技術記事

micomia株式会社の畑井です。
今回はスピーディにアプリ開発ができるローコード開発のセキュリティについて解説していきます。フルスクラッチですとセキュリティまで考えないといけないとよく言われていますが、ローコードは考えなくても良いのでしょうか？

1.ローコードのセキュリティ

ローコードはコードを直接書かずに開発するノーコードの部分とコードを書く部分の2つに分かれています。

コードを直接書かないからこそセキュリティについてなかなか意識することが難しいローコード開発ですがある程度開発プラットフォーム側がセキュリティの担保を行ってくれています。

セキュリティについて特に意識をしなくても最低限の実装はプラットフォーム側がしてくれているので抑えるべきはそれ以外の＋αの部分となります。

2.Firebaseのセキュリティルール

ローコードツールと相性が良いのがFirebaseです。Firebaseのセキュリティルールはこのコレクションは特定のユーザーしかアクセスできないなどのルールを設定する場所です。

実際アプリ側で見れないように実装されていればアプリからは他のユーザーの個人情報などがすべて見えるなんてことはありませんが、APIのリクエストURLなどが漏れたりするとアクセス権が開いていると簡単に見れてしまいます。

3.APIキーの制限

Google Cloud の API キーには使用制限（ドメイン・IP制限など）を設けることが推奨されています。FlutterFlowの公式ドキュメントでもその方法について紹介されていますのでぜひご一読ください。

APIを提供予定のプラットフォーム以外からアクセスできないようにする設定などが記載されています。

https://docs.flutterflow.io/best-practices/secure-api-keys/

また、「Make Private」をONにしてキーの露出を抑える設定などもありますので活用してみてください。

4.まとめ

ローコード開発は、プラットフォーム側が通信の暗号化やデータ管理など基本的なセキュリティを担保してくれているため、開発者が一から設計する必要はありません。しかし、安全に運用するためには「Firebaseのセキュリティルール」や「APIキー制限」など自分で設定できる範囲を正しく構築することが欠かせません。

特にFlutterFlowを利用する場合、以下の3点を意識すると安心です。

• Firestore／Storageルールで「認証済みユーザーのみアクセス可能」にする

• APIキーにはドメイン・IP制限を設定し、「Make Private」をONにする

• 外部との通信は常にHTTPSを利用し、データを暗号化する

ローコード開発はスピードと効率が魅力ですが、セキュリティを意識した設計ができるかどうかでアプリの信頼性は大きく変わります。micomia株式会社では、FlutterFlowやFirebaseを活用した安全性の高いローコード開発にも対応しています。開発段階からセキュリティ設計に関するご相談もお気軽にお問い合わせください。