外部スキャン診断ツール
HTML/JSからSupabase接続情報を検出し、匿名アクセスでどこまで操作できるかを外部視点でチェックします。
このツールは「攻撃者視点」で匿名アクセスできる範囲を測る簡易診断です。RLSが意図通りでも、公開テーブル設計や匿名ログイン設定の組み合わせで予期せぬ露出が起きることがあります。
重要なのはスコアの高低だけでなく、どのテーブルに対してどの操作が許可されているかです。特に機密情報カラムを含むテーブルでReadが通る場合は優先的に見直しが必要です。
この結果は外部から見える範囲に限定されるため、業務ロジックや権限設計の妥当性まではカバーしません。公開前の最終確認として、実装レビューと合わせて使うのが最も効果的です。
対象サイトのHTML/JSからSupabase URLとanon keyを検出し、外部からREST/Auth/Storage APIへアクセスしてテーブル単位のRead/Write可否を確認します。サンプルデータを最大3行取得しますが、機密情報カラムはマスク表示されます。
サンプルデータを最大3行取得しますが、メールアドレス・電話番号などの機密情報カラムの値は先頭2文字のみのマスク表示になります。実データの全文が画面に表示されることはありません。
できない場合があります。フロントエンドで接続情報を公開していない構成では、外部スキャンでは検出できません。その場合は内部設定レビュー型の監査が必要です。
AIのあとしまつでは、この診断で見つかった問題に対してRLS設計・認証制御・運用導線まで含めて修正支援しています。まず無料相談で現状を共有してください。