ハードコードされた値からの解放：現代のソフトウェアのためのよりスマートな戦略

インコム 2026 年 6 月 3 日データ管理, 衝撃分析ソフトウェア, Tech Talk（テクニカルトーク）

ハードコードされた値は、一見すると手っ取り早い方法のように見えます。開発者がデータベースのURLを必要とする場合、それを接続文字列に直接入力して先に進みます。3か月後、URLが変更され、1つのファイルでは変更が反映されたものの、他の4つのファイルでは変更が見落とされ、午前2時に本番環境が停止します。開発者がAPIキーを必要とする場合、それをソースファイルに入力し、コミットしてプッシュします。6か月後、リポジトリがクローンされ、キーがパブリックフォークに現れ、誰も気づかないうちにアカウントが侵害されます。これらは例外的なケースではありません。これらは、ソフトウェアシステムにおけるハードコードされた値の典型的な軌跡です。一見無害に見える手っ取り早い方法が、メンテナンスの負担、セキュリティインシデント、デプロイメントの失敗へと積み重なっていくのです。

ハードコードされた値を見つけて削除する

ハードコーディングされた値を排除する

もっと詳しく知る

解決策は複雑ではありません。環境変数、設定ファイル、依存性注入、集中定数は、主要なプログラミング言語やフレームワークで広く利用されている、よく知られたパターンです。課題は、既存のコードベース全体にこれらのパターンを体系的に適用し、新規コードにも適用を徹底させ、本番環境に到達する前に問題を発見するための規律を確立することです。以下では、Python、Java、JavaScriptのコード例を交えながら、これらの課題を解決するために必要なすべてのテクニックを解説します。

ハードコードされた値とは何ですか？

ハードコードされた値とは、設定、環境変数、データベース、または実行時入力によって提供されるのではなく、ソースコードに直接埋め込まれたリテラル定数のことです。その決定的な特徴は間接的な処理がないことです。値を変更するためにソースコードの変更、再コンパイル、またはアプリケーションの再デプロイが必要な場合、それはハードコードされた値です。

一般的な例：

設定クラスに直接入力されたデータベース接続文字列
ソースファイル内のAPIキーまたはアクセストークン
特定の環境を指すサービスURL
数値しきい値（if (amount > 5000)説明や外部ソースなし
特定のサーバーレイアウトを前提としたファイルパス
ユーザーロール文字列（"admin"認証チェック全体に散在している

ハードコードされた値は、あらゆる言語、あらゆるコードベースに存在します。従来のメインフレームアプリケーションでは、環境固有のデータセット名、リージョンコード、ビジネスしきい値がCOBOLプログラムに直接エンコードされていました。最新のマイクロサービスでは、ハードコードされたタイムアウト値、再試行回数、サービス検出URLがアプリケーションクラスに蓄積されます。形式は言語によって異なりますが、問題は同じです。

ハードコードされた値と定数：違いは何ですか？

ハードコードされた値は定数と混同されがちですが、その区別は重要です。定数は、定義上正しく、変更される可能性が低い、安定した意図的なドメインレベルの事実を表します。 Math.PI, HTTP_STATUS_OK = 200, MAX_RETRY_ATTEMPTS = 3 （もし3が全ての状況において本当に正しい場合）。定数はコードにおいて適切です。定数を使うことで、コードの明瞭性が向上し、タイプミスを防ぎ、意図を明確にすることができます。

ハードコードされた値は、展開コンテキスト、インフラストラクチャ、またはビジネスルールに関する前提条件をエンコードしており、これらの前提条件は変動することが想定されます。本番データベースのURL、APIキー、地域固有の税率、機能フラグの状態などは、定数を装ったハードコードされた値です。テストは簡単です。異なる環境、顧客、またはリリースで値が異なる必要がある場合、それは定数ではなく、ソースコードに含めるべきではありません。

