コンテンツにスキップ

【セキュリティ入門】バイブコーディングで気をつけるべきセキュリティの入り口 (初心者の方向け)

  • URL: https://www.youtube.com/watch?v=Tyt97hP7z1U
  • 文字起こし日: 2026-02-24 02:42

内容概要

  • 暑い日が続き、日傘が手放せない。
  • バイブコーディングも同様に、保護が必要な存在になりつつある。
  • バイブコーディングで気をつけるべきセキュリティ入門の入り口を解説。
  • エンジニアでなくてもバイブコーディングは可能だが、セキュリティリスクも高まる。
  • 動画の目的は、非エンジニアでもセキュリティリスクを少しでも軽減できるようにすること。
  • セキュリティ対策では、まず「秘匿情報」と「個人情報」の区別を理解する。
  • APIキーやデータベースのパスワードなどの秘匿情報は、コード内に記述されることがあるため、適切な管理が必要。
  • 名前やメールアドレスなどの個人情報は、データベースや画像ストレージに保管されるため、アクセス制限が重要。
  • 秘匿情報を他人に見える場所に置かないこと、他のユーザーに見られてはいけないリソースを守ることが重要。
  • バースを使う場合は特に注意が必要。

文字起こし

はい、どうもこんにちは。ムードアルチャンネルです。 いやあ、暑い。 暑いですね。うん。俺も常に、あの、日傘買いました。 え?暑すぎて。 すごい。でもやっぱね、日傘で命守んなきゃいけないと思って。 はい。はい。 で、まあ、暑いといえば、まあ、バイブコーディングも今熱いなと。 熱いですね。もうそればっかり。 バイブコーディングも日傘と同じように、ちょっと守んなきゃいけないと思って。 はい。はあ、そうですか。そう。 今回その守る話、 ああ。したいなと思います。 いいですね。はい。 しましょう。 ということで、えっと、今回は、あの、バイブコーディングで気をつけたいセキュリティ入門の 入り口。入口ね。はい。入門のさらに入り口。 そう。うん、うん。もうだから本当にだから多分バイブコーディングはやっぱりこの エンジニアじゃない人もできちゃう。 うん。し、プログラミングのこと全然知らなくてもできちゃう。ま、それがとってもいいんですけど、だからこそ、まあ、そのセキュリティを懸念する声も、まあ、同じように高まってたりするので、ま ま、だから、なにもわからない人が、まずちょっと見てもらって、なんか少しでも気をつけられればいいかなと。 うん。思っております。今回の動画の目的はですね、なので、その非エンジニアの方でも、えー、作れるからこそ、セキュリティの リスクが常に、まあ、ありますので、その発生率を少しでも下げられたら良いなと思っております。 うん。で、あれですよね、セキュリティって本来は気をつけなくちゃいけないことってめちゃくちゃたくさんありますよね。 ありますね。 で、そのうち今回話すのは、もう本当に少しというか、もう、で入ってもないぐらい。 うん。ですかね。 ですけど、まあ、本当に初歩の初歩で気にして貰えたらいいかなと、 いうところを話できたらと思います。はい。 で、話すことなんですけど、まずはあの、セキュリティってのはその秘匿情報とか個人情報とかそういったものが、 あると思うんですけど、そもそもそれってどういうものってどこにあるの?うん。 うん。というところを話した上で、まあ、バイブコーディングで注意したいこと、えー、丸1として、秘匿情報を他人の見える所に置かないと。 丸2として、えー、他のユーザーに見られたいけないリソースを守ろう。 うん、うん。丸3、バース。 バース。うん。これを使う場合に、ちょっと気にしたいこと、をお話していきたいと思います。 で、始めに秘匿情報や個人情報とはどこにあるかと。 で、秘匿情報って言うのは、まあ、APIキーとかデータベースのパスワードなので、これらが漏れると本当に危ない。例えば、最近だとやっぱり、Open AIのAPI、 うんうん。を使って、まあ、AIでなんか作るって、本当に多くあるよね。 