Shota Nakayama
Composioを安全に使うための基本設定
2026年05月24日
Shota Nakayama
2026年05月24日
見出しはありません
要約を生成中...
このページはComposioを使う時に、普段から確認しておきたい安全設定と、トラブル時にどう動くかをまとめた常設のセキュリティドキュメントです。
基本方針はシンプルです。
普段は Composio FOR YOU を使う
Enhanced Controlをオンにする
APIキーは人に見せない、漏れたら作り直す
可能ならIP allowlistingを使う
セキュリティ問題が起きている時は、無理に使わず落ち着くまで待つ
大事な前提:APIキーや外部アプリの接続情報は、パスワードに近いものです。スクリーンショット、チャット、Notion、Google Docsなどにそのまま貼らないでください。
普段使うのは、左上に FOR YOU と表示されているComposio画面にしてください。
Developer Platformは、開発者が自分のアプリやプロジェクト単位でComposioを管理するための画面です。日常的に確認する入口としては、まず FOR YOU 側を見れば大丈夫です。
Composio FOR YOU側の設定で、Enhanced Control をオンにしておきます。
Enhanced Controlは、MCPやAIエージェントがComposioのツールを使う時に、保存済みの承認ルールや権限ポリシーを反映しやすくするための設定です。
非エンジニア向けに言うと、これは「AIが外部ツールを使う時に、毎回なんでも自由に動ける状態にするのではなく、あらかじめ決めた許可ルールを効かせるための安全装置」です。
たとえば、Google Calendar、Gmail、Slack、Google SheetsなどをComposio経由で使う場合、AIが外部サービスにアクセスします。その時に、何を許可するか、どの接続に対して承認済みルールを使うかを管理しやすくするのがEnhanced Controlです。
ざっくり言えば:Enhanced Controlは「AIに外部アプリを使わせる時の許可ルールを効かせる設定」です。Composio FOR YOUを使う場合は、基本オンにしておくのがおすすめです。
場所は、FOR YOU → Settings → General です。
画面内に Enable Enhanced Control というトグルがあるので、オンになっているか確認してください。
オフのままだと、Composioに保存している承認ルールや接続ごとのポリシーが、MCPセッションに反映されにくくなる可能性があります。特別な理由がなければオンにしておきましょう。
APIキーは、Composioを外部ツールから使うための鍵です。
APIキーを持っている人やプログラムは、Composioに対して操作できる可能性があります。つまり、APIキーはパスワードと同じくらい慎重に扱う必要があります。
APIキーをチャットやスクリーンショットに載せない
APIキーをメモやドキュメントにそのまま貼らない
必要がない人に共有しない
不要になったキーは削除する
たとえば、Composio側でセキュリティ問題が起きた場合や、APIキーを誰かに見せてしまった可能性がある場合は、APIキーを入れ替えます。
APIキーを入れ替えたら、Composioを使っている設定も新しいキーに差し替えます。差し替え後は、普段使っている一番小さい操作を1つだけ試してください。
迷った場合:APIキーを見せてしまったかもしれない、漏れたかもしれない、と思ったら、古いキーを使い続けずに新しいキーへ入れ替えてください。
API設定ページ:https://dashboard.composio.dev/nakashodayon/~/connect/settings/sessions
Composioでは、APIキーを使えるIPアドレスを制限する IP allowlisting を設定できます。
Composio IP Allowlist Settings
IP allowlistingは、指定した場所からしかAPIキーを使えないようにする設定です。
たとえば、会社や自宅の固定IPが分かる場合は、そのIPだけを許可することで安全性を上げられます。
一方で、固定IPが分からない場合や、設定に自信がない場合は、無理に設定しなくて大丈夫です。間違って設定すると、正しい操作まで動かなくなることがあります。
よく分からない場合は、まずAPIキーを安全に扱うことと、Enhanced Controlをオンにすることを優先してください。IP allowlistingは、固定IPが分かる人だけ設定すれば大丈夫です。
Composioや接続先サービスでセキュリティ問題が起きている時は、無理に接続作業を進めないでください。
特に、Connectボタンを押しても進まない、画面が不安定、公式からメンテナンスや調査中の案内が出ている、という場合は、いったん止めて大丈夫です。
このような時の基本行動は次の通りです。
公式案内を確認する(基本Gmailに問題発生時に通知が来ます)
必要ならAPIキーを入れ替える
新しい接続や再接続を急がない
Composio経由の重要な操作は一時的に控える
メンテナンスや復旧案内が出てから再確認する
判断に迷う場合:トラブル中は「急いで触る」より「止める」「待つ」「確認する」を優先してください。
Composio FOR YOUを使う
Settings → GeneralでEnhanced Controlをオンにする
APIキーを人に見せない
APIキーが漏れた可能性がある時は入れ替える
固定IPが分かる場合だけIP allowlistingを設定する
セキュリティ問題が起きている時は無理に使わず、公式案内を確認する
仕様や画面は変わることがあります。最新情報はComposioの公式ページを確認してください。
コメント
まだコメントはありません。