非エンジニア向けITリテラシー向上講座 第4回：バイブコーディングのセキュリティ実践

全6回シリーズの第4回です。第1〜3回で身につけた知識をもとに、AIを使う中で起きやすい情報漏洩や設定ミス、危険なコードの見分け方を実践的に学びます。 「AIが書いたコードをそのまま使って大丈夫？」「APIキーはどこに書けばいいの？」「データベースが誰でも見られる状態になっていないか不安」「社内情報や顧客情報をAIに渡してよいのか判断できない」。ChatGPTなどを日常業務で使う場合も、Claude CodeやCursorなどでAIコーディングをする場合も、便利さの裏側には自分で判断すべきポイントがあります。 AIは、文章やコード、設定案をすばやく出してくれます。一方で、秘密情報をどこに置くべきか、公開してはいけないデータは何か、ユーザー入力をそのまま信用してよいかといった判断は、使う側に残ります。動いたから安全、AIが言ったから正しい、とは限りません。 第4回では、実際に起きやすい危険パターンを見ながら、「AIに直させる」「最初から書かせない」「自分で確認する」ための判断基準を身につけます。 ## 【この回で学ぶこと】 ・AIが書きがちな危険なコードや設定のパターン ・APIキーなど秘密情報の安全な管理(.gitignore、公開後の対処) ・フロント側に秘密情報を置いてはいけない理由 ・データベースが全公開になる事故と防ぎ方(RLSの基本) ・入力を信用しない考え方(SQLインジェクション、XSSの基礎) ・AIの開発でよく出るCORSエラーの正体と直し方 ・乗っ取りや高額請求を防ぐ考え方(レート制限、HTTPSの強制) ・AIに情報やコードを渡す前に確認すべきポイント ## 【取り上げる事例】 ・Firebase/Supabaseの公開設定ミスでデータが全公開 ・LINE PayのソースコードがGitHubに流出 ・個人開発者がAPIキー盗難で高額請求