ノーコード

【ノーコード】Bubbleのセキュリティは弱い?懸念と5つの対策について

bubble-security

開発するシステムにおいてセキュリティは欠かせない非機能要件の一つと言えるでしょう。

そんな中、ノーコードに興味を持った方の中には「ノーコード開発ってセキュリティ的に大丈夫なの?」と思われている方もいるはずです。

そこで本記事では代表的なノーコードツールであるBubbleに絞ってセキュリティに関する懸念と対策について解説していきたいと思います。

たろう
たろう
ノーコードツールであるBubbleのセキュリティは弱い?

【結論】ノーコードツールBubbleのセキュリティは弱くない。むしろ強い

security

結論から申し上げると、ノーコードツールであるBubbleのセキュリティは弱くありません。むしろ強いと言えるレベルです。

Security is always top-of-mind as we further build and improve the Bubble platform. All Bubble apps benefit from the security investments we have made. 出典:https://bubble.io/security

Bubbleのセキュリティの専用ページには上記の通り、セキュリティの重要性を説いており積極投資していることがわかるでしょう。

同ページにはBubbleでは以下6つのセキュリティ対策が施されていると記載があります。

  1. Bubbleは、SOC2、CSA、ISO27001などの認定に準拠しているAWS上に構築されている
  2. 自動化されたコードテスト、(OWASP Top10を含む)脆弱性テスト、および継続的な監視テクノロジを使用している
  3. Bubbleアプリは、いつでも自分のデータのポイントインタイムデータリカバリにアクセスすることができる
  4. Bubbleアプリにはログが付属しているため、アプリがバックグラウンドで行ったことを確認できる
  5. AWS RDSのAES-256暗号化を使用して、保管中のデータを暗号化している
  6. アプリのデータは、ユーザー定義のプライバシー ルールによってアプリケーション レベルで保護される

以上から、Bubbleのセキュリティは強く、尚且つ今後もセキュリティ対策に向けた投資が行われていくことが期待できます(^^)

ノーコードツールであるBubbleのセキュリティは強い。そしてセキュリティに対して今後も積極的に投資がなされていくことが期待できる。

 

それでもBubbleアプリで個人情報が漏洩してしまっている理由は?

matome

さて前章でBubbleのセキュリティは弱くない、むしろ強いことが分かったかと思います。

それでも、国内外多くのBubbleアプリで個人情報が漏洩していることも事実です。なぜ情報が漏洩してしまうのか?

原因は開発者による設定不備にあります。

Bubble側も注意喚起のためにトピックを立ててます。(なお、トピック内で案内されているセキュリティ対策については後述)

そのため、開発者側で適切なセキュリティ設定をBubbleアプリに施してあげれば基本的に問題となることはないでしょう。

Bubbleアプリで個人情報が漏洩してしまっているのは開発者によるセキュリティ設定不備が原因である。

 

【ノーコード】Bubbleで最低限すべきセキュリティ対策5選

zero-trust

ここまでの話を踏まえて、本章ではBubbleで最低限しておいた方が良いセキュリティ対策を5つ紹介していきたいと思います。

特に1つ目と2つ目に関しては正しくセキュリティ設定が行われていないと非常に深刻な状況にあると言えるので対策必須です・・・。

セキュリティ対策①Data APIの設定を正しく行う<必須>

Bubbleの管理画面から「Settings」→「API」タブを開き「Enable Data API」にチェックが付いていないことを確認してください。

DataAPI設定
デフォルトでは非公開設定、つまりチェックが付いていない状態となっているので意図的にチェックを入れない限りは大丈夫。

「Enable Data API」にチェックが付いている状態だとData APIのURLにアクセスするだけでデータを簡単に取得することができる、言わばデータ取り放題状態にあると言えます。

Bubbleの専門知識を有する方がAPI提供システムを開発する場合を除けば「Enable Data API」にチェックを入れるケースというのはまずないはずなので確認しておきましょう。

セキュリティ対策②Privacy Rulesの設定を行う<必須>

Bubbleの「Data」→「Privacy」にてデータのPrivacy Rules設定の確認が可能です。

Data typeごとに適切なPrivacy Rulesの設定がなされているか確認しておきましょう。

なお、適切なプライバシールールの設定方法がわからないという方はBubbleのチュートリアルを受けることをお勧めいたします。

個人情報が格納されているData TypeのEveryone else (default permissions)のView all fieldsにチェックが入っている場合、JavaScriptに関する基本的な知識を持ち合わせている攻撃者が容易に個人情報を取得可能な状況なのでかなり危険であると言えます。