あー、よく思いますね。で、仮にそのAPIキーっていうのが、これを使ってこうOpen AIにこう色々聞けるんですけど、これが他の人に渡ったったらそれ使いたい放題で、ま、お金がなくなりますね。 うん。 うん。 うん。 で、あと、データベースのパスワードとかもやると、まあデータベースに、もちろん入れちゃうと。 うん。で、まあそこで、もうデータを消されたりありますね。 怖いね。本当に。ま、なので、えー、 そうなのすごく大事な情報で、ま、秘匿情報と呼ばれていますが、で、これらはコードの中で使うので、行動の中に書かれることがあると。 うん。 うん。 なので行動を適切に管理する必要がまずあります。 で、まあそれについて後ほど、あの、細かく話していくんですけど。で、次に個人情報。 これは名前とかEメール、口座番号とか、免許証とか、の画像とかあると思うんですけど、やっぱ個人情報流出するとすごく大変ですよね。 うん。 いやこれも時々ニュースになりますし、ありますか?経験。 ま、ありますね。はい、苦い思い出ですが。 うん。 いや本当に大変。 ですので、えっと、ま、これはデータリストか、あと画像アップロードしてそのストレージなどに置かれているの で、そこへのアクセスを厳しく制御する必要があると。 まず前提、ま、こういったものがある と。うん。 で、踏まえまして、じゃあバイブコーディング、流行っていますが、 ここから注意したいことで、まず丸1、秘匿情報は他人の見える場所に置かない。 うん。ま、文字だけ見ると、当たり前のことを言ってるような。 そうですよね。感じですよ。秘匿の秘密だもんね。 そう。そうですね。だから、その、 Xにあげたりとか。うん。 ダメですよね。はいはい、ダメだよね。 あとだからYouTubeとか、でも情報発信とかあるかもしれないですけど、そこにも当然。 うん。 うん。 そうだね。もう見られただけで攻撃されちゃう可能性がありますから。 だめ。だって、なんかYouTubeで配信したりとか作業の様子を配信してる人とか、ちょっとチラッと映った、その秘匿情報。 うん。うん。 が、抜かれたりとかも、ま、普通にありますよね。 ありますからね。本当に。 で、だから当然そういうことはしちゃいけないんですが、今回特にじゃあバイブコーディングで、 うん。試しにちょっとOpen AIのAPIキーを使った例をちょっと見てみたいと思います。以下のような指示をAIにしたとしましょう。え、これは星座占いのウェブサイトを作ってください。 うん。 で、星座のボタンを配置して、ボタンを押したら運勢を140文字以内で表示してください。で、運勢はOpen AI APIを使って取得して下さい。 で、Open AIのAPIキーが必要になるので、これここに書いて使って下さい。 うん。うん。 デザインはシンプルで洗練したものにしてください。 上記の要求でシンプルに実装して下さい。仮にこんなことを思うと。 うん。 ま、この時点でちょっとあれですかね。そのキーをこのAIに渡してるっていう時点でちょっとあのー、怖い気持ちもありませんか? 確かにプロンプトにね、直接キーを入れてるっていうのは、ま、1つ。 うん。 リスクであるかもしれないですよね。 そうですね。でもありがちなプロンプトだなと思いますね。 うんうん、そうですね。で、仮にこれをこう、ま、渡したとしたらどうなるかというと、AIはですね、 要求を確認しました。 星座占いウェブサイトシンプルに実装しますと言って、え、index HTMLファイルがあるので、その内容を確認します。 で、書き換えていく。うん、うん。 しばらくすると、できました。 すごいじゃん。いや、デザインも綺麗だし、実際動くんですよね。 うん。ボタンポチッと押したら、こうOpen AIでこう生成されます。 うん。 運勢が。すごいね、バイブコーディング。 いや素晴らしい。ですがあのー、Chromeというブラウザのデブツールというものを使うと、えー、コードが見れます。 うん。 うん。 どういうコードで動いてるのかと。で、その中身を見るとですね、ここに見てはいけないAPIキーが書かれている。 やばいね。やばいです。