APIキーとは
APIキーは、プラットフォームが生成する一組の認証情報で、API KeyとSecret Keyで構成されます。この認証情報を使うことで、サードパーティのプログラムが手動ログインなしに、残高の照会、注文の発注、相場データの取得などの操作をあなたの代わりに実行できます。
APIキーは「機能が制限されたスペアキー」と考えるとわかりやすいでしょう。ログインパスワードは何でもできる「マスターキー」ですが、APIキーはあなたが許可した操作のみ実行できます。
APIキーが必要な人
クオンツトレーダーが最も主要なユーザー層です。自動売買プログラムを作成し、APIを通じてBinanceのサーバーと通信して自動的に売買を実行する必要があります。
サードパーティの取引ツールを使用するユーザーもAPIキーが必要です。チャート分析ソフト、自動コピートレードプラットフォーム、税金計算ツールなど、APIを通じてアカウントデータを読み取る必要があるツールが該当します。
また、Binanceエコシステム関連のアプリケーション開発を行う開発者も、BinanceのデータインターフェースにアクセスするためにAPIキーの申請が必要です。
APIキー申請の前提条件
Binanceアカウントの本人確認(KYC)が完了しており、かつ二要素認証(2FA)が有効になっている必要があります。Google Authenticatorまたは SMS認証のいずれかが利用可能です。2FAが有効になっていないアカウントではAPIキーを作成できません。
APIキー作成の詳細手順
ステップ1:API管理ページに移動
Binance公式サイトにログインし、右上のユーザーアイコンをクリックして、ドロップダウンメニューから「API管理」を選択します。直接API管理ページにアクセスすることも可能です。
ステップ2:APIキーの種類を選択
Binanceでは2種類のAPIキーが提供されています。システム生成キーと、自己生成キー(RSAまたはEd25519)です。ほとんどのユーザーには「システム生成」を選べば十分です。非対称暗号化の原理を理解している上級開発者であれば、より高いセキュリティを得るために自己生成キーを選択できます。
ステップ3:ラベルの設定
APIキーにラベル名を入力します。例えば「クオンツ戦略A」や「相場モニタリング」などです。このラベルは異なる用途のAPIキーを区別するためのもので、機能には影響しません。
ステップ4:セキュリティ認証の完了
システムが二要素認証の完了を要求します。メール認証コード、SMS認証コード、Google Authenticator認証コードのうち、2つまたはすべてが必要になる場合があります。指示に従って認証を完了してください。
ステップ5:Secret Keyを保存
作成成功後、ページにAPI KeyとSecret Keyが表示されます。ここで特に重要なのは、Secret Keyはこの一度だけ表示され、以降は再表示できないということです。必ずすぐに安全に保存してください。パスワードマネージャーに保存するか、紙に書いて施錠管理するのがおすすめです。Secret Keyを紛失した場合は、そのAPIキーを削除して再作成するしかありません。
権限設定の詳細
読み取り権限
最も基本的な権限で、APIを通じてアカウント残高、ポジション情報、注文履歴などのデータを照会できます。チャート分析ソフトや税金計算ツールとの連携だけであれば、この権限のみで十分です。
現物・レバレッジ取引権限
有効にすると、APIが現物市場とレバレッジ市場で注文の発注や取り消しなどの取引操作を実行できます。クオンツ取引プログラムでは通常この権限が必要です。
先物取引権限
APIがUSDT建て先物とコイン建て先物で取引操作を行えるようにします。クオンツ戦略に先物が含まれる場合、個別に有効化が必要です。
出金権限
APIで出金操作を開始できるようにします。これは最もセンシティブな権限であり、非常に明確なニーズがあり十分なセキュリティ対策を講じている場合を除き、有効にしないことを強くおすすめします。有効にした状態でAPIキーが漏洩すると、攻撃者が直接資産を送金できてしまいます。
セキュリティのベストプラクティス
IPホワイトリストの設定は必須
これが最も重要なセキュリティ対策です。API管理ページで、各APIキーに対してアクセスを許可するIPアドレスを設定できます。設定後は、ホワイトリストに登録されたIPからのリクエストのみが実行されます。プログラムが固定IPのサーバーで動作している場合は、必ずこの設定を行ってください。
IPホワイトリストを設定しない場合、BinanceはそのAPIキーの有効期限を90日に制限し、期限切れ後は再作成が必要になります。IPホワイトリストが設定されたキーには有効期限の制限がありません。
最小権限の原則
本当に必要な権限のみを有効にしてください。データの読み取りだけが必要なら、取引権限は有効にしないでください。現物取引のみを行うなら、先物取引権限は有効にしないでください。「便利だから」という理由ですべての権限を有効にすることは絶対に避けてください。
コードへのハードコーディングをしない
APIキーをコード内に直接記述すべきではありません。特にGitHubなどの公開プラットフォームにアップロードするコードでは厳禁です。環境変数や独立した設定ファイルでキーを保存し、設定ファイルがバージョン管理システムにコミットされないようにしてください。
定期的なキーのローテーション
数ヶ月ごとにAPIキーを更新し、古いものを削除して新しいものを作成することをおすすめします。これにより、キーが何らかの経路で漏洩していても、被害の窓を限定できます。
API使用状況の監視
BinanceはAPIコールのログを提供しています。不審なコール記録がないか定期的に確認しましょう。見知らぬIPからのリクエストや、通常ではない時間帯での大量取引などに注意してください。
APIコール制限
BinanceにはAPIコールの頻度制限があります。現物APIのリクエストウェイト制限は1分あたり1200、注文頻度制限は10秒あたり100件です。先物APIにも同様の制限があります。制限を超えるとIPが一時的にブロックされ、重大な場合はAPI権限が一時停止されることがあります。
クオンツプログラムを開発する際は、リクエスト頻度の制御を適切に行い、制限の発動を避けてください。プログラム内にリクエストキューとバックオフメカニズムを実装することをおすすめします。
よくある質問
APIキーは最大何個まで作成できますか?一般ユーザーは最大30個のAPIキーを作成でき、ほとんどの方には十分な数です。
Secret Keyを忘れた場合はどうすればよいですか?そのAPIキーを削除して新しく作成するしかありません。Secret Keyを復元する方法はありません。
APIキーが突然使えなくなった場合は?IPホワイトリストが正しいか、権限が完全か、キーが期限切れでないか(IPが設定されていないキーは90日で期限切れ)を確認してください。すべて問題なければ、頻度制限に引っかかった可能性があるため、数分待ってから再試行してください。
まとめ
APIキーは、Binanceアカウントと外部プログラムをつなぐ橋渡し役です。申請プロセスは簡単ですが、セキュリティの設定が極めて重要です。覚えておくべき3つの核心原則は、IPホワイトリストの設定、権限の最小化、Secret Keyの保護です。この3つを守ることで、安全にAPIキーを活用して取引効率を向上させることができます。