OpenClawをまだインストールしていませんか?ワンラインインストールコマンドはこちら
curl -fsSL https://openclaw.ai/install.sh | bashiwr -useb https://openclaw.ai/install.ps1 | iexcurl -fsSL https://openclaw.ai/install.cmd -o install.cmd && install.cmd && del install.cmd- OpenClawは4つの主要な認証方法をサポートしています:Anthropic Claude OAuth、OpenAI API Key、ローカルモデルEndpoints、エンタープライズSSO。それぞれ異なるセキュリティ特性と設定手順を持ちます
- Anthropic Claude OAuthは標準のOAuth 2.0 Authorization Code Flowを使用し、静的API Keyよりも高いセキュリティを提供し、自動トークン更新と失効メカニズムをサポートします
- CrowdStrikeおよびCiscoのセキュリティ研究者が2026年初頭にOpenClawの認証アーキテクチャに深刻な弱点を公開しました。サードパーティSkillsによるAPIキー漏洩リスクを含みます
- エンタープライズデプロイでは、すべてのクレデンシャルを環境変数で管理し、API KeyやTokenをバージョン管理に書き込まないようにし、定期的なキーローテーション(90日ごと推奨)を実施すべきです
- マルチモデル切り替えシナリオでは、各モデルプロバイダーに独立した認証コンテキストを確立し、プロバイダー間のクレデンシャル汚染を防止すべきです
AIエージェント導入の波の中で、マルチモデル機能を統合するスーパーエージェントプラットフォームであるOpenClawの認証アーキテクチャは、従来のSaaSアプリケーションよりもはるかに複雑です。単一のOpenClawインスタンスが同時にAnthropic Claude、OpenAI GPT、DeepSeek、ローカルにデプロイされたOllamaモデルに接続する可能性があり、各プロバイダーにはそれぞれ固有の認証プロトコル、トークンライフサイクル管理、セキュリティ要件があります。
さらに複雑なことに、2026年初頭のThe Registerの調査では、OpenClaw SkillsマーケットプレイスのサードパーティスキルパッケージにAPIキー漏洩の脆弱性が含まれていることが判明し[7]、CrowdStrikeのセキュリティ調査でもプラットフォームの認証境界設計に悪用可能な弱点が特定されました[6]。このような状況下で、OpenClawの認証アーキテクチャを正しく理解し設定することは、「技術的な詳細」から「セキュリティクリティカルなタスク」へとエスカレートしています。
本ガイドでは、OpenClawのマルチモデル認証システムを包括的に解説します。Anthropic Claude OAuthのステップバイステップ設定からOpenAI API Keyの安全な管理、エンタープライズSSO統合からセキュリティ監査チェックリストまで、エンタープライズ技術チームに実行可能な運用マニュアルを提供します。
1. AIエージェント時代のID認証の課題
1.1 自律エージェントがもたらす新たなクレデンシャルリスク
従来のアプリケーションID認証は、ユーザーが「人間」であることを前提としています——リクエストの正当性を判断する認知能力と、異常時に操作を中止する意識を持っているという前提です。しかし、AIエージェントはこの前提を変えます。OpenClawが自律的に実行される場合、人間の監視なしに数百のAPI呼び出しを発行する可能性があります:データベースのクエリ、メール送信、コード実行、外部サービスの呼び出し——各操作に対応する認証クレデンシャルが必要です。
この「機械が人間の代わりに行動する」モデルは、従来の認証設計が十分に考慮していなかった3つのリスク次元を導入します。
クレデンシャルの拡散:OpenClawはAnthropic API Keys、OpenAI API Keys、Google Workspace Service Accounts、GitHub Personal Access Tokens、Slack Bot Tokensなど十数種類以上のクレデンシャルを同時に保持する可能性があります。いずれか1つの漏洩が単一のサービスを超えた影響を及ぼす可能性があります。
プロンプトインジェクション:攻撃者は外部データ(ウェブコンテンツ、メール本文、ドキュメント)に悪意のある指示を埋め込み、エージェントに無許可の認証操作を実行させることができます。Ciscoの調査レポートでは、OpenClaw環境におけるこのような攻撃の実現可能性が詳細に文書化されています[10]。
