【イベントレポート】誰もがアプリを作れる時代、基礎から学ぶセキュリティ入門

プログラミングの知識がなくてもAIを使ってアプリ開発ができる「バイブコーディング」が広まる昨今。しかし、簡単に作れるようになった反面、セキュリティの基礎知識がないまま作られた「むき出しの危険なアプリ」が増えているという懸念もあります。

今回は、2026年2月17日（火曜日）にSUNABACOで開催されたセミナー「基礎から学ぶセキュリティ入門」の様子をレポートします。ゲストに日本マイクロソフトの畠山氏を迎え、サイバー犯罪の現状から、私たちがとるべき具体的な対策まで、専門家による忖度なしの本音トークが繰り広げられました。

講師：畠山 大有 氏
Microsoft Principal Technical Architect
株式会社SUNABACO Technical Fellow

日本はすでにサイバー犯罪に「負けている」？

冒頭、畠山氏が突きつけたのは「日本という国はすでにサイバー犯罪に負けている」という衝撃的な事実でした。

サイバー犯罪は今や、国のGDP成長率を遥かに上回る勢いで成長している巨大ビジネスです。「貧困から抜け出すために人生を賭けてやっている」攻撃者も多く、単なるいたずらではなく、明確に「金銭」を目的としたビジネスとして成立しています。

特に日本企業は、侵入されていても平均して1年近く気づかないケースが多いとのこと。その間、情報は盗まれ放題という状況にあります。

最大の防御策は「IDとパスワード」の管理

では、高度なセキュリティ対策ソフトを買えば安心なのでしょうか？ 畠山氏は「ツールを買えば安心というのは勘違い」と一刀両断します。

実は、セキュリティインシデントのほとんどは、アカウント（ID・パスワード）を盗まれることから始まります。逆に言えば、認証さえしっかり管理していれば、被害の多くは防げるということです。

• 多要素認証は必須： パスワード（知識）だけでなく、スマホなどのデバイス（所有）や生体認証を組み合わせることで、セキュリティレベルは格段に上がります。

• 「場所」は関係ない： 「社内ネットワークだから安全」「VPNだから安心」という考え方は古く、危険です。今は「ゼロトラスト（何も信頼しない）」が基本であり、「誰が（ID）」「何を（データ）」触っているかを管理することが重要です。

Webサイトは「丸裸」である

Webアプリケーションを作る際、初心者が陥りがちな罠についても解説がありました。Webブラウザで「F12」キーを押せば、Webサイトの裏側のコードや通信内容は誰でも見ることができます。

• パスワードをコードに書かない： 初心者が作ったアプリには、ソースコードの中にデータベースの接続パスワードなどがそのまま書かれていることがあります（ハードコーディング）。これは世界中に「私の家の鍵はこれです」と公開しているのと同じです。

• HTTPSでも中身は見えている： 通信が暗号化されていても、ブラウザ上では復号されて表示されます。Webの世界は基本的に「晒し者」であるという認識を持つ必要があります。

クラウドを使う最大の理由は「セキュリティ」

果たしてオンプレミスは本当に安全と言えるでしょうか？

「なぜクラウド（Azureなど）を使うのか？」という問いに対し、畠山氏は明確に「セキュリティのため」と断言しました。その理由の核心は、技術的な機能差というよりも、むしろ「運用する『人』と『体制』の圧倒的な差」にあります。

1. 「自分たちで守る」ことの限界

多くの企業や組織が「オンプレミス（自社運用）の方が、自分たちの手元にあるから安全だ」と考えがちですが、畠山氏はこれを否定します。その最大の理由は「守れるだけの『人』がいないから」です。

もし組織内に、世界最高レベルの攻撃に対抗できる専門家チームを雇える資金と体制があるなら、自社運用でも構いません。しかし、大半の企業にはそれがありません。一方で、マイクロソフトのようなクラウドベンダーは、30年以上にわたりWindowsやOfficeを通じて世界中からの攻撃を受け続け、それに対処してきた「テクノロジー」「体制」「人」「時間」という膨大な資産を持っています。

2. 戦っている相手は「国家レベル」

私たちが守らなければならない相手は、単なる個人のハッカーではなく、組織化された犯罪集団や、時には「国家」そのものです。彼らは膨大な予算と時間をかけて攻撃を仕掛けてきます。 一般的な企業のIT担当者が、片手間でこれに対抗するのは不可能です。だからこそ、常に最前線で戦っている専門家集団（クラウドベンダー）のインフラに乗っかる方が、結果として安全性が高まるのです。

