🔒

GMO Flatt Security エンジニア応援プログラムに参加してきた件〜AI時代のセキュリティは大事だぞ〜

に公開
テーマ「2025年の最も大きなチャレンジ
Security
セキュリティ対策
GMO
ai活用
Vibe Coding
tech

はじめに

2025年11月、GMO Flatt Securityが提供する「エンジニア応援プログラム for バイブコーダー」を修了しました。
本記事では、参加の経緯、プログラムの内容についてレポートさせていただきます。

そもそも GMO Flatt Security エンジニア応援プログラム for バイブコーダーとは

AIツールを活用した開発手法、いわゆる「バイブコーディング」が主流となる中で、専門知識の有無にかかわらず、全ての開発者が安全なプロダクトをリリースできるよう支援するために誕生したのが、「GMO Flatt Security エンジニア応援プログラム for バイブコーダー」です。
このプログラムは、セキュリティのプロによるリスク管理の講座に加え、脆弱性を体感できる学習サービス「KENRO byGMO」や、自動診断ツール「Takumi byGMO」を無料で提供することで、AI時代の開発者を支援してくれます。

自己紹介

早稲田大学1年のAmanoと申します。N高等学校でプログラミングを学び、現在はGMOインターネット株式会社にてエンジニアのインターンをさせていただいております。

技術スタック

  • 言語: JavaScript, TypeScript, Python, PHP
  • フレームワーク: React/Next.js, Node.js
  • インフラ: Vercel
  • CMS: microCMS
  • 開発ツール: Claude Code, Cursor, GitHub Copilot

GMO Flatt Security プログラム参加の経緯

参加前の課題

私は医療法人で受託開発を行う活動を行っている関係で、医療情報を扱うあるWebメディアの開発を受託していました。
実際にエンジニアとして活動している者ではありますが、工数削減の為バイブコーディングを活用しました。

技術構成:

  • Next.js 14 + TypeScript + microCMS + Vercel
  • Claude Code/Cursorによるバイブコーディング開発

直面していた課題:

  1. 「どこまでやればリリースしていいのか」が分からない

    • AIが生成したコードは安全なのか?
    • 医療情報を扱うメディアとして、どこまで対策すれば十分なのか?
    • クライアントに「セキュリティは大丈夫です」と自信を持って言えない

  2. セキュリティ対策の優先順位が不明

    • やるべきことが多すぎて何から手をつければいいか分からない
    • 限られた開発時間で何を優先すべきか判断できない

  3. バイブコーディング特有の不安

    • AIが生成するNext.js/Reactコードのどこをチェックすればいいのか
    • microCMS APIキーの管理は今のままで大丈夫なのか

応募の決め手

GMOインターネットグループのニュースで、本プログラムを知り、ちょうど開発状況とタイミングがぴったり合い、応募を決意しました。

  1. 開発中のプロダクトに直結する対策が学べるから
    Med-Dent Hubは医療情報を扱うメディアであるため、セキュリティは必須要件です。microCMS API連携のセキュリティ検証、XSS対策などコンテンツ表示の安全性確保、環境変数管理のといった、具体的な課題を解決する実践的な知識が得られると強く感じました。

  2. 実践的なツールで知識を定着させたかったから
    このプログラムでは、脆弱性を体感できる学習サービスKENRO byGMOや、自動診断ツールTakumi byGMOが提供されており、学んだ知識を即座に自分のコードで実装・検証できる環境が、知識の確実な定着に繋がると考えました。

  3. セキュリティについて知識をつけたかったから
    私自身はセキュリティ分野について体系的な知識が不足していたため、今回のプログラムをきっかけに、SQLインジェクションのようなレガシーな攻撃手法から、AIコード生成時代における新しい脅威への対策も含め、セキュリティ関連の基礎的な内容を包括的に身に付けたいと思いました。

プログラム内容

1. セキュリティ基礎講座

GMO Flatt Security CTO・米内貴志氏による約2時間のオンライン講座を受講しました。

リスク管理の基礎

リスクの定義

  • リスク = 「発生可能性」× 「影響度」
  • リスクをゼロにする必要はない
  • 「受容できるライン」まで管理することが重要

リスクへの対応

  1. 回避: そもそもリスクのある行為を行わない
  2. 軽減: 対策によりリスクを小さくする
  3. 移転: 保険などで他者にリスクを転嫁
  4. 受容: リスクを認識した上で受け入れる