ソフトコーディングとは何ですか？

ソフトコーディングとは、コンパイル時に値を固定するのではなく、実行時に設定可能にする手法です。ソフトコーディングされた値は、ソースコードを変更したりアプリケーションを再デプロイしたりすることなく、設定ファイル、環境変数、データベースエントリ、または管理インターフェースを通じて変更できます。ソフトコーディングは、環境固有の設定、ビジネスパラメータ、機能フラグ、および開発環境、ステージング環境、本番環境間で異なる必要がある可能性のあるあらゆる値に対して適切なアプローチです。

ハードコーディングとソフトコーディングの違いは、税率を更新するためにコード変更とデプロイメントが必要なシステムと、運用チームのメンバーが設定ファイルを更新してサービスを再起動するだけで済むシステムの違いに相当します。大規模なシステムでは、この違いは数千時間ものエンジニアの作業時間と重大な運用リスクにつながります。

ハードコーディングがなぜ悪い習慣なのか

保守性を損なう

ハードコードされた値は増殖します。あるファイルにハードコードされたサービスURLは、モジュールが新しい統合のためにコピーされると、5つのファイルにハードコードされることになります。ある計算式に現れるマジックナンバーは、同じロジックがわずかに異なるコンテキストで複製されると、3つの計算式に現れます。それぞれのインスタンスは個別の保守義務となります。つまり、インスタンスを見つけ、更新し、更新をテストし、インスタンスの漏れがないことを祈るしかありません。

保守性の問題は、単に労力の問題だけではありません。リスクの問題でもあります。コードベース全体にわたってハードコードされた値を更新するための検索置換は、本番環境に影響を与えるリファクタリング操作です。見落とした箇所があればバグです。誤った置換もバグです。変更が完了したことを確信できる唯一の方法は、残っている箇所があれば失敗する自動テストを用意することですが、ハードコードされた値があると、まさに自動テストの作成が難しくなります。

テストとCI/CDを阻害する

自動テストは、管理された環境で実行する必要があります。接続文字列がハードコードされているために本番データベースに接続するテストは、テストではなく、ビルド中にたまたま実行される本番操作です。ハードコードされたサービスURLがビルドサーバーからアクセスできないためにCIパイプラインが中断するのは、テストインフラストラクチャの問題ではなく、ハードコーディングの問題です。

環境変数と設定の注入は、異なるバックエンドサービスを使用するローカル開発環境、CI環境、ステージング環境、本番環境など、あらゆる環境で同じテストスイートを実行可能にするものです。これらがなければ、テストは環境固有のものとなり、不安定になり、最終的には放棄されてしまいます。

深刻なセキュリティ脆弱性を生み出す

ハードコードされた認証情報は、ソフトウェアセキュリティにおいて最も一般的で、最も悪用されやすい脆弱性の一つです。バージョン管理システムにコミットされたハードコードされたAPIキー、データベースパスワード、またはアクセストークンは、現在のブランチから削除された後もリポジトリの履歴に残ります。自動スキャナーは、これらのパターンを継続的にパブリックリポジトリで検索します。18か月前のコミットで見つかったキーは、一度もローテーションされていなければ、依然として有効です。

OWASPは、ハードコードされたパスワードを重大なセキュリティ上の欠陥（CWE-259、CWE-798）として明確に指摘しています。NISTのガイドラインでは、認証情報をソースコードに保存してはならないと規定されています。にもかかわらず、ハードコードされた値を介した認証情報の漏洩は、クラウドセキュリティインシデントの最も一般的な原因の一つとなっています。

リスクは認証情報だけにとどまりません。ハードコードされた内部サービスURLはインフラストラクチャのトポロジーを露呈します。ハードコードされたユーザーロール文字列は認証ロジックを露呈します。ハードコードされた検証しきい値は、攻撃者がその正確な値を知っていれば回避可能です。これらはどれもセキュリティリスクとしてすぐに認識できるものではないため、対処されないまま蓄積されていきます。

ハードコードされた認証情報とAPIキー：最もリスクの高いカテゴリ

ハードコードされた秘密情報は、その扱いを誤った場合の結果が他のハードコーディングの問題とは根本的に異なるため、特別な扱いが必要です。ハードコードされたタイムアウト値はバグを引き起こしますが、ハードコードされたAPIキーは情報漏洩につながります。

