メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://docs.base44.com/llms.txt

Use this file to discover all available pages before exploring further.

セキュリティスキャンはアプリ全体を確認し、検出した問題を明確なリストで表示します。各問題について、何が問題なのかを説明し、ワンクリックで適用できる推奨修正を提示します。
アプリのセキュリティはあなたの責任です。AI チャットは設定を助けることができますが、意図したとおりに構成されているかを確認するため、必ず設定を見直し、セキュリティスキャンを実行してください。
セキュリティスキャンと Fix All は、無料プランを含むすべてのプランで利用できます。

スキャンを実行する

セキュリティスキャンを実行する手順:
  1. アプリエディタで Dashboard をクリックします。
  2. Security をクリックします。
  3. Run Security Scan をクリックします。
  4. Issues details の下にリストされた問題を確認します。
  5. Fix All をクリックして推奨修正をすべて一度に適用するか、個別の問題を展開して個別に修正します。
Running a security scan on your app
スキャンは自動的に修正を適用しません。適用前に推奨内容を確認してください。露出した認証情報やログインギャップの問題については、AI チャットの Discuss モードに問題を貼り付けると、手順が得られます。

スキャン結果の見方

スキャンでは 5 種類の問題が確認されます。

データ権限のギャップ

データテーブルに権限ルールが欠けている場合、または必要以上のアクセスが与えられている場合に表示されます。各問題には、影響を受けるテーブル、問題の説明、推奨ルールの表が表示されます。Fix All をクリックして推奨を適用するか、テーブルに入り権限を手動でカスタマイズします。

認証情報の露出

アプリの訪問者からアクセスできる場所に API キー、パスワード、トークンが見つかったときに表示されます。これらの認証情報を見つけた人は、誰でも外部サービスやデータにアクセスできてしまいます。露出した認証情報を修正するには、対象の場所から削除し、安全に保管してください。AI チャットの Discuss モードに問題を貼り付けると、手順が得られます。

ログイン検証のギャップ

アプリのバックエンドの一部が、利用者を確認せずにデータを渡しているときに表示されます。たとえば、サインインの確認なしにアカウント詳細を返すケースなどです。AI チャットの Discuss モードに問題を貼り付けると、修正の手順が案内されます。

パッケージの脆弱性

アプリで使用しているサードパーティのライブラリやツールに既知のセキュリティ問題があるときに表示されます。各問題には重大度(Critical、High、Medium、Low)と、アップグレードすべき推奨バージョンが含まれます。

セキュリティヘッダー

スキャンがアプリのリスクプロファイルに基づいて推奨する、ブラウザレベルの保護がアプリに不足しているときに表示されます。たとえば、アプリにログインや支払いがある場合、欠けているヘッダーは重大度が高いとして通知されます。各問題には、重大度と、ヘッダーをすぐに有効化する Fix ボタンが表示されます。 スキャンが確認するヘッダーは 2 つあります。
  • Prevent Embedding (X-Frame-Options): アプリが他のサイトの iframe 内で表示されるのを防ぎます。アプリ上の何かをユーザーが気付かずにクリックさせられるクリックジャッキング攻撃から保護します。
  • Restrict Browser Features (Permissions-Policy): カメラ、マイク、位置情報など、アプリがアクセスできるブラウザ機能を制限します。これらを制限すると、不要な場合のアプリの攻撃対象領域を減らせます。
スキャンを実行しなくても、いつでもこれらのヘッダーを有効化できます。 セキュリティヘッダーを有効化する手順:
  1. アプリエディタで Dashboard をクリックします。
  2. Security をクリックします。
  3. 右上の Settings アイコン をクリックします。
  4. Security Headers で、Prevent EmbeddingRestrict Browser Features、またはその両方を有効にします。
Advanced Security Settings

よくある質問

アプリを初めて公開する前と、新しいデータテーブルの追加、権限の更新、新しい連携の接続など、大きな変更を行うたびに実行してください。Security タブには、スキャン結果が最新でなくなったときに古いと警告が表示されるため、再実行のタイミングが分かります。
サードパーティサービスへのリクエストはすべてバックエンド関数で扱い、API キーはシークレット管理で保管してください。これによりアプリの訪問者から見つけられる場所に認証情報を置かないようにできます。
すべてのデータテーブルとプライベートアプリは暗号化されます。ただし、データはエンドツーエンドで暗号化されてはおらず、必要に応じて Base44 の管理者がデータにアクセスできます。
このページは AI によって翻訳されています。最も正確で最新の情報については、英語版を参照してください。