これはもう誰もがこれを見れるので、もうここから抜き取ったら使い放題。 うん。 いうことになります。なのでこのように、AI任せにコード書いてると、こんな形で簡単に秘匿情報が漏れてしまうということが、あります。 で、えっと、なので注意しましょうということなんですけど、えっと、まあ、これは 初心者向けにですけど、えっと、まあ、漏れやすい場所と漏れにくい場所っていうの が、ま、まずあって、えっと、コードってそのフロントエンドって言われてるところとバックエンドと言われているとこ、ま、大きく2つに分類ができますてで、HTMLとかCSSが書かれてるフロントエンドのコードっていうのは、今見たように、実は誰でもコードの中身は見える。 うん。うん。 で、一方でバックエンドというものは、まあ基本的には見られない。ここには、ま、壁がありまして。 で、今回の例とかでは、そもそもそのフロントエンドにAPIのキーが書かれていたので、それは誰でも見れるよね。 うんうん。 いう状況なわけです。なので、1つまず注意していただきたいなと思うのが、えー、秘匿情報を使う時には、ブラウザで見れない状態になってるかをちゃんと確認しましょう。 で、ま、そうならないように、だからバックエンド側に書く必要があります。 うん。ま、これ判断は、ま、もちろん行動を見てやるんですけど、ま、今みたいにブラウザ側のデブツールとかを使って、え、調べることもできるので、まあ、自信がなかったら一応そこで検索をすると。 うん。 で、でも、この検索も、ま、やったことがない人はちょっと難しいところもあるかもしれないですし、検索自体もちょっとあれですよね。ポイントというかありますよね? ポイント。 その、開いて1つのファイルだけ見るのか全部見るのかみたいな。あー、はい。どうするんだね。 そうそう。1つのウェブサイトで、こう、ユーザーからするとただのペライチのなんて言うの、ものなんだけど、中は うん。 HTMLファイルがあったりCSSファイルがあったり、JavaScriptファイルがあったり、めちゃくちゃたくさんのファイルが、構成されて1個のページになってたりしてるんで、こう、検索してる範囲を間違えるとだから見つけられないとか本当、本当はあるのに、なんかヒットしないみたいなことが起こり得ると うん。 うん。いうことですね。 うん。 だから、全部全部まとめて検索できる機能が、デブツールにはあるんで。 うん、うん。 そうだね。 うんうん。あの、リソースというところから、まとめて検索できるんでそっから、ま、検索してみたいと、が必要ですね。 うん。 ちなみに、今回あの、この例は、まあ、ま、ちょっと無茶な例というか、APIキーを渡してやってるんで、ちょっと無茶な例ですし、実際はなんて言うんですかね、こういう指示をしたとしても割と、そのAIはちゃんとそのセキュリティのことも、ある程度組んで実装してくれたりします。 うん。うん。 だから、あのー、多分同じプロンプトをなんにもない状況でピって投げるとこれセキュリティのリスクがあるんで、あの、バックエンドも作りますみたいな感じで返してくれます。 うん。 うーん。 で、今回じゃあなんでそうしてなかったんなかったかって言うと、なんかちょっと実験的にいじってたんですけど、index HTMLファイルをあらかじめ用意してたんですよ。 うん。空っぽなんですけど一応、あのー、ハローワールドが見えるような。 うん。 で、かつ、そのプロンプトに、なんかシンプルに実装して下さいって。あー、なるほど。 ちょっと書いたんですよ。うん。そうすると急に手を抜いて、やっぱインデックスのHTMLだけをいじってフロントに書くみたいに。 うん。うん。 はいはい。 っていう感じ。だから、もちろんAIも進化してるし、セキュリティのこと ももちろん組んでくれるんですけど、でも実際そのバイブコーディングしてるってやっぱすごい複雑な状況と言うか。なるほどね。 で、なんかここだけ直したいんだよなみたいなこととか、かなり入り組んでくるじゃないですか?だから、いつ何が起こるか分からないと思うので気にしておくと良いかなと思います。 うん。 