AIにより、ソフトウェアのリリースが数ヶ月から数日単位で容易になりました。このスピードは恩恵であると同時に、セキュリティの在り方やリスクがアプリケーションに侵入する速度も変化させます。このAikido では、 ビル・ハーマー (Supabase CISO)と イゴール・アンドリュシチェンコ (ラブアブル CISO)が、制御を失わずに速度を維持するために必要なことを共有しました。この要約は、すべての開発者が今すぐ適用すべきポイントを捉えています。
最初からセキュリティを組み込む
Lovableはアイデアからインターフェースへの迅速な移行を支援します。Supabaseはバックエンドとデータベース基盤を提供します。ビルは冒頭で、どのツール選択よりも重要なことを再確認しました:セキュリティは設計上の決定であり、後付けの修正ではないのです。
「セキュリティは設計段階で組み込まれるものであり、後付けで追加されるものではない」 - ビル・ハーマー、Supabase CISO
基盤が堅固であれば、その上に築かれるものはより安定する。機微なロジックやデータアクセスはバックエンドに置き、独自の認証システムを構築する代わりに安全なデフォルト設定に依存し、ビルドを解除するためだけにブラウザへ急ごしらえの修正を押し込むことは避けるべきだ。
プラットフォームが提供するものを活用する
チームはしばしば、自社のスタック内に既に存在する制御機能を再構築します。SupabaseとLovableにはガードレールが標準装備されており、意図通りに有効化して使用するだけで、数か月分の作業を削減できます。
「私たちはSupabaseを構築し、チームが初日からエンタープライズグレードの制御機能を継承できるようにします」 - ビル・ハーマー、Supabase CISO
認証、権限、ストレージポリシー、暗号化は既に存在している。重要なのはそれらを設定し遵守することであり、よりリスクの高いものに置き換えることではない。
行レベルセキュリティをスキップしないでください
行レベルセキュリティ(RLS)はシンプルで強力でありながら、あまりにも頻繁に見過ごされています。これはユーザーが閲覧または変更できる行を正確に決定します。RLSがなければ、影響範囲はテーブル全体に及びます。
「他に何もできなくても、行レベルセキュリティを有効にして設定してください」 - ビル・ハーマー、Supabase CISO
LovableはデフォルトでRLSを有効化しますが、ポリシーの作成とテストは依然として必要です。RLSをシートベルトのように考えてください。それが欠けていることに気づくのは、手遅れになってからなのです。
セキュリティは少しだけ足を引っ張るが、それで構わない
チェックを追加すると何かが壊れることがある。それは正常だ。イゴールの主張は摩擦を避けることではなく、それが正しい仕事をしている証拠だと捉えることだった。
「セキュリティは無料ではない。その見返りは安心感とインシデントの減少だ」 ― イゴール・アンドリュシチェンコ、ラブアブル社 CISO
ルールがパスをブロックしている場合、ルールを削除するのではなくパスを修正してください。数時間の修正が、後日の数日間に及ぶクリーンアップ作業を凌駕します。真のスピードとは、確信を持ってデプロイすることです。
層で考える
アプリを保護する単一の特徴は存在しない。優れたセキュリティとは、互いの見落としを補い合う小さな制御の積み重ねである。
「階層的に考えよ。各層は必ず安全な状態に収束すべきだ」 ― イゴール・アンドリュシチェンコ、ラブアブル社最高情報セキュリティ責任者
多要素認証(MFA)とロールベースアクセスを採用する。機密性の高いロジックをエッジ関数に配置する。データベースでロールベースアクセス制御(RLS)を適用する。マージ前にシークレットと脆弱性をスキャンする。実行時トラフィックを監視しレート制限を設定する。各層が侵入時の影響を軽減する。
開発者は建設者になりつつある
AIが技術を変えた。価値はタイピングそのものよりも、変化に耐えるシステムを構築することにある。
「ビルダーを雇え。システムで問題を解決する人材だ。ツールは二次的なものだ」 ― イゴール・アンドリュシチェンコ、ラブアブル社 CISO
ビルダーは境界、データフロー、障害点を理解している。ブラウザに属するもの、エッジに残るもの、データベースが強制すべきものを把握している。この考え方が、潜在的なリスクが公的なインシデントに発展するのを防ぐ。
AIにガードレールを与える
大規模言語モデルはコードを実行させるために構築されている。何かが失敗する原因と思われる制約があれば、モデルはその制約を取り除こうとする。それはセキュリティチェックである可能性がある。
「AIは、実行を停止するよう指示しない限り、コードを実行するための制約を取り除くでしょう。」 - イゴール・アンドリュシチェンコ、ラブアブル社最高情報セキュリティ責任者
生成前にルールを設定せよ。機密情報をブラウザに保持させるな。エッジ関数で機微なロジックを処理させよ。データベースでRLSを強制させよ。AIには構築を支援させよ、安全性の判断を委ねるな。
基本事項をカバーした状態で出荷する
ビルの最後の注意点は、リリース前に安全なデフォルト設定に依存し、基本要素を検証することだった。
「安全なデフォルト設定はすべてを容易にする」 - ビル・ハーマー、Supabase CISO
RLSを有効化しテストする。MFAを有効化する。リポジトリに機密情報を置かない。公開エンドポイントにレート制限とボット対策を追加する。ステージング環境と本番環境を分離する。ログとアラートを確認する。CIでのスキャンを自動化する。これらの手順は単純であり、ニュースの見出しになる事態を防ぐものだ。
要点
速いからといって脆弱である必要はありません。Lovableなら素早く構築できます。Supabaseが安全な基盤を提供します。Aikido コード・クラウド・ランタイム全体でリスクを発見・修正し、見落としを気にせず継続的にリリースできる環境Aikido 。
今日から実践できる実用的なリストをお求めなら、Vibe Coderのセキュリティチェックリストから始めましょう。
マスタークラスの完全版録画を視聴し CISOから直接話を聞くために。
今すぐソフトウェアを保護しましょう
.avif)