ハードコードされた認証情報の例

パイソン

# Python -- hardcoded database credentials (never do this)
connection = psycopg2.connect(
    host="prod-db.internal.example.com",
    database="accounts",
    user="app_service",
    password="s3cr3tP@ssword!"   # hardcoded secret in source code
)

# Python -- correct approach: load from environment
import os
connection = psycopg2.connect(
    host=os.environ["DB_HOST"],
    database=os.environ["DB_NAME"],
    user=os.environ["DB_USER"],
    password=os.environ["DB_PASSWORD"]
)

ジャワ

// Java -- hardcoded API key (never do this)
private static final String API_KEY = "sk-prod-a1b2c3d4e5f6g7h8i9j0";

// Java -- correct approach: load from environment
private static final String API_KEY = System.getenv("OPENAI_API_KEY");

ハードコードされた認証情報を修正する方法

環境変数 これらは、デプロイされたアプリケーションにおけるシークレットの標準的なソリューションです。シークレットはデプロイ環境（サーバー、コンテナ、Kubernetesシークレット、またはクラウドシークレットマネージャー）に設定され、実行時にアクセスされます。ソースコードにはシークレットの値は含まれておらず、取得に使用されるキー名のみが記述されています。

秘密管理サービスAWS Secrets Manager、HashiCorp Vault、Azure Key Vault、Google Secret Managerなどは、サービス間でシークレットをローテーション、監査、分散するための、本番環境レベルのソリューションです。アプリケーションは、環境変数からではなく、起動時（または必要に応じて）にVaultからシークレットを取得するため、再デプロイなしでローテーションが可能になり、すべてのアクセスに関する完全な監査ログが記録されます。

.env ファイル （次のようなライブラリを使用する） python-dotenv or dotenv Node.js の `環境変数` はローカル開発に適しています。環境変数と同じインターフェースを提供しますが、ローカルファイルから読み込みます。重要なルールは次のとおりです。 .env ファイルは .gitignore そして決して実行してはならない。

既に実行された秘密を検出する: 秘密情報がハードコードされてコミットされている場合、それは侵害されたとみなされ、直ちにローテーションする必要があります。現在のブランチから値を削除しても、git の履歴からは削除されません。次のようなツール git-filter-branch または、BFG Repo Cleaner で履歴を削除することもできますが、コミット後には秘密情報が漏洩していると考えるのが最も安全です。

ハードコードされたAPIキーを防止する方法

サードパーティAPIキーの場合、ハードコーディングの代替手段は状況によって異なります。

サーバー側アプリケーション環境変数またはシークレット管理サービス
CI / CDパイプラインパイプラインのシークレット変数（GitHub Actionsのシークレット、GitLab CIの変数）
モバイルアプリケーションAPIキーはクライアント側のコードに決して含めてはいけません。サーバー側に保存されたキーを使用してAPIを呼び出すバックエンドプロキシを使用してください。
AIエージェントとLLMの統合エージェントの初期化時に環境からAPIキーを読み込み、プロンプトや関数呼び出しでハードコードされた文字列として渡さないでください。

IBM i 上の RPG セキュアコーディングも同じ原則に従います。つまり、環境固有の接続パラメータは、プログラムソースにエンコードするのではなく、外部データ領域、データキュー、またはシステム値に格納する必要があります。

ハードコードされた値を防止する方法：コードを含む完全なパターン

環境変数

環境変数は最も汎用性の高い解決策です。主要なオペレーティングシステム、クラウドプラットフォーム、コンテナ化システム、およびデプロイメントフレームワークはすべて環境変数をサポートしています。