さっき、あの、バックエンドに書けば良いと言いましたが、 じゃあ、バックエンドに書いといたら安全なのか? うん。 言うことなんですけど。これはバックエンドに書いたからといって安全ではありません。 そうなんだ。 で、ま、これも本当に初歩的なことなんですけど、バックエンドに書いても、例えばこのようにAPIキーを直接コードにそもそも書いてしまうことが危険です。 で、これは行動自体が流出したら終わるんで、うん。 うん。 で、これよくあるのが、やはりGitHubを使うパターン、とかありますよね。 ありますね。コードね、こうアップロードする場所としてね。 はいはい。 で、その時に、えー、GitHubにアップロードしたらもちろんGitHubから見れると。まあGitHubの設定にもよるんですけどね。プライベートのリポジトリだったりですけど、ま、パブリックでもしかしたら作っちゃう、こともあるかもしれないので うん。 うん。 基本的には、このようにAPIキーをコードに直接書くってことは、しませんね。 そうですね。うんうん。 で、せずに、まあ、環境変数をを使って、えー、なのでGitHubとかにも当然あげない。 うん。 というふうに守る必要 があります。 ま、この辺はもう、非エンジニアの人とか、になると、ちょっともはやお手上げみたいな感じのちょっと領域に入ってきちゃうんで。 うん。 うん。 ま、ちょっと環境変数の取り扱い自体は、もう今回取り扱わないんですけど、ま、別の動画でね、1個ちょっと深く。 うん、うん。 どうやって運用していくのかみたいな話はしていきたいですね。 そうですね。ただまあ、概念だけでも、そのようにまあ秘匿情報ってのは本当に重要な情報なんで、これをちゃんと守ろう。 フロントエンドから見れないようにはするし、コードにもそもそも書かないようにした方がいいという重要性をね、まずはちょっと、 あの、認識して貰えたら良いかなと思います。 うん。 続いて、えー、2つ目なんですけど、他のユーザーに見られてはいけないリソースを守ろう。 うん。 どういうこと? これもだから当たり前のようなことを書いてますけど、ちょっと事例を紹介すると、これ本当に直近なんですけど、2025年の7月25日、あの、とても人気なアプリ。多分App Storeでも1位というか取ってたと思うんですけど。 ああ。 Tデイングアドバイスというアプリがありまして、これはあのー、女性が、えー、デートした男性の 口コミを書けると。 うん。 女性だけが使えるアプリです。 なるほどね。何とも言えないね。 はい。 そう。で、えっと、ま、これはだから実を女性を守る為のアプリと言うか。やっぱりその悪い人と、ま、出来るだけ出会わないようにという、女性が使う、ですごく人気なアプリだったんですけど、えっと、これは女性側ももちろん個人情報が必要なので、自分のその写真であったりとか、あと運転免許証のデータとかを多分最初に取得するような行動なんですが、それが漏洩してしまったという。 うん。 あー、なるほど。 ああ。とても悲しい事件がありました。 で、えっと、これはですね、えっと、なんでそもそも漏洩してしまったかと言うと、えー、画像ファイルってのは、どこかにこうアップされてるわけですよね? うん。 インターネット上のどこかにサーバーにね。サーバーにアップされてて、で、えっと、今回のその運転免許証とかは、もちろん他の人には見られてはいけない、守らないといけないリソース なんですけど、えー、この公開設定がパブリックになっていた。 うん。 誰でも見れると。そうです。 だからここのそのインターネット上にある画像の、アドレスさえわかったら誰でも見えちゃう。 うん。 やばいね。そうなんです。 誰かが見つけたんですかこれは? うーん。なんか悪意のある人がね。 そう。で、いう風に、まあ、なっていたと。だからすごく、まあ、基本的なことです。で、えっと、これちょっと細かいんですけど、ま、ウェブサービス作ったら絶対こうマイページと言うか、自分だけしか見れないページとか、ま、作ると思うんですけど、で、そこを、もちろんこう認証を挟んでえ、他の人は入れないんですけど、じゃあ、そのページにある うん。 