最小権限の原則の崩壊:エージェントに多様なタスクを達成させるため、開発者は過度に広い権限を付与する傾向があります。OWASP API Security Top 10では、「Broken Object Level Authorization」と「Broken Function Level Authorization」が常にトップ3にランクインしており[5]、AIエージェントのシナリオではこれらの問題が大幅に増幅されます。
2. OpenClaw認証アーキテクチャの概要
2.1 サポートされている認証方式マトリックス
以下の表は、主要モデルプロバイダーに対するOpenClawの認証サポートをまとめたものです[1]。
| プロバイダー | 認証方式 | トークン更新 | 失効サポート | セキュリティレベル |
|---|---|---|---|---|
| Anthropic Claude | OAuth 2.0 / API Key | あり(OAuth) | あり | 高 |
| OpenAI GPT | API Key | なし | 手動 | 中 |
| DeepSeek | API Key | なし | 手動 | 中 |
| Ollama(ローカル) | 認証なし / Bearer Token | なし | なし | 低(ネットワーク分離が必要) |
| Azure OpenAI | API Key / Azure AD | あり(Azure AD) | あり | 高 |
| Google Gemini | OAuth 2.0 / API Key | あり(OAuth) | あり | 高 |
3. Anthropic Claude OAuthの設定
3.1 OAuth 2.0 Authorization Code Flowの解説
AnthropicはOpenClawに標準のOAuth 2.0 Authorization Code Flowを提供しており、静的API Keyよりも安全です:アクセストークンには有効期限があり、失効でき、設定ファイルに機密クレデンシャルを永続的に保存する必要がありません[4]。
完全なOAuth認証フローは以下の通りです。
- ユーザーがOpenClaw設定画面で「Anthropicアカウントを接続」を選択
- OpenClawがランダムな
stateパラメータ(CSRF保護)とPKCEcode_verifierを生成 - ブラウザがAnthropicの認証エンドポイント
https://console.anthropic.com/oauth/authorizeにリダイレクト - ユーザーがAnthropic Consoleでログインし、認証スコープを確認
- AnthropicがAuthorization CodeをOpenClawのコールバックURLに返す
- OpenClawバックエンドがAuthorization CodeをAccess TokenとRefresh Tokenに交換
- トークンペアが暗号化された形で保存され、以降のAPI呼び出しに自動的にAuthorizationヘッダーが含まれる
このフローでは、ユーザーのAnthropicパスワードがOpenClawに一切触れないため、クレデンシャル漏洩リスクが大幅に低減されます[2]。
3.2 CLIでのsetup-tokenコマンドの使用
コマンドラインを好む上級ユーザーや自動デプロイシナリオ向けに、OpenClawは非対話型トークン注入をサポートするsetup-tokenサブコマンドを提供しています[9]。
# 対話型セットアップ(Provider CLIでTokenを作成)
openclaw models auth setup-token --provider anthropic
# OAuthログインフローでセットアップ
openclaw models auth login --provider anthropic
# 手動でAPI Keyを貼り付け
openclaw models auth paste-token --provider anthropic
# 設定済み認証を検証
openclaw doctor4. OpenAI API Keyの設定
4.1 OpenAIプラットフォームでのAPI Key生成
OpenAIは現在、静的API Key認証(Project API KeyまたはUser API Key)のみをサポートしています[3]。キー生成時は以下の原則に従うことをお勧めします。
Project API Keyの使用(強く推奨):Project API Keyの権限は特定のProjectにスコープされます。漏洩しても他のProjectやアカウントレベルの設定に影響しません。
4.2 OpenClawでのOpenAI API Key設定
OpenAI API Keyは3つの方法で設定でき、セキュリティの高い順に以下の通りです。
方法1:環境変数(最も推奨)
# シェルプロファイル(~/.zshrcまたは~/.bashrc)に設定
export OPENAI_API_KEY="sk-proj-..."
