AI で作った SaaS アプリのためのローンチ前セキュリティチェックリスト
SaaS やバイブコーディングされたアプリをローンチする前に、このセキュリティチェックリストを進めましょう。すべてのテーブルで行レベルセキュリティを有効化し、すべてのシークレットをクライアントから外し、プライベートなルートで認可を強制し、セキュリティヘッダーを追加し、CORS をロックダウンし、レート制限を加え、そのすべてを稼働中のデプロイで検証します。これらは AI で作ったアプリのローンチを台無しにする問題であり、見るべき箇所さえわかれば、ほとんどはすぐに直せます。
- 対象者
- SaaS や AI で作ったアプリをローンチする創業者
- カバー範囲
- データベース、シークレット、認証、ヘッダー、CORS、レート制限
- 完了までの時間
- ほとんどの MVP なら半日
- 検証方法
- 無料の RLS、シークレット、ヘッダー、CORS スキャナー
1. データベースをロックダウンする
すべての Supabase テーブルで行レベルセキュリティを有効化(または適切な Firebase/Appwrite ルールを設定)し、公開 anon キーでプライベートなデータを読み書きできないようにします。「RLS 有効」だけでは不十分です。ポリシーが所有ユーザーにスコープされ、「すべて許可」のルールがないことを確認してください。無料の RLS チェッカーで検証しましょう。
2. すべてのシークレットをクライアントから外す
service-role キー、Stripe のシークレットキー、API トークンは、サーバー側の環境変数にのみ置かなければなりません。公開プレフィックス(NEXT_PUBLIC_、VITE_)の背後にあるものはすべてブラウザに送られます。稼働中のバンドルに露出したシークレットがないかスキャンし、漏れたものはすべてローテーションしてください。
3. 認証と認可を強制する
すべてのプライベートなルート、API エンドポイント、管理画面は、リクエスト元がログイン済みで、その特定のデータにアクセスを許可されているかを確認しなければなりません。UI 要素を隠すことに頼らないでください。背後にあるデータはサーバー側で保護されている必要があります。
4. セキュリティヘッダーを追加し、CORS をロックダウンする
Content-Security-Policy、Strict-Transport-Security、X-Content-Type-Options、X-Frame-Options を設定します。Access-Control-Allow-Origin を信頼できるオリジンに制限し、認証情報付きで任意のオリジンを決して反射しないでください。無料のヘッダーと CORS のチェッカーで検証しましょう。
5. レート制限を加え、本番で検証する
認証や高コストなエンドポイントにレート制限を設け、悪用やスクレイピングを防ぎます。その後、すべてのチェックを稼働中のデプロイに対して再実行してください。ステージングの設定は本番と異なることがよくあります。すべてが通れば、リリースの準備が整っています。
ローンチ前に、クリアランスを取得しましょう。
早期アクセスのリストに参加してください。デプロイ済みのアプリがあり、カレンダーにローンチ日が入っている創業者を優先します。
よくある質問
- ローンチ前に最も重要なセキュリティチェックは何ですか?
- AI で作ったアプリでは、データベースのアクセス制御です。欠落した、または緩すぎる行レベルセキュリティは、バイブコーディングによる情報漏洩の最もよくある単一の原因です。まずそこから始め、次にシークレット、その次に認可です。
- これは自分でできますか?
- はい。ほとんどの項目は、見るべき箇所さえわかればすぐに対応でき、私たちの無料スキャナーがそれぞれを検証します。修正が本当に有効だという署名入り・保険付きの承認が必要なら、ClearedToShip のレビューが人間による証明を加えます。