---

title: "OpenClaw セキュリティ対策ガイド: 安全な設定と運用チェックリスト" slug: "openclaw-securitymeasures" date: "2026-03-21" description: "openclaw セキュリティ対策を日本語で実践的に解説。安全な初期設定、公開時の注意点、トークン管理、ツール権限、運用チェックリストまで公式一次情報ベースで整理します。" primaryKeyword: "openclaw セキュリティ対策" secondaryKeywords:

• "OpenClaw セキュリティ設定"
• "OpenClaw security audit"
• "OpenClaw gateway auth"
• "OpenClaw 最小権限" searchIntent: "security" audience: "OpenClawを安全に導入・運用したい個人ユーザーと小規模チーム"

---

OpenClaw セキュリティ対策ガイド: 安全な設定と運用チェックリスト

openclaw セキュリティ対策 を調べている人が最初に押さえたいのは、OpenClawが「何もしなくても完全に安全な製品」ではなく、誰が触れるか、どこまで公開するか、どのツールを渡すかで安全性が大きく変わるという点です。OpenClaw公式Securityでは、2026年3月21日時点で「1つのGatewayは1つの信頼境界で使う personal assistant model」を前提にしています。つまり、まずは個人利用か、同じ信頼境界の少人数利用に寄せるのが基本です。

この記事では、OpenClaw公式のSecurityとGateway Configurationをもとに、すぐ試せる設定例と公開前・運用中のチェックリストへ絞って整理します。設定名やコマンドは将来変わる可能性があるため、実施前は必ず公式Docsでも最新表記を確認してください。

TL;DR

• 最優先のOpenClaw セキュリティ対策は、gateway.bind: "loopback" と gateway.auth の有効化です。
• DMsは dmPolicy: "pairing"、セッションは session.dmScope: "per-channel-peer" を基本にすると事故を減らせます。
• ツール権限は profile: "messaging" を起点にして、group:runtime や group:fs を必要になるまで閉じるのが安全です。
• tools.fs.workspaceOnly: true、tools.exec.security: "deny"、tools.elevated.enabled: false は初期の強い味方です。
• 公開前と設定変更後は openclaw security audit、余裕があれば openclaw security audit --deep を回します。

OpenClawで最初に守るべき4つのポイント

1. Gatewayを外へ出しすぎない

公式Security docsでは、gateway.bind: "loopback" がまず推奨されています。これはGatewayをローカル限定で待ち受ける設定です。逆に lan や tailnet、独自の非loopback bindを使うと、攻撃面が一気に広がります。

OpenClawのセキュリティ対策でありがちな失敗は、「便利だから先に公開してから考える」ことです。順番は逆で、最初はローカル限定で安全に動かし、必要が出たら認証付きで少しずつ広げるほうが現実的です。

2. 認証を必ず入れる

OpenClaw公式では、Gateway authはデフォルトで必須寄りの扱いです。gateway.auth.mode は token か password を選べますが、多くの構成では token が扱いやすいです。

少なくとも次の状態は避けます。

• 認証なしでGatewayを公開する
• 短いトークンを使い回す
• 旧トークンをローテーション後も放置する

ローテーション後は、Gateway再起動、リモートクライアント更新、旧認証で接続できないことの確認までやって初めて完了です。

3. ツール権限を最小化する

OpenClawの危険度は、会話機能そのものよりも、AIにどの権限を委譲したかで決まります。公式の hardened baseline では、profile: "messaging" を起点にしつつ、group:automation group:runtime group:fs などを deny に寄せています。

とくに注意したいのは次です。

• exec 系
• ファイル読み書き
• ブラウザ操作
• セッション間送信
• elevated tools

最初から全部を許可するより、必要なユースケースが出たら1つずつ開ける運用のほうが安全です。

4. 信頼境界を混ぜない

OpenClaw公式Securityは、1つのGatewayを敵対的な複数ユーザーの安全な分離境界とは見なしていません。仕事用と私用、不特定多数と社内、個人アカウントと共用アカウントを同じGatewayで混ぜると、想定外の権限共有になりやすいです。

迷ったら次のどれかで分離します。

• Gatewayを分ける
• OSユーザーを分ける
• ホストを分ける
• 資格情報とworkspaceを分ける

まず入れたい安全な初期設定例

以下は、公式Security docsの hardened baseline をもとに、日本語で読みやすくした出発点です。

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" }
  },
  session: {
    dmScope: "per-channel-peer"
  },
  tools: {
    profile: "messaging",
    deny: [
      "group:automation",
      "group:runtime",
      "group:fs",
      "sessions_spawn",
      "sessions_send"
    ],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false }
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } }
    }
  }
}

この設定の意味はシンプルです。Gatewayはローカル限定、認証あり、DMは承認制、グループではメンション必須、危険度が高いツールは閉じる、という方向です。OpenClawを初めて安全に触るなら、この考え方はかなり相性が良いです。

項目別のOpenClaw セキュリティ対策

GatewayとControl UIの対策

• gateway.bind はまず loopback
• gateway.auth.mode は token か password
• 非loopbackでControl UIを使うなら gateway.controlUi.allowedOrigins を適切に設定
• gateway.controlUi.allowInsecureAuth は常用しない
• gateway.controlUi.dangerouslyDisableDeviceAuth はデバッグ時以外オフ
• リバースプロキシ配下では gateway.trustedProxies を正しく設定

特に dangerously* 系フラグは、名前どおり「意図的な危険な緩和」です。便利さのために常設すると、あとから見直したときに事故の温床になりやすいです。

DM・グループ運用の対策

• dmPolicy: "pairing" を基本にする
• 許可済み相手だけ通すなら allowlist を使う
• 複数人がDMできる構成では session.dmScope: "per-channel-peer" を使う
• グループでは requireMention: true を優先する
• open なDMやグループと広いツール権限を同時に使わない