パイソン

# Python: load all configuration from environment
import os
from dotenv import load_dotenv

load_dotenv()  # loads .env file in development; ignored in production

DATABASE_URL = os.environ["DATABASE_URL"]
API_BASE_URL = os.environ.get("API_BASE_URL", "https://api.example.com")
MAX_RETRIES  = int(os.environ.get("MAX_RETRIES", "3"))
DEBUG_MODE   = os.environ.get("DEBUG", "false").lower() == "true"

ジャバスクリプト

// Node.js: access environment variables
require('dotenv').config();  // load .env in development

const config = {
  dbUrl:      process.env.DATABASE_URL,
  apiKey:     process.env.API_KEY,
  port:       parseInt(process.env.PORT, 10) || 3000,
  debug:      process.env.NODE_ENV !== 'production',
};

ジャワ

// Java: environment variables via System.getenv()
public class AppConfig {
    public static final String DB_URL  = System.getenv("DATABASE_URL");
    public static final String API_KEY = System.getenv("THIRD_PARTY_API_KEY");
    public static final int    TIMEOUT = Integer.parseInt(
        Optional.ofNullable(System.getenv("REQUEST_TIMEOUT_MS")).orElse("5000")
    );
}

構成ファイル

設定ファイルは、環境固有ではあるが機密ではない値、サービス名、機能フラグ、ページネーションサイズ、キャッシュの有効期限などを外部化します。

ヤムル

# config/production.yaml
database:
  host: prod-db.internal
  port: 5432
  pool_size: 20

api:
  base_url: https://api.partner.com/v2
  timeout_ms: 3000
  max_retries: 3

features:
  new_checkout: true
  beta_dashboard: false

パイソン

# Load at startup; never hardcode the values it contains
import yaml

with open(f"config/{os.environ['APP_ENV']}.yaml") as f:
    config = yaml.safe_load(f)

timeout = config["api"]["timeout_ms"]

依存性注入

依存性注入では、コンポーネントが独自の構成を作成または取得するのではなく、構成済みの値をコンポーネントに渡します。これにより、コンポーネントを個別にテストしたり、環境ごとに構成したりすることが可能になります。

ジャワ

// Spring Boot: inject configuration via @Value
@Service
public class PaymentService {
    @Value("${payment.api.url}")
    private String apiUrl;

    @Value("${payment.api.timeout-ms}")
    private int timeoutMs;

    // No hardcoded URL or timeout anywhere in this class
    public PaymentResult process(Payment payment) {
        // uses apiUrl and timeoutMs injected from application.properties
    }
}

パイソン

# Python: simple constructor injection
class EmailService:
    def __init__(self, smtp_host: str, smtp_port: int, api_key: str):
        self.smtp_host = smtp_host
        self.smtp_port = smtp_port
        self.api_key   = api_key

# Wire at application startup, reading from environment
email_service = EmailService(
    smtp_host=os.environ["SMTP_HOST"],
    smtp_port=int(os.environ["SMTP_PORT"]),
    api_key=os.environ["EMAIL_API_KEY"],
)

集中管理された定数と列挙型

設計上固定されている値、HTTPステータスコード、ドメイン固有の状態、プロトコル識別子などは、文字列リテラルとして散在させるのではなく、単一の名前付き定数モジュールにまとめるべきです。

パイソン

# Python: centralised constants
from enum import Enum

class OrderStatus(Enum):
    PENDING   = "pending"
    CONFIRMED = "confirmed"
    SHIPPED   = "shipped"
    DELIVERED = "delivered"
    CANCELLED = "cancelled"

# Usage: no magic strings scattered across modules
if order.status == OrderStatus.CONFIRMED:
    notify_warehouse(order)

ジャワ

// Java: enum with business meaning
public enum UserRole {
    ADMIN("admin"),
    EDITOR("editor"),
    VIEWER("viewer");

    private final String value;
    UserRole(String value) { this.value = value; }
    public String getValue() { return value; }
}

// Replaces scattered "admin", "editor", "viewer" strings
if (user.getRole() == UserRole.ADMIN) {
    grantFullAccess(user);
}

