こんにちは。ノーコード専門の開発会社Walkersです。
弊社では1000件を超える問い合わせを受けてきましたが、以下のような悩みを持つ方が少なくありません。
Bubble開発ってセキュリティは安全なの?
最近では、よく情報漏洩が問題になっているので心配になりますよね。。。
実は、Bubbleのセキュリティは決して弱くありません。むしろ従来のコーディング開発よりも強くなる場合もあります。
そこで今回は、Bubbleのセキュリティについて以下の内容を解説していきます!
- Bubbleのセキュリティが安全な7つの理由
- サイバー攻撃に対する公式の見解
- 代表的なBubbleのセキュリティ設定
- セキュリティが安全でも情報漏洩が起きる理由
- セキュリティを万全にするための解決策
この記事を読むことで、セキュリティについて心配することなくBubble開発を利用可能になるので、ぜひ最後までご覧ください。
Walkersでは「開発ノウハウがない」「最大限に効率よく開発を進めたい」企業さまに、事業を成功に導くBubble開発支援を行っています。⇒Bubble開発支援サービスの概要はこちら
執筆者:山口 鳳汰
ノーコード開発専門メディア「Walkersメディア」編集長。
ノーコードの電子書籍を3冊出版し、1冊はAmazonベストセラーを獲得。
その他、受託開発や教育など多数のノーコード事業に参画している。
運営会社:株式会社Walkers
ノーコード専門の開発会社。
300件以上の開発/制作実績、200件以上の企業様を支援。
マーケティングやUI/UXと掛け合わせたサービス開発を得意としている。
執筆者:山口 鳳汰
「Walkersメディア」編集長。
ノーコードの電子書籍を3冊出版し、1冊はAmazonベストセラーを獲得。
運営会社:株式会社Walkers
ノーコード専門の開発会社。
これまでに300件以上の開発/制作実績、200件以上の企業様を支援。
【結論】ノーコードBubbleのセキュリティは安全
初めにも言いましたが、Bubble開発のセキュリティは決して弱くありません。
弊社Walkersでも100事業を超える開発をしてきましたが、セキュリティに関してまったく問題なく運用できています。
大手のWeb開発者向けメディアであるSitepointでは、ノーコードで開発されたアプリに関するセキュリティの安全性について以下のように書かれています。
ノーコードで開発されたアプリはセキュリティが弱いと言われているが、それは単なる思い込みである。実際にはコードを書いて開発する方がセキュリティが弱くなることもあり、それに比べてノーコードツールは十分にテストされているため比較的安心して利用することができる。
引用:https://www.sitepoint.com/the-rise-of-the-no-code-movement/
基本的に世界的に利用されているBubbleのようなノーコード開発ツールであれば、セキュリティに関して非常に厳しくチェックされています。
そのため一般的なエンジニアが0からコードで開発するよりも、Bubbleで開発した方がセキュリティが高くなることがよく起こります。
Bubbleのセキュリティが安全な7つの理由
【理由①】SOC2・GDPRに準拠している
Bubbleでは、第三者機関によるセキュリティ有効性の保証である「SOC2」や、「GDPR(EU一般データ保護規則)」に準拠してセキュリティが構築されています。
※SOC2とは「クラウドサービスプロバイダーなどの事業者を対象に、米国公認会計士協会(AICPA)が定めたサイバーセキュリティやコンプライアンスに関して、監査法人や公認会計士など独立した第三者の立場から客観的に評価したもの」を指す。
※GDPR(EU一般データ保護規則)とは「個人データ保護や取り扱いについて、厳しく規定されたEU(欧州連合)域内の各国に適用される法令」を指す。
GDPRやSOC2は世界的にも信頼が置かれている規格であるため、この時点でセキュリティが強いことは証明されていると言ってもよいでしょう。
【理由②】多くのAWS認証に準拠している
BubbleはAWS(アマゾン・ウェブ・サービス)という世界で最も包括的で幅広く採用されているサービス上で構築されており、AWSの厳しい143個のセキュリティ標準とコンプライアンス認証に準拠しています。
また、AWSのセキュリティの安全性については公式から下記のように名言されています。
AWS のクラウドコンピューティング環境は、現時点で最高レベルとなる柔軟性とセキュリティを発揮するよう設計されています。AWS のコアインフラストラクチャは、軍隊、国際展開している銀行、およびその他高い機密性が求められる組織のセキュリティ要件を満たすように構築されています。これは、300 を超えるセキュリティ、コンプライアンス、ガバナンスのサービスと機能を備え、143 のセキュリティ標準とコンプライアンス認証をサポートする、充実したクラウドセキュリティツールによって裏付けられています。
【AWS公式】AWSとは?