セキュリティ対策の優先順位

立ち上げ期のプロダクトでは、以下の順序で対策を進めることが推奨されているそうです。

優先度1: ユーザーが困ること

  • データ漏洩
  • サービス停止
  • 個人情報流出
  • コンテンツ改ざん

優先度2: 自分が困ること

  • ソースコード消失
  • 予期しないコスト増加(API課金等)
  • 開発環境の侵害

優先度3: インシデント対応の備え

  • ログ管理システム
  • 対応フローの整備
  • 報告体制の構築

現代の脅威環境

「水平攻撃」の時代

  • 従来:特定ターゲットへの「標的型攻撃」
  • 現在:広範囲への「水平攻撃」(ランサムウェア等)
  • 「自分は狙われない」は通用しない

具体例: ランサムウェア

  • データを暗号化し、身代金を要求
  • 固定された攻撃手法で広範囲を狙う
  • 小規模サービスも攻撃対象になり得る

2. KENRO byGMO での実践学習

完了したコース

SQL Injection 脆弱性(100%完了)

実際にハンズオン演習を行い、以下のような攻撃を体験しました:

-- ログイン認証をバイパスする例
-- パスワード欄に入力: ' OR '1'='1
SELECT username FROM users 
WHERE username='admin' AND password='' OR '1'='1'

気づき:
Med-Dent Hubでは直接的なSQL操作はmicroCMS経由のため影響は小さいものの、将来的な機能拡張(会員登録等)で必要な知識となるなと感じました。

その他にも、Cross-Site Request Forgery (CSRF) 脆弱性、Cross-Site Scripting(XSS)脆弱性、OS Command Injection 脆弱性等たくさんの学習プログラムを無料で受講できるので、引き続き学習していきたいです。

3. Takumi byGMO(セキュリティ診断AIエージェント)

セキュリティ診断AIエージェント「Takumi byGMO」を1ヶ月間無料で利用できました。
一般的なAIと比べると時間がかかりますが、かなり正確な診断を行ってくれるそうです。

診断は以下のような手順でした。

プロジェクトでの診断実施

診断の流れ:

  1. GitHubリポジトリをTakumiに連携
  2. 「GitHub連携済みのセキュリティ診断を実施したい」とプロンプト入力
  3. Takumiが自動的にコードを分析し、脆弱性をレポート

バイブコーディング時代のセキュリティ実践

AIコード生成の注意点

バイブコーディングでは、人間によるコーディングなら対策できるようなレガシーな脆弱性をたくさん作ってしまっている事がわかりました。
以下は実際に開発中に起こった脆弱性です。

1. 環境変数の扱い 

// ❌ AIが生成しがちな危険なコード
const apiKey = "12345abcde"; // ハードコーディング

// ✅ 人間がレビューして修正すべきコード
const apiKey = process.env.MICROCMS_API_KEY;
if (!apiKey) throw new Error('API key not found');

2. リッチテキストの安全な表示 

// ❌ XSSのリスクがあるコード
<div dangerouslySetInnerHTML={{ __html: article.content }} />

// ✅ サニタイゼーション後の表示
import DOMPurify from 'isomorphic-dompurify';

const sanitizedContent = DOMPurify.sanitize(article.content);
<div dangerouslySetInnerHTML={{ __html: sanitizedContent }} />

学びと今後の展望

バイブコーディング × セキュリティの可能性

AIツールの登場で、誰もがプロダクト開発できる時代になりました。一方で、セキュリティ知識の不足が問題になっていると昨今感じます。
Copilotのようなツールが生成するコードは便利ですが、その裏には、既存の脆弱性パターンを再生産してしまうリスクや、利用規約違反や情報漏洩につながる学習データの混入リスクが常にあると思います。
そこで、本プログラムのような実践的な学習機会自動診断ツールの組み合わせにより、バイブコーダーでも一定のセキュリティを担保したプロダクトを開発できると感じました。
実際にバイブコーディングを行っている非エンジニアの方も参加してみてはいかがでしょうか!

今後の活動

1. 医療メディアの会員登録機能の実装

学んだ知識を即座に実践し、医療情報メディアとして求められる高いセキュリティ基準を満たすプロダクトを作りたいと思います!

2. 知識の共有

色々な学生コミュニティで、学んだ内容を共有し、他の学生エンジニアの安全な開発を少しながらサポートしたいと思いました。

まとめ

GMO Flatt Security エンジニア応援プログラムへの参加は、バイブコーディング時代のセキュリティに対する認識を大きく変える経験となりました。

Before: 「セキュリティは難しそう」「完璧にできないならやらない方がいい」

After: 「リスクを理解し、段階的に対策すれば、個人開発者でもセキュアなプロダクトを作れる」

本プログラムでの学びを活かし、今後もユーザーに安心して使っていただける個人開発を実践していきます。

最後に、このような貴重な機会を提供してくださったGMO Flatt Securityの皆様に心より感謝申し上げます。

関連リンク

About Me

早稲田大学1年 | GMOインターネットグループ インターン
技術で社会課題を解決することをミッションに、医療IT・ヘルステック分野で活動しています。
良ければ仲良くしてくださいませ。

Discussion