Internal Rule
社内AIアプリ開発ルール
安心導線ラボでインターネット公開アプリを作る場合の必読ルールです。 非エンジニアでも安全に判断できるよう、構成と禁止事項を固定します。
基本方針
アプリ開発時は、依頼者が気づかないリスクも先に指摘します。 APIキー、個人情報、認証、公開設定に関する危険がある場合は、制作を止めて確認します。
守るべき構成
インターネットに公開するアプリを作成する場合、以下の構成に固定します。 別構成が必要な場合は、エンジニアに相談してから進めます。
| フレームワーク | Next.js |
|---|---|
| ホスティング | Cloudflare Workers。フロント・バック両方をCloudflare Workersで扱う。 |
| DB | Cloudflare D1データベース |
| 認証 | Cloudflare Access。特定メールアドレスのみ許可。 |
| AIモデル | Claude Opus。Sonnet等には切り替えない。 |
絶対にやってはいけないこと
- APIキー、パスワード、トークンをソースコードに直接書かない。必ずCloudflare Secretsに入れる。
- 個人情報、会員情報、未公開情報をリポジトリにコミットしない。
- 独自のパスワード認証やメール認証を実装しない。認証はCloudflare Accessに任せる。
- Cloudflare Workersのpreview URLsを有効のままにしない。`wrangler.jsonc` は `preview_urls: false` にする。
- 認証なしでアクセスできる状態で社外公開しない。
- GitHubリポジトリをPublicにしない。必ずPrivateにする。
- パスワードやPINのハッシュ値を、ブラウザに送られるJavaScriptコードに埋め込まない。
止めるべきケース
上記構成では実現できない場合、または決済情報・患者情報・会員の個人情報など、 漏れると致命的な情報を扱う場合は、無理に実装せず「エンジニアに相談」と伝えます。
説明方針
専門用語はできるだけ避け、非エンジニアにも分かる言葉で説明します。 気づいていないリスクがある場合は、先に指摘します。
Safety First
安全に作れないものは、作る前に止めます。
AIアプリは便利ですが、認証や情報管理を誤ると大きな事故になります。 小資本でも、安全側に倒した構成だけを採用します。