エンジニア応援プログラム for バイブコーダー　体験記

作っているアプリ

家族が死亡した際に必要なタスクを期限の短い順に洗い出し、タスク管理をサポートしてくれるアプリ「受け継ぐAI」　　※2025年11月時点では非公開状態

受け継ぐAI

Xで「家族が死亡したらやることリスト」みたいな画像をみかけて、かなりやることが多く、Tips的な事も結構あるなぁと思ったところから作成したアプリ。基本的に人生で１回しか使わないと思われるため、ネイティブアプリではなくLINEの公式アカウントで運用するのが良いと判断しました（Macもってないしiphoneアプリはハードル高そうというのもある）

全体構成

ユーザーはLINE公式アカウント「受け継ぐAI」を友達追加すると、死亡日や居住自治体などを聞かれ、回答結果をもとにタスクを生成する。というもの。手続きなどは法的根拠を裏付けとするためにWeb検索などから手続きの根拠法令も検索する。

あれもやりたい。こんな機能も必要だよなぁと思っていたら、かなり機能が複雑化してしまった。要件定義あるある。

そして裏側でGoogle Cloudを多用しているので、いたずら目的などで公式アカウントと大量にやりとりされ、クラウド課金が爆発しないか。などが気になるところ。ユーザが爆発的に増えた場合（あり得ないけど）に備え、Stripeによる決済機能も用意した。

使用感

ヒアリング項目に回答すると、タスクの洗い出しが行われる。後はチャット上でタスク管理ができる

パンダさんに診てもらう

早速提供いただいたセキュリティ診断サービス「Takumi」で診てもらうGithubと連携しておくと、リポジトリを指定するだけで話が通じるので大変便利だと思った。

パンダさんに頼むところ。UIがシンプルでとても直感的

しばらく待つと診断が終わったので見てみる。 決済機能に11件のセキュリティ問題。やばいじゃん。笑

11件の重要なセキュリティリスク

レポートも提出してくれる。 書いてあることの意味はさっぱり分からないが、やばそうということは分かる。 攻撃シナリオで具体的にどんなケースか想像ができるのは、私のようなバイブコーダーにとっては有難い。

あったらいいな。な機能

試しに診断結果をGithubリポジトリのSecurity Advisoryに登録しておいて。と頼んでみたけど、それはできない模様。ここまでできれば、Claudeでコーディング→Githubへプッシュ→Takumiで診断＆結果をGithubに登録→Claudeで結果から対策実装までをシームレスにできるので良いかなと思った。

が、レポート結果にコピー機能がついているので、そのままGithubのページに貼り付ければ問題なしです。

やりたかった。けどできなかったこと

今回はある程度の実装が進んだ段階でTakumiで診断→Claudeで改善の流れで行いましたが、要件定義や設計書まで作成した段階でドキュメントベースの診断→実装時に留意すべきセキュリティ対策をドキュメント化それをもとにコーディングすれば手戻りも少なくトークンの節約にもなりそうだ。と思った。が、ドキュメントベースでどのぐらいの芯を食った診断結果をもらえるかは未知数です。

Claudeとのチェック結果を比較

折角なので、ざっくりClaudeにもチェックしてもらい結果を比較してみることにした。

Claudeでのセルフ診断

• OIDCトークン検証の欠如

Takumiで影響度=深刻となっていたもので、Claudeの診断結果には含まれていないものを、あたかも自分が気が付いたように伝えてみる

• Stripe Webhook署名検証

こちらもClaudeには含まれていなかった指摘。やはり専門のサービスとして運用しているTakumiの方が優れている点は多そう。ただし2025年11月現在の状況で、今後どうなるかは不明ではある。（Codexにセキュリティ診断的な機能が組み込まれるようだし）

今回の学び

Vibe Codingだけで本番リリースは、かなりヤバい

Takumiの診断結果をみて、Vibe Codingでポン出しするのはかなり危険だということが分かった。正直言ってリリースすることが少し怖くなった。また、診断結果を正しく怖れるためには、ある程度のセキュリティに関する知識を勉強しないといけないということも。診断結果に書いてあることが実際にどのぐらいリアリティがあって、かつありふれた対策なのか。ある程度知識がないと判断できないと思った。