うん。 ところからこう画像をアップロードして、そこはこう画像が見れるみたいなところがあるんですが、その先のじゃあ画像の公開設定がどうなってるかと、いうところも注意しないと、まあいけない。 うん。 だからそのマイページのURLはログインしてないと見れないようになってるんだけど、 その画像のURL自体は直接アクセスしたら、誰でも誰でも見れちゃうっていう設定が有り得ると。 うん。 そう。で、実際にそれによってものすごい被害になってしまってると、いうことです。 まあ、なので、えっと、AIに任せっきりの場合ですと、えっと、まあ、色々なものがガバガバになってることもあるので、えー、もし、あの、作ってるアプリが、え、本人や一部の人にしか見ることができないリソースがあるなら、そのリソースの公開設定っていうのは本当にちゃんと確認しましょう。 うん。 基本的には、パブリックにするかしないかというのが、え、自分で設定できますね。 なのでそこでちゃんと、え、抜け目なく設定しておきましょう。 で、公開状態はもちろんそのツール使ってたらそれ確認すれば良いですし、まあ、あるいは、まあシークレットブラウザとかを使って、未ログインの状態で画像に アクセスしてみて、実際に本当に、え、見れない状態になってるか と確認するのもとても良いと思います。 そうね。これはね、あのー、普通に仕事でプログラミング日常的にやってる人もちゃんとチェックした方がいいやつですね。割と、その、なんか設定し忘れとか、設定したつもりで。 うん。 うん。 うん。 なんか間違ってたってことあるんで。そうです。うん。 あとその、一般的なウェブサイトにある画像って、まあ基本的にパブリックと言うか、のものほとんどだったりするんで、まあ、だからね、抜けちゃうこともあると思うんで、 是非ここは気をつけたいなというところです。はい。 これだから、まあ直接バイブコーディングに、ま、コードとはそんなに関係ないって言えばないのかな? うん。 ま、でもなんか初心者が作って、あの、あんまりその考慮しない部分だったりするので。 うん、うん。 うん。 ま、今回頭の片隅にこれ入れといてもらえるといいんじゃないかなとは思います。 そうですね。はい。 で、最後に、えー、バースを使う場合の注意点。 うん。 これそもそもバースとは何ですか?何ですか? ちょ説明が難しいけどね。バックエンドザーサービスっていう、まあザーサービスって言葉自体がちょっとあれなんですけど。ま、普通ウェブアプリケーションとか作る時にフロントエンドだけで完結することってほとんどなくて うん。 はい。 うん、うん。 そのサーバーにこうデータベースとかそのサーバーロジックを動かすための、なんかPHPとかルビーとか、そういうのを動かす なんかエンジンが必要だったりするんですけど、普通それ全部自分たちで作ったり用意したりするのを、このバースっていうサービス使うと、もう最初から用意されてるみたいな。 うん、うん。 うん、うん。 だから便利なサービスですね。 うん、うん。 一般的なアプリケーションと比べると、ま、今ザルさんが言ってくれたように、ま、普通はフロントがあってバックエンドがあってデータベースがあって。フロントエンドとバックエンドのところに、まあ大きな壁があるんですがバースを使うと、このバックエンドだから自分たちで作んなくて良いと。 うん。 よいと。もうそれはだからスーパーベースとかファイヤベースとかのえー、ま、サービスを使うことでフロントエンドだけ用意して、え、そっからデータベースをま、操作しに行くことができると。ま、実際はそこの間に、もちろんAPIがあるんですけど、まあ、やってることはフロントエンドから、ま、データベースの、ま、操作ができるようと うん。 うん。 イメージですね。 ちょっと具体的にスーパーベースを、え、例にちょっと話してみたいと思います。とても人気がある、あのバースだと思ういますし、多分そのー、特にバイブコーディングとかはなんて言うんですかね、いかにこう楽してコードを書くかみたいなところがあったりするんで、ま、多分こうバースが使われることもまあまあある、あると思いますね。 