上級⑤ セキュリティ総点検

決済まで備えた今、あなたのサービスは攻撃する価値のある標的になりました。怖がらせたいのではありません——今日の総点検を一周すれば、個人開発として上位の防御水準になります。半年ごとに繰り返せる“監査の型”として身につけましょう。

点検1：鍵の棚卸し——全環境変数を等級分けする

Vercelの環境変数一覧を開いて、1つずつ等級を言えるか確認します。この講座で積み上げてきた集大成です。

リポジトリ全体を検索して、APIキーや秘密の値がコードに直書きされていないか、NEXT_PUBLIC_ が付いた秘密の鍵がないか、service_roleキーがブラウザ側のコードからimportされていないかを点検して。問題があれば修正案も。

点検2：RLSの一覧確認＋2アカウントの儀式

SupabaseのSQL Editorで、全テーブルの門番の有無を一覧します。

select tablename, rowsecurity
from pg_tables
where schemaname = 'public'
order by tablename;

• ・rowsecurity が false の表がないか——1つでもあれば、その表は丸見えの可能性。即対応。
• ・plan や is_admin のような“権利の列”が、ブラウザから書き換え不可になっているか（上級②の列権限）。
• ・仕上げはいつもの2アカウント確認：別アカウントで他人のデータが見えない・書けないこと。

点検3：セキュリティヘッダー——ブラウザに渡す防御指示

セキュリティヘッダーは、ページを返すときに添える「このサイトはこう守って」というブラウザへの指示書。1ファイルの設定で、いくつもの定番攻撃の芽を摘めます。

next.config に基本のセキュリティヘッダーを設定して：X-Frame-Options（クリックジャッキング対策）、X-Content-Type-Options: nosniff、Referrer-Policy、Permissions-Policy、Strict-Transport-Security。さらに Content-Security-Policy も、SupabaseとStripeとGA4の通信を壊さない形で設定できるか検討して。設定後にログイン・決済・解析が動くことを確認する手順も教えて。まず計画を見せて。

点検4：認証まわりの本番設定

• ・Supabase Authの Confirm email（メール確認）——テスト中にオフにしたままなら、本番はオンに戻す（捨てメールでの大量登録対策）。
• ・パスワードの最低文字数を確認（8文字以上推奨）。
• ・Site URL／Redirect URLs が本番ドメインになっているか。
• ・アカウント削除の導線があるか（ユーザーの“消す権利”。なければ「マイページにアカウント削除機能を付けて。確認ダイアログ付きで」とAIへ）。

点検5：AIに“攻撃者の目”で監査させる

最後に、ここまでの観点をAIの目でまとめて再点検。これを中級①のスキルに足して、いつでも呼べる監査コマンドにしておきましょう。

攻撃者の視点でこのリポジトリを監査して。観点：①秘密の鍵の漏れ・置き場所 ②認可の穴（他人のデータを読める/書ける箇所、planを自分で書き換えられる箇所）③入力検証（長すぎる入力・変な値で壊れる箇所）④XSS（ユーザー入力をそのままHTMLに入れている箇所）⑤決済まわり（金額やプランをブラウザから指定できないか）。重大度順に、修正案つきで報告して。

おさらい：半年ごとの監査チェックリスト