みなさん、こんにちは!
先日の記事でノーコードラボでは、Bubble のセキュリティ監査の専門企業である Flusk との代理店契約を締結しましたことをご報告しましたが、本記事では Flusk Vault の最新版(v2.4)の機能について、改めてご紹介したいと思います。
過去の記事「進化したセキュリティ監査ツール Flusk Vault 🚀」でご紹介した際は、実際のインストール方法などを中心にご紹介していますが、今回は具体的な機能についてフォーカスしたものをお届けしたいと思います。ちなみに、前回紹介時のバージョンは v2.0 でした。
Flusk Vault には、大きく分けて2つの機能が存在します。それが「セキュリティ監査」と v2.0 で正式リリースされた「モニタリング機能」です。
1. セキュリティ監査
「セキュリティ監査」の機能では、Flusk のダッシュボードから監査テストを実行、もしくはスケジュールすることで、Bubble アプリの脆弱性などをチェックしてくれるもので、主にテストで検出した問題点と、その具体的な解決策を確認することができます。
1.1. Issues Explorer
Issues Explorer では、検出した問題点をリストで確認することができます。下図の例の1つ目では「API 呼び出しで表示される URL」に関する問題を検出しています。
具体的には「API Connector で設定している API Call の URL には機密性が含まれてる可能性があります」といった内容となっていますが、ドキュメントを参照するこで、この問題の解決策についてのアドバイスを確認することができます。
1.2. プライバシールールチェッカー
プライバシールールチェッカーは、以前の記事でも紹介した通り、各 Data type に設定されているプライバシールールの機密性に問題がないかをチェックしれくれるツールです。
1.3. Page rating・Database rating
「Page rating」と「Database rating」では、監査テストを実行するための準備として、ページとデータフィールドに対して機密性レベルの評価を実施することができます。機密性レベルの設定については、こちらの記事で詳しく解説していますので、併せてご参考ください!
1.4. ウィジェット
監査テストを実施し、問題がすべて解決されているアプリの場合、Flusk のウィジェットをアプリに表示させることができます。このウィジェットには3 か月間の有効期限があるため、監査テストが期限以内に実施されていることを保証します。
1.5. セキュリティ証明書の発行
セキュリティ証明書の発行では、監査した内容を PDF のレポートにして発行することができます(英語のみ)。
具体的には、以下のような項目についてのレポートが発行できます。
- セキュリティの概要
- セキュリティの範囲
- 未解決の問題のリスト
- 無視された問題のリスト
- セキュリティ証明書
以上の機能以外にも、セキュリティ監査では「自動テストの設定」や「テスト履歴の確認」を行うことが可能です。
2. モニタリング機能
「モニタリング機能」はエラーやバグ、ユーザーのアクティビティなどの詳細情報が確認できるようになっており、この機能によって、アプリの持つ潜在的な課題に対して、効果的なアプローチが実現できるようになりました。
2.1. 分析機能
モニタリングの分析機能はとても強力で、Flusk プラグインを導入することで、アクティブユーザー、平均トラフィックの情報などについても取得することができます。
2.1.1. 国別のアクティブユーザー
このグラフでは、ユーザーの地理的なアクセス情報を取得することができます。また、アカウントを作成してログインしているユーザー、もしくは訪問者としての接続であるかと、期間(本日、過去7日間、過去30日間、過去3ヶ月間)で絞り込みを行うこともできます。
2.1.2.特定の期間のアクティブ ユーザーの数
アクティブ ユーザー数のグラフでは、指定した時間範囲(過去24H、14日間、30日間、30ヶ月)におけるアプリのアクティブユーザー(訪問者 or アプリでアカウントを持つユーザー)の概要を示します。
2.1.3. 現在オンラインのユーザー数
現在オンラインのユーザーグラフでは、時間範囲(過去5分間、15分間、30分間、60分間)のユーザー数を取得します。
2.1.4. 最近のアクティビティ
最近のアクティビティのグラフでは、選択した期間(過去24Hの時間ごと、日ごと、月ごと)のユーザーによる活動を示します。
2.1.5. 平均トラフィック
平均トラフィックのグラフでは、特定期間の平均トラフィックを示します。Y軸には曜日、X軸は1日の時間範囲が表示されます。また表示する時間の間隔は、2H、4H、6Hのいずれかから選択することができます。
このグラフでは、何曜日のどの時間帯にトラフィックが最も多くなるか?その時の平均アクティブユーザーは何人か?といった情報が分かるようになります。