うん。 そうですね。きっとあると思うので、えー、ちょっと具体例ですが、スーパーベースでは、フロントからデータベースを操作する場合、データベースのパスワードというものは、使わずにアノンキーと呼ばれるものを使います。 うん、うん。 うん、うん。 なかなか、あのー、聞き慣れない、うん。 キーワードかもしれないんですけど、アノンキーというものがあって、これを使うことによってフロントエンドから、ま、操作することが出来ると。 じゃあデータベース操作できるこのアノンキーがフロントエンドにあるっていうことはさっきも話したように、これ誰でも見れちゃう。 うん。 最初の、あのOpen AIのAPIキーが埋め込まれてるのと同じような構造ってことだよね。 そうですね。なんか、あれやばい。 た疑問としては、このアノンキーってうん。公開しちゃダメなのか? うん。 正解はですね、大丈夫です。 で、ただしなんです。で、えっとこれだからアノンキーって言うのは、えー、公開されて良いもの。そのように設計されてるんです。ここまず前提大丈夫なんですけど、ここからが重要で、えー、設定をきちんとする必要があります。なんの設定かと言うと、えー、アノンキーっていうのは自分以外の人が見られる可能性があるんで、その他者が、じゃあそのアノンキーを使ってデータベース操作をしようと思った時に、防ぐ設定が必要で、その防ぐ設定って言うのをしてないと当然、データにアクセスされちゃうんで、うん。 見られちゃいけない情報も見られちゃう。で、じゃあこの設定が何かと言うと、これがローレベルセキュリティと言う。 ふーん。なんが難しそうな単語だね。 難しいんです。 これ難しいんですけど、とてもまあ良い、良いものです。で、えっと、ちょっとま、このローレベルセキュリティの説明もちょっと詳しくはちょっと今回はしないんですけどね。あのー、アノンキーを使う場合まずこのローレベルセキュリティは必須です。 うん。 だってこれを設定しないと、誰でも見れちゃう。 そうだね。 だから絶対必要。で、基本的にそのテーブルを作る時に、イネーブルローレベルセキュリティがONになってます、デフォルトは。ただ簡単に外せちゃいます。 うん。 はい。で、えっと、ま、正直言うとちょっとローレベルセキュリティは難しい。特に初心者には結構難しいかなと思うので、まずこれちゃんと、 いや、そう学ぶ必要があった。 これ初心者って言うか、普通にプログラミング例えば10年ぐらいやってる人も難しいと思うローレベルセキュリティは。 はい。僕もちょっと難しいと思う。 そうですね。 思いますね。はい。 なので、えっとー、アノンキーを使うと、そのフロントからアクセスできるんですが重要なのは絶対にローレベルセキュリティは設定しないとまずいけません。えっと、ま、これ絶対にって言うのは、うーん、いや、ま、絶対にです。 うん。 絶対にです。で、このローレベルセキュリティは、ちょっと簡単に説明すると要は誰でもアクセスできちゃうんですけど、でももしマイページ機能があって、ザルさんのページがあって。ザルさんのしか見れないようなえー、情報を入力するようなサービスがあった時に、えっと、ローレベルセキュリティを設定しておけば、アノンキーを使っても事実そのアクセスした人が誰かって言うのはちゃんと認識して、あ、これザルさんなんだって認識して、ザルさんだったらOKだよ。 うん。 うん。 あ、ムードさんが同じようにアクセスしてきた。しかもザルさんのその情報に、え、これあなたムードさんだからダメだよ。言うことをこうやってくれるんです。 うん。 これローレベルセキュリティ。ただ、もう聞いただけで分かるとと思うんですけど、そんなことをやってくれる設定、ま、ちょっと難しいんですよ。 まあそうですね。 うん。 それは。だから簡単に言うと、その同じアノンキーを複数人で全員共通で使ってるんだけど、その誰がどのデータにアクセスするかをきちっと見極めて許可してくれるって言う仕組みなんだよね。 はい。 はい。 そうです。 だから実際は、認証走るんです。認証のその仕組みが、ま、ちょっとそれもややこしいからそうなんですけど。