セキュリティ対策③パスワードポリシーを設定する<推奨>

Bubbleの「Settings」→「General」の「Define a password policy」にチェックを入れることでパスワードポリシーの設定が可能です。

パスワードポリシー

「Define a password policy」にチェックを入れると以下の項目が表示されるのでポリシー要件に応じた設定を行いましょう。

Password minimum lengthパスワードの最小の長さ
Require a number数字を必須とするか
Require a capital letter大文字を必須とするか
Require a non-alphanumeric character記号を必須とするか

セキュリティ対策④reCAPCHAによるスパム対策<推奨>

reCAPTCHAとは、Googleが無料で提供しているBotと人間を判別するためのサービスで、「私はロボットではありません」という表示を一度は目にしたことがあるでしょう。

reCAPRCHAのメリットは、botによる攻撃を防げる(スパム対策になる)ことです。

botによるフォーム登録は運用者にとってノイズとなりますし、ウィルスに感染させたり、個人情報を抜き出そうとしてきたりと百害あって一利なしの代物と言えます。

recaptcha-pic
【Bubble】reCAPTCHAプラグインにて「私はロボットではありません」を設置する方法reCAPTCHAプラグインを用いてBubbleで開発するアプリに「私はロボットではありません」を表示させる方法から使い方、メリットやデメリットについて解説しております。...

なお、reCAPTCHAをBubbleアプリに導入する方法については上の記事で詳しく解説しているので合わせて読んでいただけると幸いです。

セキュリティ対策⑤クレジットカード情報は極力自身で管理せずStripeのような外部サービスを利用する<推奨>

Bubbleはセキュリティ対策がなされた信頼できるノーコードツールです。前述した通りデータの暗号化も当然なされております。

しかし、クレジットカード情報のような決して漏れてはならないような個人情報に関しては念を取って極力自身で管理しない方針とし、外部の専門サービスを利用した方が無難です。

例えば、クレジットカード決済機能をBubbleアプリに導入するのであれば、Stripeのような実績あるサービスを利用しましょう。

stripe
【Bubble】Stripeプラグインを用いたクレカ決済の実装手順Bubbleで開発したWebアプリにStripeによる決済処理を導入するには?本記事ではStripeを活用した通常課金・返金処理、仮売上と請求確定、サブスクリプション処理とその解約処理の実装方法について解説しております。...

Stripeプラグインを用いてBubbleアプリにクレジットカード決済機能を実装する方法については上の記事にて詳しく解説しているので気になる方は合わせて確認してみてください。

Bubbleのセキュリティ強度自体は高いが、アプリ側の設定ミスがあると致命的なセキュリティホールとなり得るので注意する。

 

【ノーコード】Bubbleのセキュリティは弱い?懸念と5つの対策について|まとめ

bubble-security

ここまでノーコードツールであるBubbleのセキュリティに関する懸念と情報漏洩が起きている原因、最低限しておくべき対策について解説してきましたがいかがだったでしょうか?

Bubble自体のセキュリティ強度は高いものの、開発者自身の設定ミスによってはセキュリティリスクに晒されることが分かったかと思います。

Bubbleでアプリ開発をされる場合は是非本記事で紹介したセキュリティ対策を講じてアプリの安全性を高めるようにしてください。

たろう
たろう
ここまで記事を読んでいただきありがとうございました♪

本記事がノーコードツールBubbleのセキュリティに関するあなたの理解促進のお役に少しでも立てたのなら幸いです。ではっ

nocode-shorai
【最新版】ノーコードの将来性とプログラマー不要説についてノーコードの将来性ってどうなの?プログラマー不要説とか巷で話題になっているけど今後プログラマーって不要になるの?本記事ではこれらの疑問についてエンジニア目線で解説しております。...
bubble-sample
【Bubble】ノーコードツールの開発事例7選これからノーコードツール"Bubble"について学習される方やツールの導入を検討している企業担当者の中には以下のような疑問や考えを持つ方...
こちらの記事もおすすめ!

COMMENT

メールアドレスが公開されることはありません。