黒崎です。
「個人開発だし、セキュリティはリリース後でいいか」
こう考えている方、多いのではないでしょうか。しかし、個人情報を扱うサービスであれば、開発初期からの対策が不可欠です。
1. シークレットをコードに書かない
APIキーやDBパスワードは環境変数またはSecret Managerで管理してください。GitHubに公開した瞬間にボットに拾われます。
2. SQLインジェクション対策
プレースホルダを必ず使いましょう。文字列結合でSQLを組み立てるのは厳禁です。
3. HTTPS必須
2026年において、HTTPで個人情報を送信するのは論外です。Cloud RunやFirebase Hostingなら自動でHTTPS対応されます。
4. 依存パッケージの脆弱性チェック
govulncheck(Go)やnpm audit(Node.js)を定期的に実行しましょう。
5. アクセスログの保存
何かあったときに調査するために、最低90日間はログを保存しておきましょう。
セキュリティは「やりすぎ」くらいでちょうどいいと考えています。
※ この記事の情報は執筆時点のものです。