で、その認証の仕組みが本来やってて、それを使ってうまくやってくれるのがローレベルセキュリティなんですが、それをオフにしてる場合もう認証とかもうないです。 うん。 っていうことなんですよ。ま、でもよくやりがちなのはそのスーパーベースで一旦ちょっと動くもの作りたいからローレベルセキュリティ定義するのちょっと難しいからちょっと一旦オフにしといたみたいな。 そうなんです。 そうなんです。そうなんです。で、そのまんまアノンキー使ってフロントから動く状態を放置しちゃうみたいな。 そうなんです。そうなんです。 正にそうです。だから最初に多分ローレベルセキュリティをオンにしてなんかアクセスするとあれ?なんかデータ何も見れないなみたいな。 うん。 すぐ動かないんだよね。設定しないとちゃんと。 見れないなあそう。まさにそういうのがあったりするし、多分これもバイブコーディングで、ちょっと僕もそこら辺も組んだことはないんですが、多分そこを組み切るのは結構難しかったり。 うん。 まあ、後それ を実際にバイブコーディングで作ってくれたとしても、妥当なコードかどうかをチェックするにはそれを知ってないとできないから。 うん。 そうです。 そういう難しさもあるね。 本当にそうですね。 で、一応ですね、この今アノンキーという風に喋ってましたけど、これをまあずっとアノンキーという名前だったんですが、最近ですね、多分今月かな?アノンキーは自体はレガシーAPIキーと呼び名に分類されて、名前が変わってパブリッシャブルキー。 うん。 分かりやすいですね。これ公開してもいいよっていうキーと、あと、もう1つあのサービスロールキーって言うのがあったんですけど、そちらもシークレットキーっていうふうに2つ名前が変わったんで、今後はなんかより分かりやすいし、よりなんか危ないもの、危なくないもの、まあでもいずれにせよパブリッシャブルキーを使う場合もローレベルセキュリティは必要なんですけど、 うん。 そういうところです。で、じゃあバイブコーディングのポイントとしてここについてお伝えできるとしたら、ま、本当にとりあえず動くからOKとするのは本当に危険。特に、ま、バース。スーパーベースとかファイヤベースを使う場合えー、ですね。フロントエンドからデータベース操作が可能です。 うん。 なので、ま、ファイヤベースだとセキュリティルールって言うんですか? これをまたね、難しいんですよ書くのややこしくて。 うん。 僕ちょっとそっちに触ったことがないんですけど、ま、同じように難しいんですね。 めんどくさい。 ああ。ま、っていうものがあるんでそっちの設定をするし、ま、スーパーベースだったからさっき話したようにローレベルセキュリティの設定を、これは妥協せずに、行う必要があります。でも、これをもしやんないのではあれば、ちゃんとバックエンドはバックエンドで作って、で、ま、データベースアクセスはそこで飲みにすると、いうのが うん。ま、王道ですね。 ウェブアプリケーション。でしたらね。 うん。 まあローレベルセキュリティ自体はそのスーパーベースの機能っていうかポスグレの機能だったりするんで、そのスーパーベース使ってなかったとしても、あのマルチテナントサースみたいなものを作る時はかなり有用な機能なんで。 あ、そうなんですね。 そうです。 それはそれで導入した方がいいかなと思いますけどね。 そうですね。うん。 ま、でも今回その初心者にもわかる内容で非エンジニアの人にもわかる内容でと言うつも で話し始めたものの結構、これは難しい。 うん。 そうだね。だってセキュリティはやっぱ普通にプロのプログラマーでもミスるしわかんないこといっぱいあるし うん。 うんうん。 もう初心者からしたら、いや本当に。なってんの? そうですね。まあ、なので今回この動画で完璧に理解せずとも、なんかキーワードだけでも知って貰って、あ、なるほどフロントエンドとバックエンドがあるんだとか、あ、バース使うとそういうが危険性があるんだとかいうのをまずは感じ取ってもらえたらと。 うん。 あとあれですね、あのー、僕ら今ちょっとウェブアプリケーション前提で話したものの今多分バイブコーディングだとネイティブアプリ。 