さまざまな開発ワークフロー環境に対応した一般的なセキュリティ ガイドライン

このページでは、環境全体のセキュリティに関する最も重要なベスト プラクティスについて説明します。セキュリティと Firebase に関するより詳細なガイダンスについては、セキュリティ チェックリストをご覧ください。

本番前環境のセキュリティ

異なる Firebase プロジェクトで環境を分離するメリットの 1 つは、本番前環境にアクセスできる悪意のあるユーザーが、実際のユーザーデータにアクセスできないことです。本番前環境で最も重要なセキュリティ対策は次のとおりです。

  • 本番前環境へのアクセスを制限するモバイルアプリの場合は、App Distribution または類似のアプリを使用して、特定のユーザーセットにアプリを配布します。ウェブ アプリケーションは制限が難しいため、本番前環境用にブロック機能を設定し、ドメイン固有のメールアドレスを持つユーザーにアクセスを制限します。Firebase Hosting を使用している場合は、一時的なプレビュー URL を使用して、本番前環境のワークフローを設定します。

  • 環境を持続する必要がなく、1 人(またはテストの場合は 1 台のマシン)でのみ使用する場合は、Firebase Local Emulator Suite を使用します。これらのエミュレータは、クラウド リソースを使用する代わりに localhost で完全に動作するため、安全かつ高速です。

  • 本番環境と同様に、本番前環境で Firebase Security Rules が設定されていることを確認します。一般に、Rules は環境全体で同一にする必要があります。ただし、ルールはコードによって変更されるため、パイプライン内で本番環境にないルールが存在している可能性があります。

本番環境のセキュリティ

本番環境データは、アプリの状態に関係なく、常にターゲットになっています。次のガイドラインは、悪意のある人物によるデータの取得を完全に防ぐものではありませんが、このガイドラインに従うことで、データの取得は非常に難しくなります。

  • 使用しているすべてのプロダクトで App Check を有効にして適用する。App Check は、バックエンド サービスに対するリクエストが正規のアプリから送信されていることを確認します。この機能を使用するには、アプリの各バージョンを App Check に登録する必要があります。ユーザーがいない状態でも簡単に設定できるので、できるだけ早い段階で設定してください。

  • 堅牢な Firebase Security Rules を作成します。Realtime DatabaseCloud FirestoreCloud Storage はすべて、デベロッパーが構成した Rules を使用して、データへのアクセスを許可するユーザーと禁止するユーザーを特定します。セキュリティ上、適切な Rules を記述することが重要です。方法がわからない場合は、まずこの codelab をご覧ください。

  • 本番環境用のセキュリティの詳細については、セキュリティ チェックリストをご覧ください。

次のステップ