特定の言語でのハードコーディング

Pythonにおけるハードコーディングとは何ですか？

Python では、ハードコーディングは、URL や認証情報に対する文字列リテラル、ビジネスロジック内の数値定数、特定のディレクトリ構造を前提としたファイルパスとして最も一般的に見られます。 os.environ and python-dotenv 環境ベースの設定のための標準的なメカニズムです。 configparser このモジュールはINI形式の設定ファイルを処理します。 pydantic-settings 環境変数からデフォルト値付きの型検証済み設定を提供します。これは、本番環境のPythonサービスで推奨される方法です。

Pythonにおけるハードコードされた値の検出：Bandit（パスワードやキーなどのセキュリティ関連のハードコード用）、Pylint、Semgrepなどの静的解析ツールは、ハードコードされた認証情報やマジックナンバーを自動的に識別できます。

Javaにおけるハードコーディングとは何ですか？

Javaでは、ハードコードされた値はしばしば次のように表示されます。 private static final String フィールド、 @Value インラインデフォルト値を持つアノテーションは外部化されるべきであり、ビジネスロジック内のリテラルも同様である。Spring Bootの application.properties and application.yml ファイルは標準的な外部化メカニズムである。 @ConfigurationProperties-注釈付きクラスは、YAMLファイルまたはプロパティファイルから型安全で検証済みの設定オブジェクトを提供します。

Javaにおけるハードコードされた値の検出：SpotBugsの「セキュリティバグ検出」プラグインは、ハードコードされた認証情報を検出します。SonarQubeは、マジックナンバー、ハードコードされたURL、およびハードコードされたパスワードを検出します。 SMART TS XLのエンタープライズ分析は、Javaコードベースに加え、COBOLやその他のレガシー言語も対象としています。

レガシーコードとメインフレームコードにおけるハードコーディング

IBMメインフレームおよびミッドレンジシステム上のCOBOL、RPG、PL/Iプログラムには、DDステートメントに埋め込まれたデータセット名、プログラムロジック内の環境識別子、プログラムに直接コンパイルされるビジネスしきい値など、特定のハードコーディングパターンが存在します。これらの値を外部化するには、システムパラメータ（SYSPARM）、外部データ領域、DB2の構成テーブル、パラメータ化されたJCLなど、メインフレームに対応したツールが必要です。これらのパターンを大規模に検出するには、メインフレーム言語を理解する静的解析ツールが不可欠です。

実世界のコードリファクタリング：ハードコーディングから設定可能へ

3段階リファクタリングアプローチ

フェーズ1：発見。 コードベース全体に対して静的解析を実行し、ハードコードされた値のインベントリを作成します。このインベントリは、タイプ（認証情報、URL、ビジネスロジック、マジックナンバー）とリスクレベルごとにグループ化されます。認証情報と本番環境固有の値には優先順位を付けます。

フェーズ2：カテゴリー別に外部化する。 まず、認証情報（最もリスクが高い）から着手します。すべての機密情報を環境変数またはシークレットマネージャーに移動します。次に、環境固有のURLとサービス名に対処します。その後、ビジネスロジックのしきい値に対処します。最後に、マジックナンバーを名前付き定数または構成値に置き換えることで対処します。

フェーズ3：実施。 CIパイプラインに、新たにハードコードされた認証情報に対してエラーとなる静的解析チェックを追加します。マジックナンバーを検出するリンティングルールを追加します。コードレビューチェックリスト項目を追加します。目標は、ハードコードされた値を追加するよりも、正しいパターンを使用する方が簡単になるようにすることです。

レガシープロジェクトにおけるハードコードされた値の特定

長年にわたってハードコードされた値が蓄積されてきたレガシープロジェクトでは、次のようになります。

　 grep またはリポジトリ検索で共通パターンを検索:接続文字列、 password, apikeyIPアドレスパターン、およびよく知られたサービス名
静的解析ツール (Bandit、SonarQube、Semgrep、 SMART TS XL手動でファイルごとに確認することなく、完全な在庫リストを取得する
以前コミットされ削除されたシークレットについては、Gitの履歴を確認してください。それらはリポジトリの履歴から引き続きアクセスできます。
複数のファイルに同じ値が存在する場合、それらは一元化の候補となります。