実際にAWSのセキュリティは世界でトップレベルと言われているため、弊社としても安心してBubbleを利用できています。
【理由③】厳しい脆弱性テストが実施されている
Bubbleでは万一にも情報漏洩が起きてしまうことがないように、厳しい脆弱性テストや包括的な進入テストを継続的に実施しています。
Bubbleセキュリティページでも下記のように名言されています。
当社では、自動化されたコード テスト、脆弱性テスト (OWASP Top 10 を含む)、および継続的な監視テクノロジーを使用しています。Bubble は、包括的な OWASP WSTG に従って、侵入テストを (少なくとも) 年に 1 回実施しています。
【Bubble公式】セキュリティページ
Webアプリおける最も重大な10のリスクをまとめたOWASP Top 10は、最も信頼性の高いセキュリティリスクのリストの1つとして広く知られているため、非常に厳密なテストが行われていると言っても過言ではないでしょう。
※OWASP(Open Worldwide Application Security Project:オワスプ)とは「世界に100を超える支部があり数万人のメンバーが参加している、信頼できる安全なアプリ設計の普及を目的とした非営利組織のこと」を指す。
【理由④】プライバシールールをサービスの仕様にカスタマイズできる
Bubbleでは非常に細かくプライバシールールという「データ管理の設定」を行えます。この設定を厳密に行うことで、セキュリティの大幅な向上が可能です。
【理由⑤】最先端の暗号化 TLS・RDS AES-256で保護されている
Bubbleでは、最先端の暗号化技術でデータ保護を行なっています。
具体的には以下の通り。
- データ転送中:TLS暗号化システムにより保護
- データ保存中:RDS AES-256暗号化システムにより保護
上記の2つは業界でも非常に信頼性が高いと言われている暗号化システムとなっています。
※TLS(Transport Layer Security)暗号化とは「Web上でデータを安全に送受信するための暗号化の仕組みのこと」を指す。暗号化の最新規格となっているためセキュリティが非常に強い。
※AES(Advanced Encryption Standard)256暗号化とは「256bitのキーを使用したネットワーク通信のデータを暗号化するためのアルゴリズム」を指す。コンピュータ解析でも実質的に解読不可能のほどにセキュリティが強い。
【理由⑥】世界的大企業がセキュリティ問題なくBubbleを利用している
Bubbleは、以下の世界的大企業で利用されています。
- Shopify(シェア率No.2 ECプラットフォーム)
- HubSpot(15万社以上が使う営業支援ツール)
- hp(パソコン・情報通信業の大手会社)
- VMware(ITクラウドの大手会社)
- L’Oréal(最大規模の化粧品会社)
- Lyft(売上高10億ドルを誇る運輸ネットワーク企業)
- YAMAHA(ピアノやバイクで有名な日本の上場企業)
- DANONE(ヨーグルトで有名な世界的企業) etc…
わたしたちも聞いたことがある身近な世界的大企業でも使われていることは、Bubbleを使う側としては非常に安心できます。
【理由⑦】Bubble公式がセキュリティを最優先事項として運営している
Bubbleでは、ノーコードのセキュリティ問題を重く見てセキュリティ専用のページを公開しています。
Bubbleは「最も安全なプラットフォーム」であることを掲げており、下記のように名言しています。
Bubbleはノーコード開発プラットフォームをさらに改善するために、常にセキュリティは最優先事項として捉えています。
【Bubble公式】セキュリティページ
セキュリティを最優先事項として捉えており、厳密にセキュリティ対策が施されているところを見ると、Bubbleはノーコード開発ツールの中でも最も安全なツールの1つと言っても過言ではないでしょう。
サイバー攻撃に対するBubbleの対策
Bubbleでは、以下のサイバー攻撃に対しても厳密に対策されています。
- ネットワークスキャン:WAFにより対策
- ポートスキャン:WAFにより対策
- XSS:独自の技術により対策
- CSRF:独自の技術により対策
- SQLインジェクション:クエリエスケープメカニズムにより対策
- LDAPインジェクション:LDAP未使用のため安全
- XPathインジェクション:XMLデータベース未使用のため安全
- OSコマンドインジェクション:OSコマンド未実施により安全
- evalインジェクション:脆弱性テストにより対策
- ゼロデイ攻撃:Cloudflareにより対策
- ブルートフォース攻撃:パスワードポリシーにより対策
- パスワードリスト攻撃:パスワードポリシーにより対策
- 辞書攻撃:パスワードポリシーにより対策
- マルウェア:Cloudflareにより対策
- MITB攻撃:Cloudflareにより対策
- ディレクトリ・トラバーサル攻撃:アプリのサンドボックス化により対策
- 強制ブラウジング:アプリ設定により対策
- DDoS攻撃:社内の保護システムとCloudflareにより対策
- SYNフラッド攻撃:社内の保護システムとCloudflareにより対策
