🔐

GMO Flatt Security のバイブコーダー応援プログラムに参加しました!

に公開
Security
セキュアコーディング
kenro
takumi
gmoflattsecurity
idea

こんにちは、株式会社 tacoms で SRE をやっている はぶちん (@modokkin) です。
急に気温が下がってきてすっかり秋になりましたね。ガーデナーにとっては植え替えシーズンなので楽しくも忙しくもある今日この頃です。

以前に引き続き植物管理サービスの開発に取り組んでいるのですが、ようやくMVP0として公開できそうになってきたのでセキュリティにも気を使っていきたいと思っていたところだったのですが…

そんなタイミングで「GMO Flatt Security エンジニア応援プログラム for バイブコーダー」に参加させていただく機会がありましたので、その体験をレポートしていきます!

参加のきっかけ

Xでの募集を見かけたことがきっかけでした。GMO Flatt Securityさんは以前仕事でお付き合いがあって、セキュリティの分野では信頼できる企業だなと思っていました。

特に気になっていたのが、セキュリティ診断AIの「Takumi」です。前から使ってみたいなと思っていたんですが、個人で契約するにはちょっと費用的にハードルが高く、いつか使ってみたいと思いつつ業務でも利用できていませんでした。

そんなときに、バイブコーダー向けに1ヶ月無料でTakumiを使える応援プログラムがあると知って、これはチャンスだ!と思って秒で応募しました。応募フォームには私の植物管理サービスに賭ける熱い思いを綴ったのですが、なんとか無事参加できることになりました。

プログラムの内容

「GMO Flatt Security エンジニア応援プログラム for バイブコーダー」は、以下の3つの特典がセットになった非常に魅力的なプログラムでした。

  1. GMO Flatt Security CTOの米内さんによるオンライン研修(2025/10/22 19:00-21:00)
  2. KENRO byGMO(セキュアコーディング学習サービス)の1ヶ月無料利用
  3. Takumi byGMO(セキュリティ診断AI)の1ヶ月無料利用

オンライン形式で参加でき、個人開発者にとって非常にありがたい内容でした。

オンライン研修で学んだこと

研修は米内さんによる2時間のウェビナー形式でした。そもそもリスクとは何かから始まり、リリースの判断は受容できるラインをどう探っていくかという話を具体例を交えて教えていただきました。セキュリティ対策について体系的に学ぶことができ、特に「セキュリティ対策の優先度の考え方」については印象的でした。

セキュリティ対策の根本的な考え方

研修の中で私にとって最も印象に残ったのは、「ユーザーが困ることを避ける、自分が困ることを避ける」という考え方でした。

ユーザーが困らない状況を作ること。はセキュリティを考える上で当たり前なのですが、提供元である自分たちが困らない状況を作ることも重要です。

この考え方を軸に、具体的にどんなセキュリティ対策を優先すべきかを考えていくというアプローチがとても理解しやすかったです。

CIAとCritical User Journey

では、具体的に「ユーザーが困ること」とは何でしょうか?その典型的な種類をCIAに沿った形で紹介されていました。

  • Confidentiality(機密性):ユーザーの資産が漏れる
  • Integrity(完全性):ユーザーの資産が改ざんされる
  • Availability(可用性):ユーザーが自分の資産を利用できなくなる

いわゆる情報セキュリティ3要素ですが、こうして当てはめると理解しやすいですよね。

そして、サービスのCritical User Journey(ユーザーにとって最も重要な動線)を考え、そこをいかにして守るのかという事が重要になります。
ウェビナーの中で自分の作っているサービスについて考える時間が設けられていたのですが、改めて見つめ直す良いきっかけになりました。

セキュリティ対策の優先順位

優先度を決める上での基本として強調されていたのは、「守りたいものの近くから手をつける」という考え方でした。
一例として守る対象が「DBの個人情報」だった場合は以下のような感じです。

データベース周りの対策

  • DBのアクセス経路を守る
  • DBのバックアップを守る
  • IAMなどアカウントの認証を強固にする

アーリーフェイズで特に注意すべきこと

開発初期段階では、.envファイルやクラウドリソースの残骸に特に注意が必要。

  • 不要なサービスアカウント
  • 使われていないIAMロール
  • 忘れ去られたAPIキー

分かっていてもやりがちだと思うのですが、これらは放置すると大きなリスクになるので忘れないうちに対処しておくことが大事です。

管理画面のアクセス制限

サービスの管理画面については、IAP(Identity-Aware Proxy)を使って特定のGoogleアカウントでのアクセスを必須とするなど、アクセス制限が重要だと再認識しました。まさか管理画面に使い回したパスワード使ってませんよね?

