AIのあとしまつ

費用・発注ガイド

AIで作ったプロトタイプを本番公開する前に確認すること——優先度つきチェックリスト

Cursor・Bolt.new・Lovable・v0・Claude Codeで作ったプロトタイプを本番公開する前に確認すべき項目をまとめた。「必須」「推奨」「後でいい」の3段階で優先度も整理している。

プロトタイプ 本番化AI プロトタイプ 本番化本番公開 チェックリストAIコード 本番Lovable 本番化vibe coding 本番AI生成コード チェックプロトタイプ 製品化本番環境 設定セキュリティ 確認

AIコーディングで「動くアプリ」ができたとき、本番に出せる状態かどうかはまったく別の話だ。

プロトタイプと本番の差は「動くかどうか」ではなく、「安全に動くか」「壊れたとき気づけるか」「データが守られているか」の差だ。この差の全体像は「最後の30%」完全ガイドで分解している。

このチェックリストは、Cursor・Bolt.new・Lovable・v0・Claude Codeで作ったアプリを本番公開する前に確認すべき項目をまとめたものだ。「必須」「推奨」「後でいい」の3段階で優先度を付けている。全部一度にやる必要はない。まず必須の部分だけクリアしてから公開し、残りは稼働後に追加していくのが現実的だ。

必須項目(これがないと公開すべきでない)

セキュリティ

APIキー・パスワードの漏洩確認(最重要)

コード内に認証情報が直書きされていないか確認する。GitHubに上げる前に必須だ。

# 確認コマンド
git diff HEAD | grep -i "sk-\|api_key\|password\|secret"

すべての認証情報は .env ファイルに分離し、.gitignore.env を追加する。

RLSの確認(Supabase使用時)

全テーブルでRLSが有効か、ポリシーが USING (true) の全許可になっていないか確認する。→ Supabase RLS設定ガイド

認証チェックのあるAPI

ログイン必須の機能に対応するAPIが、認証なしで叩けないか確認する。URLを直接入力してアクセスできないか手動でも確認する。

サーバーサイドバリデーション

フロントエンドのフォームバリデーションだけでなく、APIが受け取るデータの検証もサーバー側にあるか確認する。

認証フロー

ログイン・ログアウトが正常に動作するか

ログアウト後に認証が必要なページにアクセスしたとき、リダイレクトされるか確認する。セッションが破棄されているか。

他のユーザーのデータが見えないか

2つの別アカウントを作って、一方から他方のデータにアクセスできないかテストする。このテストをやっている人が少ないが、最も重要な確認の一つだ。

インフラ

環境変数が本番環境に設定されているか

Vercel・Netlifyのダッシュボードで、本番用の環境変数がすべて設定されているか確認する。Lovableのプロジェクトからエクスポートした場合、Supabaseの接続情報が引き継がれていないので手動設定が必要だ。

本番用データベースが開発用と分離されているか

開発中に入れたテストデータが本番に混在していないか。SupabaseはプロジェクトIDが異なれば完全に別環境になる。

HTTPS(SSL証明書)が有効か

Vercel・Netlifyへのデプロイなら自動で対応されるが、独自ドメインを設定した場合は確認が必要だ。設定手順はデプロイ・ドメイン・SSL設定ガイドを参照。

ビルドが正常に完了するか

npm run build がエラーなく完了するか確認する。TypeScriptの型エラー、missing importなどは本番で即エラーになる。

推奨項目(リリース後1〜2週間以内に対応)

エラー監視

Sentryなどのエラー監視ツール

本番で問題が起きても、ユーザーからの報告がないと気づけない。エラー監視ツールを入れると、エラーが起きた瞬間に通知が来る。Sentryは小規模なら無料で使える。

バックアップ

データベースのバックアップ設定

Supabaseの無料枠にはバックアップがない。データが消えたとき復元できない状態で運用するのはリスクがある。Supabase Proプラン($25/月)に移行するか、手動でのバックアップ運用を始める。

ユーザー体験

パスワードリセット機能

ユーザーがパスワードを忘れたとき、どうすれば?ない場合は問い合わせが来たときの対応方法を決めておく。

メール認証

登録時にメール確認を求めない場合、不正なアカウントが作られやすい。Supabase AuthのEmail Confirmationを有効にする。

レスポンシブデザインの確認

スマートフォンで実際にアクセスして確認する。AIが生成するUIはPCを前提にしていることが多い。

後回しでもいい項目(安定稼働後に追加)

詳細な管理画面

最初はSupabaseのダッシュボードで代替できる。ユーザーが増えてから作っても遅くない。

高度なログ分析

Google Analyticsの基本設定はできれば最初から入れておくが、詳細な行動分析は後から追加できる。

パフォーマンス最適化

Lighthouseのスコアが低くても、最初のユーザーが少ない段階では影響は限定的だ。ユーザー数が増えてから対処する。

OGP設定(SNSシェア時の表示)

あると便利だが、なくてもサービスは動く。

→ セキュリティの詳細はAI生成コードのセキュリティリスク10選Vibe Codingで最低限やるべきセキュリティ対策を参照

→ 非機能要件の全体像は非機能要件の最低ラインにまとめている

「必須項目を全部やったか確認できない」とき

チェックリストを見て「これは自力では判断できない」という項目があっても、それは普通のことだ。特にセキュリティの確認は、何が問題で何が問題でないかの判断に知識が必要だ。

AIのあとしまつでは、このチェックリストの確認を含めた本番化サポートを行っている。「一通り確認してほしい」という依頼が一番多い。プロジェクトのコードとSupabaseプロジェクトを見て、問題箇所を洗い出して修正する。

ブログ一覧へ戻る