「AIを使えば、誰でも簡単にアプリが作れる」

Claude CodeやCursorなどのAI開発ツールの普及により、専門的なプログラミング知識を持たない人でも指示を出しながらアプリやシステムを作れる時代になりました。こうしたAIを駆使した開発手法は「バイブコーディング」と呼ばれ、2025年以降、SNSやスタートアップ界隈を中心に急速に広がっています。

しかし、アプリ開発の現場から見ると、その開発の中身には大きな落とし穴があります。見た目は問題なく動いていても、重要な情報が外部に漏れていたり、他人のデータを閲覧できる状態になっていたり、本番公開後に突然動かなくなったりするケースは珍しくありません。

本記事では、バイブコーディングを使ってアプリ開発を進めたい方に向けて、「知らなかった」では済まされないリスクと、AI時代における安全な開発の進め方をアプリ開発会社の視点から解説します。

バイブコーディングとは？特徴と見逃されやすい落とし穴

バイブコーディングとは、AIに指示を出し、AIが生成したコードをもとにアプリやシステムを作っていく開発手法です。2025年2月、AI研究者のアンドレイ・カルパシー氏がX（旧Twitter）上でこのワードを使ったことをきっかけに世界的に広まりました。

従来のアプリ開発では、プログラミング言語、データベース、サーバー、セキュリティなど、幅広い知識が必要でした。一方、バイブコーディングでは「ToDoアプリを作って」「顧客管理ツールを作って」と指示するだけで、AIが画面や機能のコードを生成してくれます。そのため、プロトタイプの作成や業務効率化ツールの開発では大きな効果を発揮します。

しかし、AIが生成するコードは必ずしも安全で信頼できるものとは限りません。実際、ソフトウェアのセキュリティ検査ツールを提供するVeracodeのレポートでは、AI生成コードの約45%にセキュリティ脆弱性が含まれる可能性が示されています。また、バイブコーディング製アプリを対象にした調査では、公開環境にある多数のアプリから脆弱性、APIキーなどの秘密情報、個人情報の露出が確認されています。

バイブコーディングにより開発の間口が広がり、非エンジニアでもアプリを手軽に作れるようになった一方で、リスクに気付かないまま公開されているアプリが増えていることは否定できない事実です。

バイブコーディングによる開発が適したアプリ・適さないアプリ

バイブコーディングは、シーンによっては大幅に開発期間やコストを圧縮できる有用な手段です。しかし、作るものによって必要な技術知識やセキュリティリスクは大きく変わるので、どんなものでもバイブコーディングで作れると過信するのは危険です。

特に注意すべきなのは、「自分のPCで動くこと」と「一般ユーザーに安全に使ってもらえること」はまったく別だという点です。プロトタイプとしてアイデアを素早く形にするだけであればバイブコーディングだけでも十分かもしれませんが、個人情報、決済情報、社外ユーザーのデータを扱う場合は、設計・認証・権限制御・デプロイ・運用まで含めた専門知識が欠かせません。

以下の表を参考に、自身が作ろうとしているアプリやシステムがバイブコーディングに適しているかを確認してみましょう。

作りたいもの	技術的難易度	セキュリティリスク
Webアプリ・社外向けサービス	中〜高	★★★★★
スマホアプリ（iOS / Android）	高	★★★★☆
社内ツール・業務効率化システム	低〜中	★★★☆☆
既存ツール連携・自動化	低〜中	★★☆☆☆
プロトタイプ・社内デモ	低	★☆☆☆☆

なお、スマートフォンアプリを一般公開する場合は、App StoreやGoogle Playへの申請、証明書、プッシュ通知、OSごとの動作確認など、開発だけにとどまらない作業が必要です。AIで画面を作ることはできても、公開までの工程はWebアプリとは大きく異なります。

非エンジニアによるバイブコーディングに欠陥が生じやすい理由

「プロンプトの書き方を工夫すれば、安全なアプリを作れるのでは」と考える方もいるかもしれません。確かに、AIへの指示の出し方は成果物の品質を大きく左右します。

例えば、ログイン機能・決済機能・通知機能をまとめてAIに作らせるのではなく、「まずデータベース設計をして」「次にログイン機能を作って」と分解して依頼する方がAIの出力は安定しやすくなります。また、「APIキーは環境変数で管理して」「本番環境ではエラー詳細を表示しないで」「RLSを設定して」といった具体的な指示を入れることで、リスクを下げることもできます。