2.1.6. 最もアクティブなユーザー
セッション数とその期間から、最もアプリに費やす時間が長かったユーザーを示します。時間範囲は、今日、過去7日間、30日間、3ヶ月間のいずれかを選択することができます。
また、結果をCSVにエクスポートしたり、Flusk のダッシュボードから、Bubble のデータベースビューから「Run as」するように、ユーザーとしてアプリを起動させることもできます。
2.1.7. 最も消費量の多いユーザー (WU)
最も消費量の多いユーザーでは、ワークロード ユニット (WU) の観点から最も消費量の多いユーザーの概要を示します。時間範囲は、今日、過去7日間、30日間、3ヶ月間のいずれかを選択することができ、CSVも出力できます。
コストの決定には、アプリが実行されているバブル プランが指標として使用されます。(例:「スターター」プラン (2024 年 3 月) では、1,000 WU を超えると 0.30 ドル)
2.1.8. 最長のワークフロー
最長のワークフローでは、ワークフローを実行時間別に並べ替えることができます。そのため、アプリを最適化しようとしていて、どこから始めればよいかわからない場合に役立ちます。
期間はミリ秒 (ms) 単位で表示され、時間範囲は、今日、過去7日間、30日間、3ヶ月間のいずれかを選択することができ、CSVも出力できます。また、計算方法も「平均(ワークフローの実行が完了するまでの平均所要時間)」か「累積(ワークフローのすべての実行の累積期間)」を選ぶことができます。
2.1.9. 最も消費量の多いワークフロー (WU)
最も消費量の多いワークフローのグラフでは、アプリ上で最も多くのワークロード ユニットを消費するワークフローを確認し、それに関連するコストを確認することができます。
最長のワークフローと同様に、時間範囲は、今日、過去7日間、30日間、3ヶ月間のいずれかを選択することができ、CSVも出力できます。計算方法も「平均(ワークフロー実行ごとに消費される平均WU)」か「累積(ワークフローによって消費された累積WU)」を選ぶことができます。
2.1.10. 最も実行されたワークフロー
最も実行されたワークフローでは、アプリで最も実行されたワークフローを確認できます。
時間範囲は、今日、過去7日間、30日間、3ヶ月間のいずれかを選択することができ、CSVも出力できます。
2.2. エラーとバグ
モニタリングのデバッグ機能では、エラー一覧と解決策を取得することができます。
エラーは Bubble アプリのログと Flusk のプラグインを使用して収集され、バックエンド、フロントエンド、プラグインで発生したエラーがキャッチされます。
特定のエラーをクリックすると、エラーの詳細情報が表示されます。下図のサンプルでは、Bubble のログから収集されたエラーであることなどが分かります。
「Occurrences」タブでは、どのユーザーに対して、どのバージョンでエラーが発生したのかなどを追跡することができます。また、Flusk プラグインを経由して取得したエラーの場合は、エラー発生時のスクリーンショットを参照することもできるようになっています。
「Explore associated logs」を参照することで、ビジュアルエクスプローラーを起動して、そのエラーにつながったワークフローのパス全体を追跡できるようになります。
「Impacted Users」タブでは、このエラーの影響を受けた一意のユーザーのリストを、各ユーザーが直面した発生回数とともに集計され表示します。
また完全な解決ができない場合は、直接 Bubble のフォーラムへエラーの詳細を記載したスレッドを投稿することができる機能までカバーされています。
2.3. ログエクスプローラー
ログエクスプローラーは、Bubble のログを一覧、もしくは直感的なビジュアル形式で表示してくれる機能です。
Backend、Page、Reusabule element と、どの場所で記録されたものかや、ユーザー、エラーのみ表示するといった条件で絞り込みを行うことができます。
以上でご紹介した機能以外にも、モニタリング機能では、「デプロイ機能」を利用して、ユーザーがアクセスしていない時間帯での自動デプロイをスケジュールしたり、「バックアップ機能」を使用して、Bubble で利用できるバックアップと同じ Json 出力のバックアップを自動で行ったりすることができます。
3. まとめ
Flusk Vault を導入することで Bubble アプリのセキュリティを強化しつつ、かつ Bubble の弱点とも言えたアプリの最適化や保守においてもカバーすることが可能となりました。
ノーコードラボでは、Flusk 社とパートナーシップ契約を締結していますので、もし Flusk Vault にご興味あります方がいらっしゃいましたら、ぜひ弊社ホームページよりお問い合わせくださいね!
では、次回もどうぞお楽しみに~!