作、コマンド実行、ブラウザ操作、セッション間通信などが含まれます。初心者は「AIの賢さ」より「どのツールを渡したか」のほうが安全性に直結すると考えると分かりやすいです。

3. 公開: 公開DMや外部公開は明示的な opt-in

READMEでは、公開DMを受けるには dmPolicy="open" にし、さらに allowlist に "*" を入れる必要があると説明されています。これは便利ですが、最初に入れる設定ではありません。

公式Securityでも、共有DMと広いツール権限を組み合わせないこと、公開ネットワーク露出を急がないこと、Tailscale Funnelのような公開面は慎重に扱うことが勧められています。Gateway docsでも、Gatewayは既定で loopback bind、認証必須が基本です。

初心者の運用順としては、次が安全です。

1. ローカルだけで動かす
2. token/password 認証を確認する
3. DMは pairing または厳しい allowlist にする
4. その後で必要な公開方法を検討する

具体的な安全策チェックリスト

以下は、初心者がOpenClawを触り始めるときの実践チェックリストです。

起動と公開範囲

• gateway.bind はまず loopback のままにする
• 認証なしの公開をしない
• Control UIやWebを外へ出す前に、token/password設定を確認する
• 公開が必要でも、いきなりインターネット直結より Tailscale や SSHトンネルを先に検討する

DMとチャネル

• DMは pairing を維持する
• allowFrom は本当に必要な相手だけ入れる
• "*" を入れて公開DMを開けるのは、意味を理解してからにする
• 複数人がDMできる運用なら session.dmScope: "per-channel-peer" を検討する
• グループでは requireMention: true のような mention gating を優先する

ツールと権限

• 最初は messaging中心の tool profile から始める
• exec は不要なら有効化しない
• browser、web_fetch、web_search、高権限ノード機能は trusted agent だけに絞る
• elevated は無効のまま始める
• fs.workspaceOnly を使い、触れるファイル範囲を狭くする
• sandboxを使うなら「設定を書いただけ」で満足せず、実際に有効かを確認する

ファイルと資格情報

• ~/.openclaw 配下の設定や認証情報を group/world readable にしない
• 個人用のブラウザプロフィールや個人Apple/Googleアカウントを、チーム共用ランタイムに混ぜない
• 個人用と仕事用で資格情報を分ける
• 同期フォルダや共有フォルダに状態ファイルを置くときは特に権限を見直す

運用と監査

• 設定変更後や公開前に openclaw security audit を実行する
• 余裕があれば openclaw security audit --deep も試す
• 外部入力は常に未信頼とみなし、リンク・添付・貼り付け命令をそのまま信用しない
• モデルは、可能なら新しい instruction-hardened なものを優先する

FAQ

Q1. OpenClawは「安全な製品」ですか？

公式のニュアンスに合わせるなら、「安全に使うための前提とガードレールがある製品」です。ただし、Security docsでも完璧な安全を約束しているわけではありません。設定、公開範囲、ツール権限、運用のほうが結果を大きく左右します。

Q2. まず何をすれば一番安全ですか？

まずは 1人・1台・1Gateway に寄せ、Gatewayを loopback のまま動かし、認証を有効にし、DMは pairing のままにして、openclaw security audit を回すことです。これが初心者向けの最初の土台です。

Q3. pairing と allowlist の違いは何ですか？

pairing は「知らない相手をいったん止めて、承認コードで通す仕組み」です。allowlist は「最初から通してよい相手を明示するリスト」です。初心者はまず pairing で始め、必要になった相手だけ allowlist に加えると分かりやすいです。

Q4. trust boundary は難しく感じます。どう考えればいいですか？

「同じOpenClaw環境を安心して共有できる相手の範囲」と考えると十分です。私用と仕事用、個人と不特定多数、個人アカウントと共用アカウントが混ざりそうなら、境界を分けたほうが安全です。

Q5. exec やブラウザ操作は全部オフにすべきですか？

常に全部オフが正解とは限りません。ただ、初心者が最初から広く許可する必要もありません。必要になるまでは閉じておき、使うときは agentを分ける、sandboxを使う、公開面を狭くする、という順で考えるのが現実的です。

Q6. 公開DMを開いても大丈夫ですか？

すぐに危険とは言い切れませんが、初心者にはおすすめしにくいです。READMEでも公開DMは明示的な opt-in ですし、Security docsでも「open + tools enabled」は優先的に見直すべき項目として扱われています。少なくとも最初の段階では避けるのが無難です。

出典

1. OpenClaw README
   https://github.com/openclaw/openclaw
2. OpenClaw Security
   https://docs.openclaw.ai/gateway/security
3. OpenClaw Gateway Runbook
   https://docs.openclaw.ai/gateway
4. OpenClaw Getting Started
   https://docs.openclaw.ai/start/getting-started