🛡️ Bubbleセキュリティ完全ガイド
Bubbleアプリケーションのセキュリティは、プラットフォーム側の堅牢な基盤と、開発者の適切な実装によって成り立っています。このガイドでは、Bubbleアプリを安全に構築・運用するために知っておくべき重要なセキュリティ対策を包括的にまとめました。
🤝 共有責任モデル
Bubbleは「Platform-as-a-Service」(PaaS)アーキテクチャを採用しており、セキュリティ責任はBubble、AWS、開発者の間で共有されています。
認証・データ暗号化・DDoS保護
SOC 2 Type II準拠
物理インフラ・ハードウェア
ネットワーク・サーバー環境
アカウント管理・設定
プライバシールール実装
✅ セキュリティチェックリスト
開発・デプロイ時に確認すべき重要なポイントをまとめました。
🏗️ 設計・計画段階
- データタイプの設計とアクセス権限の計画
- ページ構成とユーザーロールの定義
- セキュリティポリシーの策定
🔐 アカウントセキュリティ
- 強力なパスワードの設定
- 二要素認証(2FA)の有効化
- コラボレーター向けパスワード・2FAポリシーの策定
🏢 アプリアクセス管理
- コラボレーターへの最小権限の原則適用
- 不要になったコラボレーターの削除
- 本番データベースアクセスポリシーの維持
🗄️ データベース保護
- すべてのプライベートデータタイプにプライバシールールを設定
- ワークフローでの「Only when」条件による不正編集防止
- 本番データベースをDevelopmentにコピーする際のアクセス権限確認
📄 ページセキュリティ
- 機密データをページ要素やワークフローに保存しない
- JavaScriptファイルに含まれる情報の確認
- URLパラメータに機密データを保存しない
- App optimizerを使用して削除済みデータをコードから除去
🔧 Bubbleのセキュリティ機能
🔑 アカウント認証
業界標準の認証方法、2FA、シングルサインオン(SSO)機能を提供
🛡️ プライバシールール
データの検索、閲覧、変更権限を詳細に制御できる条件設定機能
📁 セキュアファイルホスティング
アップロードファイルの安全な保存とプライバシールールによる保護
⚡ ワークフロー条件
特定の条件下でのみ実行されるアクションやワークフローの設定
👤 ユーザー認証
最新のセキュリティ標準に基づくユーザー身元確認機能
🔒 HTTPS暗号化
ブラウザとBubbleサーバー間のデータ通信を暗号化
🌐 DDoS保護
Cloudflareと独自システムによる高度なDDoS攻撃対策
🔗 API認証
Data APIとWorkflow APIによる外部リクエストの認証・認可
📊 Fluskセキュリティツール
20以上のセキュリティチェック項目による自動脆弱性検出
⚖️ クライアントサイドとサーバーサイドの理解
セキュリティを理解する上で、処理がどこで実行されるかを把握することが重要です。
| 処理タイプ | 実行場所 | セキュリティレベル | 主な用途 |
|---|---|---|---|
| クライアントサイド | ユーザーのデバイス(ブラウザ) | ⚠️ 低(改ざん可能) | UI表示、ユーザー操作、アニメーション |
| サーバーサイド | Bubbleサーバー | 🔒 高(保護された環境) | データベース操作、認証、API連携 |
• ユーザーのデバイスに到達したデータは閲覧可能
• クライアントサイドで実行される処理はセキュアではない
• セキュリティ上重要な処理は必ずサーバーサイドで実行する
📄 ページセキュリティの詳細
Bubbleアプリのページ読み込み時、ブラウザは様々なJavaScript/JSONファイルをダウンロードします。技術的知識のあるユーザーはこれらのファイルを閲覧できるため、注意が必要です。
⚠️ 機密情報を避けるべき場所
📝 オプションセット
セット名、オプション、属性、保存データすべてが平文でダウンロードされる
🌐 アプリテキスト(翻訳)
ユーザーの言語に関連する文字列がダウンロードされる
🔧 要素
プレースホルダーテキストなど、要素に保存された静的データ
📄 ページ名
すべてのページ名が各ページ読み込み時にダウンロードされる
⚡ ワークフロー
ワークフローに保存された静的データや要素の状態
🗄️ データタイプ
データタイプ名、フィールド名、デフォルト値
ページを「銀行」、データタイプを「貸金庫」として考えてください。侵入者が銀行(ページ)に入っても、貸金庫(データベース)はプライバシールールによってロックされており、ロビーしか見ることができません。
🔗 APIセキュリティ
BubbleのAPI機能は、デフォルトで厳格なセキュリティ設定を採用し、意図しない脆弱性のリスクを軽減しています。
🎯 最小権限の原則
各個人やシステムには、特定のタスクを実行するために必要な最小限のアクセス権のみを付与します。
📤 API Connector
サードパーティアプリへの送信API呼び出しのセキュリティ設定
📊 Data API
データベースの安全な共有機能とプライバシールール連携
⚡ Workflow API
外部システムからのワークフロー実行とAPI認証
👤 Bubbleアカウントセキュリティ
Bubbleアカウントへの不正アクセスは、最も重大なセキュリティ侵害の一つです。すべてのアプリとデータへの完全なアクセス権を与えてしまうためです。
🔐 認証設定
パスワードポリシー
- 各アカウントで固有のパスワードを使用
- 12文字以上の複雑なパスワードを作成
- 3-6ヶ月ごとにパスワードを更新
- パスワードマネージャーの使用を推奨
📱 二要素認証(2FA)
2FAの有効化を強く推奨します。パスワードが漏洩した場合でも、不正アクセスを大幅に困難にします。
| 認証アプリ | メリット | デメリット |
|---|---|---|
| Authy | マルチデバイス対応、クラウドバックアップ | サードパーティサービス依存 |
| Google Authenticator | Googleの信頼性、ローカル保存 | マルチデバイス非対応、バックアップなし |
🏢 アプリレベルセキュリティ
🔒 アプリケーション権限
Bubbleはデフォルトで厳格な権限設定を採用しています。
- プライベートアプリ: 開発者とコラボレーターのみアクセス可能
- 閲覧可能: 誰でもアプリエディタを閲覧可能(変更不可)
- 編集可能: 誰でもアプリエディタにアクセスして変更可能
🔑 開発・本番環境アクセス
デフォルトのユーザー名「username」とパスワード「password」から、独自の認証情報に変更することを強く推奨します。
👥 コラボレーション管理
- 招待者の身元確認とメールアドレスの正確性
- 必要最小限のアクセス権限の付与
- 本番データへのアクセス制限
- 不要になったコラボレーターの速やかな削除
🎯 まとめ
Bubbleアプリのセキュリティは、プラットフォームの堅牢な基盤の上に、開発者の適切な実装によって構築されます。
• プライバシールールの適切な設定
• クライアント/サーバーサイドの理解
• 継続的なセキュリティチェック
• 最小権限の原則の徹底
このガイドは出発点として活用し、アプリ固有の要件に応じて追加のセキュリティ対策を検討してください。セキュリティは一度設定すれば終わりではなく、継続的な監視と改善が必要なプロセスです。
株式会社Spovisorではノーコード・ローコードツールを使ったシステム開発、アプリ開発を実施しています。
要件定義から伴走して支援し、安価・スピーディー・柔軟な開発を行います。無料でご相談もお受けしております。