ハードコードされた値が導入されるのを防ぐ

コミット前のフック: 資格情報スキャンを実行します (例: detect-secrets, git-secrets, truffleHog）リポジトリに到達する前にすべてのコミットに対して
CIパイプラインゲート: 新たに導入された認証情報またはマジックナンバーに関する静的解析結果を含むビルドを失敗させる
コードレビューチェックリストチームのレビュープロセスにおける設定の外部化に関する明示的な項目
開発者オンボーディング: 正しいパターンをデフォルトにし、環境変数と .env.example file

認定条件 SMART TS XL 大規模なハードコード値を排除

小規模なコードベースであれば、手動検索やgrepで明らかなハードコード箇所を見つけるのは十分です。しかし、COBOL、Java、Python、.NET、RPG、SQLなど、数百万行に及ぶエンタープライズシステムでは、包括的なハードコード値の検出には自動化された構造分析が必要です。 SMART TS XL これらの言語すべてに対して同時に静的解析を実行し、以下を識別する統一された相互参照モデルを構築します。

接続パラメータおよび認証呼び出しにおけるリテラル文字列値は、潜在的な認証情報漏洩としてフラグ付けされています。
ビジネスロジック内のマジックナンバーを構成可能なベースラインと比較し、モジュール間で一貫性のない値や、異なる場所で異なる値を示す値を特定します。
複数のファイルにまたがって出現するものの、論理的に同じ目的を果たす重複したリテラル値は、一元化の機会を示唆している。
COBOLプログラムにおける環境固有の識別子をエンコードする値は、通常JCLパラメータを通じて管理される。
リファクタリングの決定を行う前に、ハードコードされた値からシステム全体へのデータフローパスを示し、どの下流操作がそれらに依存しているかを示します。

その静的コード分析機能は在庫を提供します。影響分析機能は、ハードコードされた値が置き換えられたときに何が影響を受けるかを示します。レガシーの近代化この機能は、同じ論理値がメインフレームプログラムとJavaサービスにそれぞれ独立してハードコーディングされているような、言語やプラットフォームを跨いだシナリオにも適用され、個別の修正ではなく、連携した修復が必要となります。

特にセキュリティ負債を管理するチームにとって、 SMART TS XLのハードコードされた認証情報の検出機能は、ビルドゲートとしてCI/CDパイプラインに統合されます。ハードコードされた秘密情報を導入する新しいコミットは、コードが公開される可能性のあるリポジトリに到達する前に、ビルドを自動的に失敗させます。

ハードコーディングは知識の問題ではなく、規律の問題である

値をハードコーディングする開発者のほとんどは、そうすべきではないことを承知している。環境変数が存在すること、設定ファイルが正しい方法であること、認証情報をソースコードに含めてはならないことは、広く知られ、広く理解されている。問題は知識不足ではなく、プレッシャーの中で規律を守れないことにある。

納期が迫っていると、環境変数の設定が面倒に感じられる。レガシーコードベースでは、値をそのままにしておくよりも外部化の方がリスクが高いように思える。オンボーディングが不十分な大規模チームでは、新人開発者が既存の間違ったパターンを安易にコピーしてしまう可能性がある。したがって、組織規模でハードコーディングに対処するには、ドキュメント作成以上のものが必要となる。間違ったパターンが正しいパターンよりも難しくなるような、自動化された強制措置が必要なのだ。

機密情報を含むコミットを拒否するプリコミットフック、新しいマジックナンバーで失敗するCIパイプライン、設定の外部化について明示的に質問するコードレビューチェックリスト、コードベース内の既存のハードコードされた値の全範囲を明らかにする静的解析ツール。これらは、正しいアプローチを知ることと、それを一貫して適用することの間のギャップを埋めるメカニズムです。この記事のコード例とパターンは、技術的な基盤を提供します。そして、それらを定着させるのは、強制メカニズムなのです。