# OpenClawは起動時にこの環境変数を自動的に読み取ります
# 設定ファイルにクレデンシャルを書き込む必要はありません方法2:システムキーチェーン(macOS / Windows)
# macOS:CLIでKeychainに保存
openclaw models auth paste-token --provider openai絶対禁止:API Keyを平文のconfig.yamlフィールドに直接書き込むこと、またはキーを含む設定ファイルをGitバージョン管理にコミットすること。
5. オープンソースモデルの認証(DeepSeek、Ollama)
5.1 DeepSeek API Keyの設定
# 環境変数の設定
export DEEPSEEK_API_KEY="sk-..."
# OpenClaw設定(config.yaml)
models:
providers:
deepseek:
auth_method: api_key
base_url: https://api.deepseek.com/v1
model: deepseek-chat5.2 Ollamaローカルモデルの認証設定
Ollamaはデフォルトで認証なしモードでローカル実行し、localhost:11434のみをリッスンします。標準のローカルデプロイでは、OpenClawは認証クレデンシャルなしで直接接続できます。
# Ollamaサービスの実行確認
curl http://localhost:11434/api/tags
# OpenClaw設定(認証なしモード)
models:
providers:
ollama:
auth_method: none
base_url: http://localhost:11434
model: llama3.2ただし、Ollamaをリモートサーバー(内部GPUクラスターなど)にデプロイしている場合、認証メカニズムを追加する必要があります。さらに高いセキュリティのためには、Ollamaの前にリバースプロキシ(NginxやCaddyなど)を追加し、プロキシレイヤーでTLS暗号化とより包括的なアクセス制御を実装することをお勧めします。
6. マルチモデル切り替えの認証管理
6.1 認証コンテキスト分離の原則
マルチモデルシナリオで最も一般的なセキュリティミスは、異なるプロバイダーのクレデンシャルが同じ環境コンテキストを共有し、「クレデンシャル汚染」を引き起こすことです。
# プロバイダー固有の環境変数命名規則
export ANTHROPIC_API_KEY="sk-ant-..." # Anthropic
export OPENAI_API_KEY="sk-proj-..." # OpenAI
export DEEPSEEK_API_KEY="sk-..." # DeepSeek
export OLLAMA_BASE_URL="http://..." # Ollama(キー不要)
# OpenClawはプロバイダープレフィックスで環境変数を自動マッチング7. トークンセキュリティ管理ベストプラクティス
7.1 クレデンシャルストレージのセキュリティ階層
第1階層:システムキーチェーン(最高セキュリティ)
macOS Keychain、Windows Credential Manager、またはLinux Secret Service APIがOSレベルの暗号化ストレージを提供します。
第2階層:環境変数(高セキュリティ、サーバーデプロイに適)
環境変数はプロセスメモリに存在し、ディスクに書き込まれません。コンテナ化デプロイ(Docker/Kubernetes)では、Secretオブジェクトを使用して環境変数を管理します。
絶対禁止:平文の設定ファイルや環境変数ファイルをGitにコミットすること
# .gitignoreに以下のルールを含める必要があります
.env
.env.*
config.yaml
credentials.enc
**/secrets/**
*.pem
*.key7.2 キーローテーションスケジュール
| クレデンシャルタイプ | 推奨ローテーション周期 | 即時ローテーションのトリガー条件 |
|---|---|---|
| Anthropic API Key | 90日ごと | 人事異動、不審な使用、セキュリティインシデント |
| OpenAI API Key | 90日ごと | 同上 |
| DeepSeek API Key | 60日ごと | 同上 |
| OAuth Refresh Token | 180日ごと(または期限切れ時) | アカウントセキュリティインシデント |
| Ollama Bearer Token | 30日ごと | 異常なサーバーアクセスログ |
8. エンタープライズSSOとSAML統合
8.1 エンタープライズ認証アーキテクチャ設計原則
エンタープライズデプロイでは、OpenClawの認証アーキテクチャには3つのレイヤーにわたる完全なID管理システムが必要です。