「知らない人が話しかけられる状態」と「ファイルや実行権限が広い状態」が重なると、Prompt Injectionやソーシャルエンジニアリングの影響が大きくなります。

ファイル・シークレット管理の対策

公式Security docsでは、~/.openclaw 配下にセッションログ、認証情報、allowlist、モデル認証プロファイルなどが保存される前提です。そのため、OpenClaw セキュリティ対策ではアプリ設定より先にファイル権限を見直す価値があります。

• ~/.openclaw を group/world readable にしない
• ~/.openclaw/openclaw.json を他ユーザーが書き換えられないようにする
• 共有フォルダや同期フォルダへ機密性の高い状態ファイルを置かない
• tools.fs.workspaceOnly: true でファイルアクセス範囲を狭くする
• 資格情報は私用と業務用で分ける

ブラウザ・Node・実行系の対策

ブラウザ操作や node pairing は便利ですが、公式でも管理者権限に近いものとして扱われています。ブラウザを別マシンで動かす場合も、tailnet内で意図的に pair し、不要ならブラウザ経路を閉じます。

• exec は不要なら deny
• ask: "always" を維持して人間の確認を残す
• remote browser control は public exposure を避ける
• node pairing は「管理者アクセス相当」と考える
• sandbox設定は「書いただけ」でなく実際の動作を確認する

公開前チェックリスト

公開前に、次の項目を上から順に確認すると抜け漏れが減ります。

必須チェック

• gateway.bind が本当に loopback または意図した安全な公開範囲になっている
• gateway.auth が有効で、長いランダムな秘密が設定されている
• dmPolicy が open になっていない
• tools.elevated.enabled が false
• group:runtime と group:fs が不用意に開いていない
• gateway.controlUi.dangerouslyDisableDeviceAuth が false
• gateway.controlUi.allowInsecureAuth が false

推奨チェック

• session.dmScope が per-channel-peer
• tools.fs.workspaceOnly が true
• requireMention: true がグループに入っている
• gateway.trustedProxies が正しく設定されている
• OPENCLAW_GATEWAY_PASSWORD または token の保管先が安全
• ~/.openclaw の権限が適切

実行コマンド

openclaw security audit
openclaw security audit --deep
openclaw doctor

openclaw security audit は、Gateway露出、dangerous flags、権限、プラグイン、モデル衛生などの典型的な足元を見直すのに役立ちます。設定変更後にも繰り返し回す運用が向いています。

運用中チェックリスト

OpenClaw セキュリティ対策は、初期設定だけでは終わりません。実運用に入ると、あとから広げた権限や例外設定がリスクになりやすいです。

週次チェック

• 新しく開けたツール権限が本当に必要か見直す
• 未使用のallowlist項目を整理する
• セッションログや資格情報の保存場所を再確認する
• security audit の警告が増えていないか確認する

変更時チェック

• 認証トークンやパスワードをローテーションしたか
• リバースプロキシ追加時に trustedProxies を更新したか
• 新しいプラグインや拡張機能を明示的に信頼できるか
• 公開範囲を広げたなら tool policy を逆に狭めたか

インシデント時チェック

• まずGateway停止または露出縮小
• gateway.bind: "loopback" へ戻す
• 認証情報をローテーションする
• ~/.openclaw/agents/<agentId>/sessions/*.jsonl とログを確認する
• openclaw security audit --deep を再実行する

よくある失敗パターン

便利さを優先して open にしてしまう

公開DMやグループを開けるのは簡単ですが、相手が未信頼なほど、先に削るべきは利便性ではなく権限です。

ローカルだから大丈夫だと思い込む

同一ホスト上の別プロセス、共有マシン、同期フォルダ、誤ったプロキシ設定があると、ローカル前提でも漏れることがあります。

sandbox設定を過信する

公式Security docsでも、sandbox modeがオフなのに sandbox向け設定だけ書いている「期待値ずれ」が警告対象です。設定名だけで安心せず、実際にどこでコマンドが走るかを確認します。

FAQ

OpenClawのセキュリティ対策で最優先は何ですか？

最優先は、gateway.bind: "loopback"、gateway.auth、dmPolicy: "pairing"、最小権限の4点です。最初にここを固めると、ほかの対策も意味を持ちやすくなります。

小規模チームで1つのGatewayを共有しても大丈夫ですか？

互いに信頼している小規模チームなら現実的なケースはあります。ただし、公式は hostile multi-tenant isolation を前提にしていないため、私用と業務用、不特定多数との共有は分離したほうが安全です。

openclaw security audit だけで十分ですか？

十分ではありませんが、とても重要です。auditは設定の足元を見つけるのに向いています。実際の運用では、権限設計、認証ローテーション、公開範囲、ログ確認も合わせて必要です。

まとめ

openclaw セキュリティ対策 の本質は、AIそのものを完全に信じることではなく、OpenClawが触れられる範囲を設計で狭くすることです。最初はローカル限定、認証あり、DMは承認制、ツールは最小権限、この4つから始めるのが堅実です。

公開や自動化を広げるほど、設定レビューと監査の頻度も上げる必要があります。迷ったときは、公式Security docsの hardened baseline に戻り、そこから必要な権限だけを1つずつ再解放する流れが安全です。

出典

1. OpenClaw Security
   https://docs.openclaw.ai/gateway/security
2. OpenClaw Configuration
   https://docs.openclaw.ai/gateway/configuration
3. OpenClaw Gateway Docs
   https://docs.openclaw.ai/gateway