しかし、ここには大きな前提があります。そもそも「何を指示すべきか」を知らなければ、正しいプロンプトは書けないということです。一例として、「RLSを設定して」と言えるのは、RLSが必要だと知っている人だけであり、「差分を確認する」という作業が必要だとしてもコードを読む基礎がなければ危険な変更を見抜けません。

プロンプト上のテクニックは有効ですが、それだけで安全な本番サービスを作れるわけではありません。バイブコーディングで作られたアプリに欠陥が生じやすい理由は、AIの性能不足だけではなく、確認すべきポイントを人間側が判断できないことにもあります。

バイブコーディングが抱える3つのリスク

ここからは、バイブコーディングで特に注意すべきリスクを「開発中」「公開時」「運用中」の3つのフェーズに分けて解説します。

AIで作ったアプリは、画面上では問題なく動いているように見えることがありますが、セキュリティ上の問題は見た目だけでは判断できません。むしろ、ユーザーからは正常に使えているように見えるまま、裏側で重大な欠陥を抱えているケースが多いのです。

1. 開発中に起こり得るリスク

開発中のリスクで特に多いのは、秘密情報の扱いミスや認証・権限制御の設計不足です。これらは開発の初期段階で埋め込まれることが多く、後から見つかると修正に大きな工数がかかってしまいます。

1-1. APIキーの流出

バイブコーディングで頻発しやすい事故の1つが、APIキーの流出です。APIキーとは、外部サービスを利用するための合鍵のようなもので、OpenAI、Stripe、Google Mapsといった各種クラウドサービスなどを使う際に発行されます。

AIが生成するコードでは、このAPIキーがコード内に直接書き込まれることがあるのです。この状態でGitHubなどにコードを公開したり、フロントエンドのコードに含めたままデプロイしたりすると、第三者にキーを抜き取られる恐れがあります。それが悪用されると、外部サービスを勝手に利用され、高額請求やデータ漏洩につながってしまう可能性も。

APIキーは原則としてコードに直接書かず、環境変数という仕組みで管理します。ただし、AIに明示的に指示しなければ、この基本が守られない場合があります。

1-2. 権限設定の不備による不正アクセス

ログイン機能は、アプリのセキュリティを高めるうえで重要な仕組みです。しかし、ログイン機能を付けただけですべてのデータが安全に守られるわけではありません。ログインは「誰が使っているか」を確認する認証の仕組みですが、「その人がどのデータを見てよいか」を制御する認可は別に設計する必要があります。

この認可が不十分だと、URLの数字を変えるだけで他人のプロフィールや注文履歴を見られてしまうことがあります。Supabaseなどを使う場合も、RLSのようなアクセス制御を正しく設定しなければ、見た目には正常に動いていても危険な状態になります。AIはログイン画面を作れても、こうした権限制御まで自動で担保してくれるわけではありません。

1-3. エラー詳細の露出による情報漏洩

開発中はエラーの原因を調べるために、画面上に詳しいエラーメッセージを表示することがあります。これは開発時には便利ですが、本番環境でそのまま表示されると危険です。なぜなら、エラー内容にはデータベースのテーブル名、ファイルパス、使用しているライブラリのバージョン、サーバー構成など、攻撃者にとって有益な情報が含まれることがあるからです。

本来は、本番環境ではユーザーには「エラーが発生しました」といった一般的なメッセージだけを表示し、詳細は管理者だけが確認できるログに記録する必要がありますが、AIが生成したコードでは開発用の設定が残ったままになることがあるため注意が必要です。

2. 公開時に起こり得るリスク

アプリが自分のPCで動いたとしても、それをインターネット上に公開するには「デプロイ」という工程が必要です。ここでつまずく非エンジニアは少なくありません。

デプロイでは、コードだけでなく、サーバー、ドメイン、SSL、データベース、環境変数などを正しく設定する必要があります。AIがコードを書いてくれても、本番環境の判断や設定は人間が行わなければならない場面が多くあります。

2-1. 本番環境での設定漏れによるアプリ停止・データ流出

非エンジニアがまず理解すべきなのは、「開発環境」と「本番環境」の違いです。開発環境は自分のPCやテスト用サーバーで動かしている状態であり、本番環境は実際のユーザーがアクセスする公開用の環境です。見た目は同じでも裏側の設定はまったく異なり、開発環境で動いていても本番環境では機能しないということは少なくありません。

本番公開時には、以下のような作業が必要です。

・APIキーやデータベース接続情報を本番環境に設定する
・独自ドメインを取得し、サーバーに接続する
・SSL証明書を設定し、httpsで通信できるようにする
・本番用データベースを用意する
・開発用の設定やデバッグ表示を無効にする
・バックアップや監視の仕組みを用意する