ローカル環境のセキュリティ

意外と見落としがちなのがローカル環境です。

  • 手元に本番データは転がっていないか
  • 手元に強い認証情報は転がっていないか
  • 開発端末が死んでもサービス継続できるか

このあたりも確認すべきポイントとして挙げられていました。

その他の重要なポイント

可用性の観点では、通信経路も強固にすることが大切です。クラウドを活用した最近のインフラならむしろ避けては通れませんが、CDNやロードバランサーを活用して、サービスの継続性を担保します。

また、AI活用で開発速度が上がっている今だからこそ、テストの重要性が増しているという話題もありました。速く作れるからこそ、品質担保の仕組みが必要です。

米内さんが話されていた中で特に印象的だったのは、「考える時間を分ける」という考え方でした。

  • 作る時間
  • レビューする時間
  • セキュリティについて考える時間

これらを明確に分けることで、それぞれの品質が上がるということです。当たり前かもしれませんが、なるほどと思いました。

その他にも以下のような実践的なアドバイスがありました。

  • クラシカルな脆弱性はKENROで学ぶ
  • 爆発的な費用がかかるシナリオを想定する
  • 構築手順を文書化する
  • 事故のイメトレをしておく

第三者セキュリティ診断やCVE対応など、これまでも業務を通してセキュリティの基礎はある程度理解していたつもりでしたが、改めて重要なポイントを体系的に抑えることができました。講義は一般的な話として非常に分かりやすく、順を追って説明してもらえたので、濃い内容にも関わらず重要なポイントが記憶に残りました。

KENROで学習してみた

プログラムの一環として、KENROでセキュアコーディングについて学習しました。

まず取り組んだのはSQL Injection脆弱性についてのコースです。実は、コーディングレベルでの脆弱性対策はこれまであまり深く学んでこなかった分野で、正直苦手意識がありました。

KENROでは、脆弱性の仕組みから対策方法まで、基礎から丁寧に学ぶことができました。実際のコード例を見ながらハンズオン形式で学べるのが良いですね。

他にも様々なコースが用意されているので、今後少しずつ学んでいきたいと思います。

Takumi で実際に診断してみた

そして今回の目玉、Takumi です!

まず利用手順が超簡単なのがすごいです。GitHubと連携したらあとはウェブのコンソールからチャットで依頼するだけで診断を行なってくれます。
Devinと体験は似ているのですが、簡単に始められるUI/UXは圧倒的だと感じました。作業環境の話なんか1ミリも出てきません。
本来はSlack連携をすることでより便利に使えるようなのですが、個人開発でSlackは用意していなかったので今回はウェブ上だけで利用しました。

早速、個人開発中のサービスのログイン機能を診断してもらいました。実は、このログイン機能はClaude Codeにセキュリティを意識しつつ実装したもので、かつ最近のフレームワークやお作法を守るようにしていたので、基本的な対策はできているはずだと思っていました。

それでも、プロトタイプとはいえ予想に反して想像以上に多くの指摘があって驚きました。さすがは GMO Flatt Security さんのノウハウがふんだんに盛り込まれたサービスです。

具体的な指摘内容は割愛しますが、自分では気づけなかった観点が多数ありました。ある程度はセキュリティ対策についても対応できているつもりでしたが、まだまだセキュリティ的に改善できる点があるということです。

あとは、Takumiが提案してくれる修正内容を頼めばそのまま実装までしてくれるので、一度使い始めたら手放せないだろうなと感じました。

学びと今後への影響

このプログラムを通して、セキュリティ対策の考え方が大きく変わりました。特に「守りたいものの近くから手をつける」という優先順位の考え方は、今後のサービス開発に大きく影響すると思います。後回しになりがちなセキュリティ対策ですが、ラインを決めて今やるべきことを見極めていきたいと思います。

また、Takumiで一通り診断してもらうことで、プロダクションレベルのセキュリティ対策ができているという自信を持ってサービスをリリースできそうです。一定の安心感を持ってリリースできるのは、個人開発者にとって非常にありがたいことです。

所属企業でも、機会があればKENROやTakumiを提案してみたいと思いました。きっとこの記事を見た弊社のAI Native CTOが採用してくれるはずです。

まとめ

GMO Flatt Security様には圧倒的感謝です!

オンライン研修だけでも非常に有益な内容でしたし、KENROとTakumiを1ヶ月無料で使えるのは本当にありがたかったです。

正直、収益化前の個人開発の段階では、セキュリティツールの費用面でのハードルが高いと感じることが多いです。今回のような応援プログラムは、バイブコーダーにとって非常に価値があると思います。

今後の期待としては、例えば機能を縮小したものでもいいので、より安価に利用できるプランがあると嬉しいなと思いました。例えば、MCP対応でAPI課金のような形で利用できると、個人開発者としては使いやすいかもしれません。(とはいえそもそもセキュリティのスペシャリストをこんな価格帯では雇えないので、無理な話かもしれませんが)

いずれにせよ、今回のプログラムで正式サービスリリース時の判断材料を十分に得ることができました。セキュリティ対策をしっかり行って、安心してサービスを世に出していきたいと思います。

この記事がどなたかの参考になれば幸いです!

Discussion