- Ping(ICMP)フラッド攻撃:社内の保護システムとCloudflareにより対策
- ランダムサブドメイン攻撃:Cloudflareにより対策
詳しくは知っておくべき21種類のサイバー攻撃とBubbleでの対策まとめをご覧ください。
Bubbleで対策できるセキュリティ設定を一部紹介
①Bubbleアカウントの2段階認証
Bubbleでは開発アカウント自体に2段階認証を設定可能です。
2段階認証を設定していない場合は「メール」と「パスワード」を入力すれば誰でもログイン可能となり、情報漏洩する確率が高くなってしまいます。一方、
2段階認証を設定した場合は「メール」と「パスワード」に加えて、このアカウントにリンクされた別の端末の「ワンタイムパスワード」が必要になるためセキュリティが大幅に向上します。
Bubbleを活用する際の2段階認証は非常におすすめです。
②エディタ(開発画面)へのアクセス制限
Bubbleではアカウントだけでなく、エディタ(開発画面)へのアクセス制限も行えます。
アクセス制限をしていない場合は、アカウントにログインしている人であれば誰でもアカウント内のエディタを編集できます。一方、
アクセス制限を行った場合は「ユーザー名」と「パスワード」がエディタに設定されるため、開発担当者以外は編集不可能になります。
③アプリへのアクセス制限(Basic認証)
Bubbleでは上記に加えて、アプリへのアクセス制限(Basic認証)も実行可能です。
アクセス制限が設定されているページに対しては「ID」と「パスワード」を記入しないとアクセスできないようになります。
アプリ公開前に非常に重宝するセキュリティ機能となっています。
④プライバシールールの設定
プライバシールールによって「各データに対して、誰にどのデータを表示させるか」を設定できます。
例えば、チャットアプリを開発するとしましょう。この際にはプライバシールールによって「自分」と「チャット相手」のみにデータが表示されるように設定する必要があります。
もし、プライバシールールを設定しない場合はチャットの内容が他の人でも簡単に見れるようになり、情報が漏洩してしまいます。
⑤パスワードポリシーの設定
Bubbleではパスワードポリシーと呼ばれる「ユーザーがパスワードを設定する際の条件」を設定できます。
この設定によって以下のような条件を付け加えられます。
- 最低12文字以上
- 大文字を1文字以上
- 数字1つ以上
- 記号1つ以上 etc…
この設定を行うだけでユーザーの情報漏洩を未然に防ぐことが可能です。
【注意】セキュリティが強くても、情報漏洩は起きる
ここまでで、Bubbleのセキュリティがどれだけ万全かわかっていただけたと思います。それでは、Bubbleを使えば情報漏洩するリスクが100%ないと言い切れるのでしょうか?
答えはNoです。
その理由について、詳しく解説していきます。
過去に他ツールで情報漏洩が起きている
ノーコード開発ツール提供側のセキュリティが万全でも情報漏洩が起きてしまう可能性は十分にあります。
代表的な事例として、Microsoftが運営しているアプリ開発ツール「PowerApps」で起こった情報漏洩を以下に載せておきます。
米セキュリティ企業のUpGuardは8月23日(現地時間)、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。
UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。
引用:Power Appsポータルの設定ミスで約3800万件の個人情報漏えい
つまり、ただの設定ミスによって情報漏洩が起きてしまったということです。
これはBubbleにも通ずるケースで、いくらBubbleが万全なセキュリティを提供しても開発者が設定ミスをしてしまった場合は漏洩してしまいます。
セキュリティの強さは開発者に依存する
Bubble開発において情報漏洩する原因の99%は「開発者のセキュリティ対策不足」です。正しくセキュリティ対策をを施していれば、Bubbleではまず情報漏洩することはないでしょう。
しかし、正しくセキュリティ対策をするのは簡単ではありません。その場合はどうすればいいのでしょうか?
【解決策】Bubble開発を外注する場合は信頼性の高い会社を選ぶ
ここまで読み進められてきた方の中には、Bubble開発を外注して、サービスをリリースしようとしている方も多いのではないでしょうか?
Bubble開発を外注する際は「信頼性の高い会社」にお願いすることをおすすめします。
Bubble開発はまだ出てきて間もない最新のテクノロジーということもあり、技術力が会社によってピンキリです。
そのため、その会社が本当に信頼性のある技術力の高い会社なのかしっかり調べることが重要となっています。
信頼性の高い会社をどのようにして見極めるべきかについてですが、基本的には、
- 信頼できる実績があるか
- 問い合わせた際の対応がよいか
- ブログやSNSで発信されているか
を調べれば、信頼性の高い会社を見つけられると思います。
Bubbleのセキュリティの解説は以上になります。この内容が最適なセキュリティ対策の参考になれば幸いです。
Walkersでは成果が実証されたノウハウをもとに、事業を成功に導くBubble開発支援を行っています。新規事業・システム開発でお悩みがある方はお気軽にご相談下さい。
