Flaskアプリのセキュリティ診断を完全ガイド！初心者でもできるBanditの使い方

1. Banditとは？

1. Banditとは？

Bandit（バンディット）は、Pythonのコードを自動でチェックして、セキュリティ上の問題点を見つけてくれるツールです。Flaskアプリを含むPythonコード全般に対応しており、パスワードの漏洩リスクや危険な関数の使用などを検出します。

初心者でもインストールして実行するだけでOKなので、とても便利です。

2. セキュリティ診断がなぜ必要か？

2. セキュリティ診断がなぜ必要か？

Webアプリには、悪意のある人（ハッカー）から狙われる危険があります。Flaskで作ったアプリが安全かどうかを確認することはとても大切です。

たとえば、入力された内容をそのまま表示したり、パスワードをコードの中に書いていたりすると、情報漏えいや攻撃の原因になります。こうした問題を事前に見つけてくれるのがBanditです。

3. Banditのインストール方法

3. Banditのインストール方法

まずは、Banditをインストールしましょう。Pythonのパッケージ管理ツール「pip（ピップ）」を使って、以下のコマンドをターミナルに入力します。

pip install bandit

これだけでインストールは完了です。

4. Banditの基本的な使い方

4. Banditの基本的な使い方

インストールができたら、次はFlaskのプロジェクトフォルダでBanditを実行してみましょう。

# Flaskアプリのあるフォルダで、以下のコマンドを実行
bandit -r .

-rは「再帰的にすべてのファイルをチェックする」という意味で、「.（ドット）」は「このフォルダ」という意味です。

実行すると、以下のような結果が表示されます。

[bandit]  INFO    Found project files...
Run started:2025-07-31 10:00:00

>> Issue: [B105:hardcoded_password_string] Possible hardcoded password
   Severity: Medium   Confidence: High
   Location: app/config.py:4
   More Info: https://bandit.readthedocs.io/en/latest/plugins/b105_hardcoded_password_string.html
4     password = "123456"

Code scanned:
        Total lines of code: 150
        Total lines skipped (#nosec): 0

Run metrics:
        Total issues (by severity):
                Low: 0
                Medium: 1
                High: 0

このように、どのファイルの何行目に問題があるかを詳しく教えてくれます。

5. Banditがチェックしてくれる主な項目

5. Banditがチェックしてくれる主な項目

• ハードコードされたパスワード
• 危険な関数（evalなど）の使用
• セキュリティに弱い設定
• 暗号化キーの漏洩
• ファイルやシステムへの直接アクセス

これらは、Flaskアプリを公開する前に必ずチェックしておきたいポイントです。

6. 特定のファイルや警告を除外する方法

6. 特定のファイルや警告を除外する方法

すべての警告が問題というわけではありません。たとえば、開発中のコードでは一時的に安全でない書き方をすることもあります。

そんなときは、以下のように特定の警告を無視することもできます。

bandit -r . -x tests/ --skip B105

-xでフォルダを除外し、--skipで特定の警告IDをスキップします。

7. Banditの出力をHTMLで保存する

7. Banditの出力をHTMLで保存する

結果をファイルに保存して、あとでゆっくり見ることもできます。

bandit -r . -f html -o report.html

このコマンドを実行すると、HTML形式の診断レポートがreport.htmlという名前で作られます。ブラウザで開けば見やすく表示されます。

8. セキュリティ診断は定期的に実行しよう

8. セキュリティ診断は定期的に実行しよう

アプリを修正したり、新しいコードを追加したときは、必ず再度Banditで診断を行いましょう。「書いたらチェック」がセキュリティの基本です。

Banditのような自動化ツールは、初心者にも扱いやすく、Flaskアプリの安全性を高めてくれます。

まとめ

まとめ

Flaskアプリを守るためのセキュリティ診断とBandit活用の振り返り

Flaskで開発を進めるなかで、アプリを安全に保つためのポイントを意識することはとても大切です。特にWebアプリは外部からアクセスされるため、ちょっとした不注意や見落としが思わぬ脆弱性につながってしまいます。今回取り上げたBanditは、Pythonコードを自動でチェックし、潜在的なセキュリティリスクを早い段階で気づかせてくれる頼もしいツールでした。初心者のうちからBanditを使っておくことで、自然に安全なコードを書く習慣が身につきやすく、Flaskアプリの品質を高める助けにもなります。

Banditが特に得意とするのは、危険な関数の使用やハードコードされたパスワードの発見など、「気づきにくく、見落としやすい」問題点です。自分では正しいと思って書いたコードの中にも、思わぬ危険が潜んでいることがあります。そうしたリスクを手軽な操作で洗い出してくれるのがBanditの魅力です。Flaskアプリでもパスワードの扱い、機密情報の保護、設定ファイルの管理など、多くの場面でBanditによる診断が役立ちます。

さらに、Banditは単にエラーを列挙するだけではなく、「どのファイルの何行目に問題があるのか」まで詳しく教えてくれます。これは初心者にとって非常にありがたいポイントで、どこを直すべきか迷わなくて済みます。また、警告レベルも表示されるため、優先して修正すべき問題がひと目でわかります。 HTML形式でレポートを出力すれば、後から内容を整理したり、チームで共有したりする際にも便利です。診断ログを残す habit がついてくると、セキュリティ意識も自然と高まっていきます。

Banditのもうひとつ大きな特徴として、除外設定が柔軟にできる点があります。テストコードを分析対象から外したり、一時的に無視したい警告をスキップしたりと、状況に応じた使い分けが可能です。本番前のチェックとして重要な項目だけ抽出したいときにも活用しやすく、プロジェクト規模が大きくなるほどその価値が実感できるでしょう。

セキュリティ診断は「一度やって終わり」ではありません。Flaskアプリを更新したり、機能を追加したりするたびに、コードは常に変化していきます。そのため、Banditを使った診断を定期的に行うことが大切です。積み上げてきたコードが増えれば増えるほど、見落とした小さな部分が大きなリスクになることもあります。「書いたらチェックする」という習慣が、安心して運用できるアプリにつながります。

Flaskアプリを扱ううえで、セキュリティの知識は必須項目です。Banditのようなツールを使いながら、問題点の早期発見と改善を繰り返すことで、初心者でも安全なアプリケーションが作れるようになります。今回学んだBanditの操作方法や出力結果の読み方、設定の工夫などを積極的に活用し、より安全で信頼性の高いFlaskアプリ開発に挑戦してみてください。

Banditを使った診断イメージのサンプルコード

実際にBanditが指摘しそうなコードを例として示し、どのような改善が必要か確認してみましょう。

# Banditが警告を出しやすい例

from flask import Flask

app = Flask(__name__)

# ◇ハードコードされたパスワード（B105）
password = "123456"

# ◇危険なeval関数の利用（B307）
user_input = "2 + 3"
result = eval(user_input)

@app.route('/')
def index():
    return f"結果は {result} です"

if __name__ == '__main__':
    app.run(debug=True)

このようなコードをBanditで診断すると、ハードコードされたパスワードやeval関数の使用が危険だと指摘されます。改善策としては、パスワードを環境変数で管理したり、evalの代わりに安全な処理方法を採用したりすることが挙げられます。Banditは初心者が気づきにくいこれらの危険箇所をしっかり教えてくれるためとても心強い存在です。