これらの設定を誤ると、アプリが起動しない、データが保存されない、テスト用データベースを本番で使ってしまう、外部から不正アクセスされるといった問題が起こります。

バイブコーディングでは「コードを書く」部分に注目が集まりがちですが、実際には公開作業の方が難しいケースも多いのです。

2-2. スマホアプリ特有の公開作業

スマホアプリをApp StoreやGoogle Playで公開する場合は、Webアプリとは別の難しさがあります。

iOSアプリであればApple Developer Programへの登録、証明書の管理、プロビジョニングプロファイルの設定、App Store Reviewへの対応が必要です。Androidアプリでも、署名キー、Google Play Console、審査ポリシーへの対応が求められます。また、スマホアプリはOSのバージョンや端末の違いによって挙動が変わることもあります。通知、カメラ、位置情報、課金などを扱う場合は、さらに細かな権限設定が必要です。

AIで画面や機能を作ることはできても、ストア公開まで含めた一連の作業を非エンジニアが単独で完結させるのは、現時点ではかなり難易度が高いと考えるべきです。

3. 運用中に起こり得るリスク

アプリは公開して終わりではありません。むしろ、本当のリスクは公開後に表面化することが多くあります。ユーザーが増えれば、想定外の使われ方も増えます。機能追加や修正を重ねるうちに、以前は動いていた機能が壊れてしまうこともあるでしょう。長期的に使うアプリほど、保守性とテスト体制が重要になります。

3-1. 機能の修正や追加による不具合の可能性

非エンジニアがバイブコーディングでプログラムを作ると、テストコードが欠落していることが少なくありません。テストコードとは「この機能は期待通りに動くか」を自動で検証するコードのことで、機能追加や修正を行った際に「他の部分が壊れていないか」を確認するためにも使われます。逆にテストコードがない状態で開発を続けると、新しい機能を追加するたびに既存の機能が意図せず壊れるリスクが高まります。

3-2. 場当たり的な開発がもたらすコードの崩壊

バイブコーディングでは、「まず動くものを作る」ことが重視されがちです。そのため、コードの設計や整理が後回しになりやすい傾向があります。最初は問題ないように思えても、機能追加を重ねるうちに同じような処理が複数箇所に散らばったり、不要なコードが残ったり、どこを変更すると何が壊れるのかわからない状態になっていきます。このような状態を、開発現場では「技術的負債」と呼びます。簡単に言うと、急いで作ったツケが後から回ってくる状態です。

一度コードが複雑に絡み合うと、後から専門家が引き継いだとしても読み解くだけで膨大な工数を要します。実際の開発現場では、「バイブコーディングで作られたプロトタイプを本番用に直すより、最初から作り直した方が早い」と判断されるケースもあります。

プロに相談しながらバイブコーディングを進めるという選択肢

ここまで読んで「リスクが大きいなら結局すべて外注するしかないのか」と感じる方もいるかもしれません。

しかし、バイブコーディングとプロへの依頼は、対立するものではありません。むしろ、AI時代の開発では「自分たちで素早く形にし、重要な部分だけ専門家に確認してもらう」という進め方は非常に合理的です。

例えば、社内の担当者がバイブコーディングでプロトタイプを作り、その後開発会社がコードレビュー、セキュリティチェック、データベース設計、本番環境の構築、デプロイ支援を行うという方法もあります。この手法であれば、すべてをゼロから外注するよりもコストや期間を抑えられる可能性が高く、非エンジニアだけで進めるよりも安全性や保守性を高められます。

特に、以下のような場面では専門家への相談をおすすめします。

・個人情報や顧客情報を扱う
・決済機能を実装する
・社外ユーザーに公開する
・業務で継続利用する
・スマホアプリとしてアプリストアに公開する
・作ったコードが安全か判断できない
・デプロイや本番環境の設定で不安がある

バイブコーディングは、アイデアを形にする力を大きく高めてくれますが、本番サービスとして安全に運用するには専門知識が必要な場面が多いので、シーンに合わせて開発会社を頼りましょう。

まとめ

バイブコーディングは、アイデアを素早く形にできる強力な手法です。しかし、「動いていること」と「安全に運用できること」は別物です。

APIキーの流出、権限設定の不備、本番環境の設定漏れ、テスト不足などは、見た目だけでは気づきにくく、公開後に大きなトラブルにつながる可能性があります。

特に、個人情報や決済情報を扱うアプリ、社外向けサービス、業務で継続利用するシステムでは、必要に応じて専門家の確認を入れることが重要です。バイブコーディングのスピードとプロの知見を組み合わせることが、AI時代の安全な開発につながります。