ユーザーIDレイヤー:従業員がエンタープライズSSO(Okta、Azure AD、Google Workspaceなど)を通じてOpenClawにログインし、別個のアカウントクレデンシャルの管理が不要になります。
モデルプロバイダークレデンシャルレイヤー:企業が各AIプロバイダーのAPI Keyを一元管理し、従業員は実際のAPI Keyを見る必要も見ることもできません。
認可ポリシーレイヤー:ユーザーの役割に基づいて、どの従業員がどのAIモデル、どの機能を使用でき、月間使用量の上限はいくらかを決定します。
9. 一般的なエラーとトラブルシューティングガイド
9.1 認証エラーコードクイックリファレンス
エラー:AUTH_401: Invalid API Key
原因:API Keyのフォーマットエラー、キーが失効または期限切れ。
トラブルシューティング手順:
- API Keyが完全にコピーされたことを確認(余分なスペースや改行がないか)
- 対応するプロバイダーのコンソールでキーの状態を確認
- 環境変数を使用している場合、
echo $ANTHROPIC_API_KEYを実行して値を検証 - 新しいキーを再生成し、設定を更新
エラー:AUTH_403: Permission Denied
原因:API Keyは有効だが権限が不十分。
エラー:OAUTH_TOKEN_EXPIRED
原因:OAuth Access Tokenが期限切れで、Refresh Tokenの更新に失敗。
# 認証フローを再実行
openclaw models auth login --provider anthropic
# モデルステータスを確認
openclaw models status10. セキュリティ監査チェックリスト
10.1 初回デプロイセキュリティ監査
クレデンシャル管理
- すべてのAPI Keyが環境変数またはシステムキーチェーン経由で保存されている——設定ファイルに平文がない
.gitignoreにすべての機密ファイルタイプのルールが含まれている- Git履歴にAPI KeyやTokenが含まれていない(
git secrets --scan-historyで検証済み) - 各AIプロバイダーに月間使用量上限とアラートが設定されている
- キーローテーションスケジュールが確立され、カレンダーリマインダーが設定されている
OAuth認証
- Anthropic OAuthが必要最小限のScopeで設定されている(過剰な認可がない)
- OAuthコールバックURLがHTTPSのみを受け入れる(本番環境)
- 自動トークン更新メカニズムがテストおよび検証済み
Skillsセキュリティ
- インストール済みの全Skillsのソースと権限要求が評価済み
- 信頼できるソースからのSkillsのみがインストールされている
- Skillsサンドボックスルールが設定され、Skillsがモデルプロバイダーのクレデンシャルにアクセスするのを防止
10.2 セキュリティインシデント対応手順
APIキー漏洩や認証異常が疑われる場合、以下の優先順位で対応すべきです。
- 即時(0〜15分):影響を受けるすべてのAIプロバイダーコンソールで不審なキーを即座に失効;OpenClawインスタンス上のすべての自動化タスクを停止;セキュリティチームに通知
- 短期(15〜60分):新しい代替キーを生成し、関連するすべてのサービスを更新;漏洩元を調査(ログ分析、Git履歴スキャン);漏洩期間中の異常使用を評価
- 中期(1〜24時間):インシデント調査レポートを完成;漏洩の根本原因を特定し修正;セキュリティポリシーと運用手順を更新
- 長期(次の30日間):監視メカニズムを強化;従業員のセキュリティ意識トレーニング;より厳格なクレデンシャル管理ツール(HashiCorp Vaultなど)の導入を検討
OpenClawの認証アーキテクチャ設計では、利便性とセキュリティの間で継続的なバランスとトレードオフが必要です。AIエージェントの機能が強化され続ける中、このバランスポイントは常に移動しています:エージェントができることが増えるほど、対応する認証セキュリティ要件も高くなります。エンタープライズ技術チームには、OpenClawの認証管理を一回限りの設定タスクではなく、継続的に進化するエンジニアリング課題として扱うことをお勧めします。
本ガイドは基本的なAPI Key設定からエンタープライズグレードのSSO統合までをカバーしていますが、実際のデプロイでは必ず特殊な状況が発生します。お客様固有のエンタープライズ環境に合わせた認証アーキテクチャ設計のコンサルティングについては、Meta Intelligenceの技術コンサルティングチームにお問い合わせください。OpenClawのデプロイアーキテクチャを評価し、カスタマイズされたセキュリティ設計の推奨事項を提供いたします。
