Bubbleのセキュリティが安全な5つの理由。設定するべきセキュリティ項目も解説します！

ノーコードツール「Bubble」のセキュリティについて知りたい方は、本記事を参考にしてください。

\国内最高レベルのBubble開発/

Bubbleのプロに無料相談

【結論】Bubbleのセキュリティは安全
【これだけはしておきたい】Bubbleのセキュリティ設定
【補足】ノーコードのセキュリティが弱いと言われる2つの理由
1. １．「ノーコード＝安かろう悪かろう」のイメージ
2. ２．開発者の力量不足
Bubbleのセキュリティ｜まとめ

目次へ

【結論】Bubbleのセキュリティは安全

結論から言うと、Bubbleで構築されたアプリは、一般的なウェブアプリケーションに期待されるセキュリティは満たすことができます。

一般的なコード開発と共通して言えることですが、セキュリティは開発者の技量や知識に依存します。Bubbleで開発されたからといって、セキュリティが弱くなることはありません。

むしろプラットフォームとしてのBubbleは、セキュリティ対策を最優先事項としてとらえていることを明言しています。

メモ

公式サイトのセキュリティに関する声明

では、「なぜBubbleは安全と言えるのか？」そして、「セキュリティの具体的な対策方法」を解説します。

１．GDPRに準拠している

個人情報の取扱いに関する法律として、おそらく世界で最も有名なものが2018年5月にEUで施行された「EU一般データ保護規則 (GDPR)」です。

BubbleはGDPRに準拠しており、GDPRの規制内で法的・技術的に動作することが確認されています。ただし、Bubbleで開発されたアプリが必ずGDPRに準拠するわけではありません。後述するセキュリティ設定などが不十分だと、安全なアプリにはなり得ません。

２．AWS上に構築されている

BubbleはAmazon Web Services (AWS)上に構築されており、AWSはSOC2、CSA、ISO 27001などの認定を受けています。

３．物理的な脅威からの保護

AWS上に構築されているため、データサーバーの設置場所への侵入や停電、火災、自然災害、その他の物理的脅威をこちらで対策・管理する必要はありません。

４．アプリのバックアップ

アプリとデータベースは継続的に保存され、Point-in-Timeリカバリが可能です。

５．プライバシールール

プライバシールールを適用することで、データを保護することが可能です。

Bubbleのセキュリティに関して、より技術的・専門的な詳細が知りたい方はこちらを参照してください。

Bubbleに関するセキュリティの書籍も出版しているPetter Amlie氏によるブログ記事です

メモ

Is Bubble.Io Secure?

【これだけはしておきたい】Bubbleのセキュリティ設定

１．Bubbleアカウントの二段階認証

Bubbleアプリのセキュリティをどれだけ厳重にしても、Bubbleアカウントの情報が漏れてしまっては、全く意味がありません。後述するアプリ自体のロックも、プライバシーポリシーも、Bubbleエディタから変更できます。Bubbleアカウントに侵入されてしまったら、すべて変更可能なのです。

デフォルトでは、「メールアドレス」と「パスワード」があればBubbleアカウントにログインできます。二段階認証を設定すると、これらの情報に加えてモバイル端末に発行されるワンタイムパスワードも必要となります。より強力にアカウントを保護することができます。

STEP.1

Bubbleアカウントにログインします

STEP.2

Menu > My account > Account > SECURITYの「Set up 2FA」をクリックします。

訳）二段階認証を有効にすると、このアカウントにリンクされたモバイル端末がログイン時に必要となります。Google Authenticator、1Password、Authy、その他のアプリを使用してモバイル端末をリンクできます。アカウントを保護するために、二段階認証を設定することを強く推奨します。

STEP.3

パスワードを入力し、「Generate QR code」をクリックします。

STEP.4

表示されたQRコードを認証アプリで読み込み、「Current token」に認証アプリで現在表示されているトークンを入力します

STEP.5

「Activate 2FA」をクリックすれば、二段階認証が有効になります。＊デバイス紛失時に使えるコードも発行されますので、安全に保管しておきましょう。

２．アプリケーションのアクセス制限

上記のBubbleアカウント同様に、Bubbleアプリごとのアクセス制限も非常に重要です。Bubbleではエディタを使用してアプリケーションを開発しますが、このエディタに本人以外がアクセスできるように設定する項目があります。アカウント情報が漏れていなくても、この項目を間違えて設定していると、第三者がアプリを自由に編集できるようになってしまいます。

Bubbleエディタにアクセスし、Settings > General > Privacy & Securityから、「Define who can see and modify the app」が「Private app」になっていることを確認しましょう。

「Privete app」に設定されていれば、アカウント本人以外はエディタにアクセスすることはできません。

この項目が「Everyone can view」になっていると、誰でもエディタの閲覧が可能になってしまいます。

この項目が「Everyone can edit」になっていると、エディタの閲覧だけでなく、誰もがアプリの編集をできてしまいます。

Zeroqodeなどのプラグインを販売している会社では、デモアプリを「Everyone can view」で公開し、プラグインの実装方法を示しています。こういった特殊なケースを除き、こちらの項目は「Private app」に設定しておきましょう。

さらに、エディタだけでなくアプリにもアクセス制限を設定したい場合には、「Limit access to this app in run mode with a username and password」を使用します。

この機能を有効にしたBubbleアプリにウェブブラウザからアクセスすると、以下のようにユーザーネームとパスワードの入力を求められます。

「Do not apply password for Live」を有効にすると、本番環境はアクセス制限をせず、開発環境（URLにversion-testが含まれる）にのみアクセス制限がかけられます。サービスをローンチした後、基本的にはユーザーが開発環境にアクセスする必要はないので、こちらの機能を有効にしておくのがベターです。

３．APIエンドポイント

Bubbleは外部からAPIでアクセスすることが可能です。

エディタのSettings > API > Public API endpointsから、「Enable Workflow API and backend workflows」を有効にすることでワークフローを外部から実行できます。「Enable Data API」を有効にすることでアプリ内のデータを外部から操作できます。

これらのエンドポイントを有効にする場合は、API Tokensを厳重に管理すること、そして後述するプライバシールールをしっかり設定しましょう。