ああ、ネイティブアプリ。 作ることも結構あると思うんですけど、より、このバース使えますよね。 うん。 そうですね。そうなんです。 ネイティブアプリの方がバースを使うかもしれないね。 そうですよね。だ、それこそだからネイティブアプリはま、フロントエンドからまさにそのアノンキーとかを使ってアクセス、データベース操作することもあると思うんですけど、だからその時もローレベルセキュリティは必須ですよね。 うん。 した方がいいね。うん。 頑張りましょう。うん。 と言うことで、まとめ。秘匿情報はまず他人の見えるところには置かない。なのでフロントエンドには書かないし、ま、そもそもコードにも書かないように、 しましょう。え、それから、えー、他のユーザーに見られてはいけないリソース。これはだから画像とか、ま、もしかしたらその履歴書とかPDFファイルとかも色々あるかもしれませんが、そのストレージの公開設定っていうのを、ま、しっかり確認しましょう。だからコード以外の部分。ですね。 うん。 で、それから、えー、バースを使う場合。これとても便利なツールなので、ま、これを使うこと自体は決して悪いことではない。 そうですね。 すごい良いツールだからね。ぜひ使ってほしい。 そうです。そう。なんですけども注意としてやっぱりスーパーベースであればローレベルセキュリティ、ファイヤベースだったセキュリティルールなどがありますので、それをちゃんとあの、活用してやるようにしましょう。またあるいは、ま、バックエンドから、えー、の操作に、ま、限定的に使いましょうと。 うん。 いうことになります。 ということで今回も本当に、ま、入り口の入り口の話なので、本当だったらセキュリティ一般的にはたくさんありますね。 うん。 うん。 すべきことは。 たくさんありますね。うん。 あるんですけどね。 はい。 もう専門家がいるぐらいですからセキュリティって。 うん。 本当に。豊富にありますからね。 うん。 ま、だから初心者がそのバイブコーディングで作ってなんかちょっと不安あるなとか、実際なんか出して事故ったなみたいなあったらもう即消してください。 うん。 うーん。 もう一旦公開しない。 うんうんうん。 っていうぐらい、あの、大胆に対応した方が良いかなと。 思いますがね。うん。 気をつけて、 大事ですね。そこは。でもこれだから本当に悩ましい問題だなって僕は思いました。つまりその悩ましいっていうのは、なんかAIによってこう誰でも作れるみたいな。 うん。 まさにそういう感じで、それ自体はとってもいいんですけど、なんかその分リスクが高まる。 うん。 非常に悩ましい。から、だ、こういう、だからそこのセキュリティをチェックしてくれるツールとかも、求められていくんでしょうか? そうですね。まあそういうのは結構時代が進むとなんか改善されてくる気はしますけどね。 うん、うん。 うん。 ということで、えー、今回は、えー、バイブコーディングをする時に気をつけた方がいいセキュリティ入門の本当に入り口の部分についてお話をさせて頂きました。まあ、この動画をきっかけに、あのセキュリティをこう、学ぶと言うあのきっかけになったら嬉しいですし、あとまサービスを作る人、それからサービスを利用する人が事故に、まあ、合う可能性がちょっとでも下がったら嬉しいなと思ってます。 うん。 そうだね。 ま、バイブコーディング自体はもう今の時代こうなんて言うの、手放せないもうツールって言うか、存在感を放ってるんだけど、ま、現時点では、そのバイブコーディングで出来たコードはちゃんと理解して使う必要があるなと思ってるので、まあ、一旦ちょっとプロトタイプ的に、なんか使って うん。 うん。 動いたらそのあと捨てて自分でこう作り直すみたいなのが、ま、今の現実界かなっていうふうには思ったりしてるんですけど、まあ時代が進むとね、そこもより使いやすくなってくると思うので、皆さんもあの楽しく安全にバイブコーディングを楽しんで頂ければなと思います。 うん。 はい。じゃあ今日の動画は以上となります。お疲れ様でした。お疲れ様でした。