メルカリのClaude Codeセキュリティ組織展開戦略

メルカリのClaude Codeセキュリティ設定の組織展開戦略、めちゃくちゃ実践的で参考になる。 ▼ 以下要点メモ Claude Codeは便利だけど、コマンド実行・ファイル読み書き・Web取得ができる＝PCの認証情報や重要ファイルへのリスクがある。 そこでメルカリがやった5つの対策： ① bypassモード禁止（人間が必ず確認） ② curl等の危険コマンドは都度確認 ③ 環境変数読み込み・sudo禁止 ④ Sandboxでディレクトリ外操作・ネットワーク制限 ⑤ システムプロンプトにセキュリティポリシー埋め込み で、これを全社員にどう届けるか？ → MDM（端末管理）で一斉配布。 社員は何もしなくても安全な設定が入った状態になる。 ただ、MDM設定は「最高優先度」で適用される＝社員が上書きできない。 すると： ・エンジニア →「カスタマイズさせてくれ」 ・非エンジニア →「最初から安全にしてくれ」 → 両方を満たす1つの設定は存在しない。 メルカリの解決策：MDMから「社員の属性（エンジニア/非エンジニア）」を判別し、それぞれに別の設定セットを配布する二層構造に。 エンジニアには安全性を保ちつつカスタマイズ可能な設定、非エンジニアには最も安全な設定をそのまま提供。 大企業でClaude Codeを全社導入する際の「設定をどう配るか」問題、まさにこれから多くの企業がぶつかる課題だと思うので、MDMで一律配布→属性別に分離、という実践的な知見は貴重。