不動産相場チェッカーセキュリティ監査＆公開完了

2026年3月8日 09:06 更新

一言でいうと

公開前にAI2体でセキュリティ監査し、5件の脆弱性を修正してGitHub公開完了

なぜこれが必要なのか

前回のセッションで不動産相場チェッカーのコードは完成していた。でも、GitHub（コードを公開・共有するサービス）で一般公開するとなると、「他人が安全に使えるか」を第三者目線で検証する必要がある。

特に怖いのがAPIキーの漏洩。ユーザーが自分のAPIキー（国交省のデータにアクセスするための認証コード）を入力して使うサービスなので、そのキーが意図せず外部に流出するリスクがないか徹底的にチェックした。

検証しないまま公開すると、ユーザーのAPIキーが第三者に見られる・悪用されるリスクがある。

何をしたのか

Codex（OpenAIのGPT-5.4を搭載したコードレビュー専用AI）にセキュリティ監査を依頼し、指摘された5件すべてを修正した。

指摘1: APIキーがノートブックに残る問題

Google Colab（Googleが提供する無料のプログラム実行環境）には「フォーム入力」機能がある。最初はこれを使ってAPIキーを入力してもらう設計だった。

問題は、フォーム入力した値はノートブックのソースコードに埋め込まれること。ユーザーが「保存」すると、APIキーがそのまま保存ファイルに含まれてしまう。

BEFORE（危険）

フォーム入力でAPIキーを入力 → 保存するとキーがファイルに残る

AFTER（安全）

getpass（パスワード入力用の仕組み）で入力 → 入力値はメモリ上のみ、保存してもキーは残らない

指摘2: HTTPリダイレクトでAPIキーが漏洩するリスク

プログラムがサーバーにデータを要求するとき、サーバーが「別のアドレスに行ってね」とリダイレクト（転送）することがある。このとき、リクエストに含まれていたAPIキーがそのまま転送先にも送られてしまう。

転送先が悪意のあるサーバーだった場合、APIキーが盗まれる。これを防ぐために、全てのHTTPリクエスト（サーバーへのデータ要求）に「リダイレクト禁止」の設定を追加した。

BEFORE

国交省APIへのリクエストのみリダイレクト禁止
国土地理院APIへのリクエストはリダイレクト許可のまま

AFTER

全てのHTTPリクエストでリダイレクト禁止
コード本体とノートブック内の両方で修正

指摘3〜5: ドキュメント・説明の不足

ノートブック冒頭にセキュリティ説明を追加 — 通信先がどこか、キーがどう扱われるかを明記。ユーザーが安心して使える
README（開発者向け説明書）にプライバシー情報を追加 — 住所データが国土地理院と国交省に送信される事実を明示
LP（使い方ガイドのWebページ）の手順を更新 — getpass方式に合わせて操作手順を書き換え

現在の公開状況

1 GitHubリポジトリ（コードの保管庫）

ramenumaiwhy/reinfolib-service で一般公開済み。MITライセンス（誰でも自由に使える許可証）。

2 Google Colabノートブック

「Open in Colab」バッジからワンクリックで開ける。APIキーはgetpassで安全に入力。

3 使い方ガイドLP（ランディングページ）

GitHub Pages（GitHubが提供する無料Webホスティング）で公開設定済み。APIキーの取得手順から分析結果の見方まで解説。

テスト結果

39件のユニットテスト（プログラムの各部品が正しく動くかの自動検証）が全て通過。セキュリティ修正後も機能に問題がないことを確認済み。

ポイント

なぜAI2体で監査したのか？ — Claude Code（実装者）が自分で作ったコードを自分でレビューしても見落としがある。Codex（GPT-5.4搭載の別のAI）という「他人の目」を入れることで、実装者が無意識にスルーしていた問題（getpassを使うべき、GSIリクエストのリダイレクト禁止が漏れている）を検出できた。

残っている作業 — Colabでの実機テスト（実際にブラウザで開いて動くか確認）はユーザー自身が行う必要がある。APIキーが必要なので、AIだけでは完結できない。

不動産相場チェッカー セキュリティ監査＆公開完了