3. 「均一のルール」による防御の鉄則

自社でサーバーを立てる場合、個々のサーバーごとに設定やパッチ適用を行う必要があり、管理が複雑化します。しかし、クラウド（特にAzureのようなプラットフォーム）は、**「均一のルール」**で管理されています。 世界最高峰のセキュリティルールを一律に適用することで、低コストで高いセキュリティレベルを維持できます。これは、個別にバラバラの対策を行うオンプレミスでは実現困難なメリットです。

4. 「PaaS」を使えば、面倒な管理を放棄できる

クラウドの中でも、特にPaaS（Platform as a Service）を使えば、OSのアップデートやミドルウェアのパッチ当てといった面倒な作業をベンダーに任せることができます。 自社運用の場合、例えばPythonのバージョンが古くなれば、自分たちで検証して更新し続けなければなりません。放置すればそこがセキュリティホールになります。クラウドのPaaSを利用すれば、基盤部分の脆弱性対策はベンダーが自動的に行ってくれるため、ユーザーは「アプリケーションの中身」と「ID管理」だけに集中すればよくなります。

畠山氏が主張する「クラウドを使う理由」は、「自社にはセキュリティを完ぺきにこなせるリソースがない。だからこそ、その道のプロフェッショナルであるクラウドベンダーの堅牢な基盤を利用する」**という極めて合理的な判断に基づいています。

ただし、クラウドを使えば「何もしなくていい」わけではありません。畠山氏は最後に、ID・パスワードの管理（多要素認証など）や、公開範囲の設定など、ユーザー自身がやるべき最低限の責任（責任共有モデル）を果たすことの重要性も強く訴えています。

「バイブコーディング」時代の落とし穴とAI活用

セミナー後半は、ゲストの大塚篤司氏（近畿大学医学部教授）、安倍雄一郎氏（札幌メディカルリサーチ）が登壇し、中村マコト（株式会社SUNABACO代表取締役）ファシリテーションのもと、トークセッションが行われました。

AIを使えば、誰でも簡単にコードが書ける時代（バイブコーディング）。しかし、安倍氏はこれを「ブレーキのついていない8000馬力の車を作るようなもの」と例え、議論が繰り広げられました。

基礎を知らずに動くものを作れてしまうため、とんでもないセキュリティホール（脆弱性）を含んだまま公開してしまうリスクがあります。

だからこそ、現状のバイブコーディングで何が可能なのか、そして自分がどこまで責任を持てるのかを明確に線引きすることが重要です。

そのためには、最低限のプログラミング理解が欠かせません。

アプリの見た目やデータの流れが把握できる、いわゆる「モック」は、今や専門家でなくても作れる時代です。
現場で使えるレベルまでテストできれば、その後の本格的な保守・運用は専門家にバトンタッチするという進め方も推奨されていました。

AIを「守り」に使う

しかし、AIは敵ではありません。畠山氏は、「作ったコードやシステムをAI（Microsoft Copilotなど）にチェックさせる」方法を推奨しています。

「このリソースを調べて、セキュリティ上の問題があったらリストアップして、対策も教えて」

このようにAIに指示出し（プロンプト）をすることで、人間が見落とすミスをAIが指摘し、修正コードまで提案してくれます。AIで作ったコードの穴は、AIを使って塞ぐ。これが現代の賢い開発スタイルです。

---

今回のセミナーは、すでにバイブコーディングでアプリを制作している参加者も多く、セキュリティの重要性を知るだけでなく、当事者として突きつけられるような、緊張感あふれる時間となりました。

Xのニュースにも掲載されるほどの熱量です。

本来であれば一般公開、しかも無料で開催できるような内容ではありません。

それが実現できるのは、単なるスキル習得の場ではなく、社会課題の解決に本気で向き合い、価値を生み出す人材を育てるSUNABACOコミュニティだからこそです。

SUNABACOでの学習を通じて、実際に事業化を目指している方、挑戦を続けている人だけが集まるこの場だからこそ、通常ではお招きできない専門家との接点が生まれ、ネットだけでは得られない、本当に価値のある情報に触れることができるのです。

SUNABACOビジネススクール公募情報

プログラミングスクール | 3月9日開講
https://sunabaco.com/programming/

デザインコース| 3月9日開講
https://sunabaco.com/schools/design/

DX人材育成講座 | 4月6日開講
https://sunabaco.com/schools/digital-transformation/