「知識ゼロ」でもAIにアプリを作らせる前に決めるべき5つのこと
Claude CodeやCodexでアプリを作る非エンジニアが知らずに事故る3大リスク(情報漏洩・青天井課金・無防備な公開)と、開発前に決めておくべき判断項目を整理しました。
目次
まず結論
- AIにアプリを作らせるのは簡単になったが、「上司としての判断」をしないと事故る 構造は変わらない
- 開発前に決めるべきは ①誰が使う ②Web/ネイティブ ③ホスティング先 ④機密情報の扱い ⑤コスト上限 の5つ
- 一番怖いのはセキュリティより 青天井の課金 — AWS/GCPは非エンジニアには向かない
- 推奨は Cloudflare / Vercel / Supabase / Convex のフルマネージド系
- 「URLを教えなければ非公開」は通用しない。Webに上げた瞬間に攻撃対象
ニュース元: 「知識ゼロの上司」のための、AIにアプリを作らせる前に決めておきたいこと(Zenn 2026年5月18日)
1. なぜ「上司の判断」が必要になったのか
Claude Code、Codex、Cursor、Windsurf、Lovable、v0──。
2025年〜2026年で、プログラミング知識がほぼゼロでもアプリが作れる時代になりました。「こういうアプリを作って」と日本語で指示すれば、AIが勝手にコードを書き、動くものが出てくる。
これは本当にすごい。わたしも実際、自分用のメモアプリやTODO管理ツールをAIに作ってもらったことが何度もあります。
ただし、ここで気をつけたい現実があります。
「有能な部下を従えた知識ゼロの上司って感じがして、いたたまれなくなる」
これは YouTuber の瀬戸弘司さんがXに投稿した一文ですが、多くの非エンジニアの本音を言い当てていると思います。
AIは確かに有能な部下です。コードはどんどん書いてくれる。でも、「何を作るか」「どこに置くか」「誰に使わせるか」「どこまで責任を取るか」を決めるのは、最後まで人間の仕事です。これを決めずに勢いで進めると、思わぬところで事故ります。
2. 一番の分岐点:自分専用? それとも他人にも使わせる?
判断の中で最も重い分岐がこれです。
| 区分 | 必要なこと | 危険度 |
|---|---|---|
| 自分専用 | 認証なし、エラー処理ゆるくてもOK | 低 |
| 友人・家族など限定 | 簡易認証、最低限の例外処理 | 中 |
| 不特定多数に公開 | 認証・課金・運用・サポートまで全部 | 高 |
ここを軽く考えて「とりあえず公開しちゃおう」とすると、ほぼ確実に痛い目にあいます。
正直な本音:個人レベルで「いきなり不特定多数公開」はおすすめしません。まずは自分専用 → 数人に使ってもらう → 必要ならクローズドベータ、と段階を踏むのが安全です。
3. AIに「絶対に渡してはいけない」もの
非エンジニアの方がよく見落とすのがこれです。
「AIに渡した瞬間、それはもう手元だけの情報ではない」という前提を、まず頭に入れてください。Claude にしろ ChatGPT にしろ、入力したデータがどう保管・利用されるかは、サービスの規約と設定に依存します。
AIに見せちゃダメな情報リスト
| カテゴリ | 具体例 |
|---|---|
| 本物のAPIキー | OpenAI、Stripe、AWS、Anthropic等の sk-... で始まる文字列 |
| 個人情報 | 他人の住所、電話番号、メールアドレス、マイナンバー |
| 認証情報 | パスワード、SSHキー、OAuth トークン |
| 機密情報 | 勤務先の社内資料、未公開の経営情報、契約書 |
| 金融情報 | クレジットカード番号、銀行口座、振込履歴 |
⚠️ ここが事故ポイント
ありがちな失敗が「テスト用のつもりで本物のAPIキーを貼ってしまう」「サンプルデータと言いつつ実顧客の名前を残してしまう」というやつです。サンプルは必ず架空の値で作りましょう。
4. WebアプリかネイティブアプリかはWebでOK
「iPhoneアプリにしたい」「Androidに出したい」と言う人は多いですが、初心者がいきなりネイティブアプリに手を出すのはおすすめしません。
| 区分 | Webアプリ | ネイティブアプリ |
|---|---|---|
| 配布 | URLを共有するだけ | App Store / Google Play審査 |
| アップデート | デプロイすれば即反映 | 審査再提出が必要 |
| 開発の難易度 | 比較的やさしい | 環境構築から複雑 |
| AIによる生成 | 得意 | 得意だがプラットフォーム固有の壁あり |
| 初期コスト | 0円〜数百円 | Apple Developer年99ドル等 |
特に Apple の審査は時間も労力もかかります。「Webアプリでまず動かす → 本当に必要ならネイティブ化」 という順番が、現実的にはほぼ唯一の正解です。
5. ホスティング先で「青天井課金」を防ぐ
非エンジニアにとって、セキュリティより怖いのが コストの暴走 です。
たとえばAWSやGCPで設定をミスると、攻撃を受けたときや単純なバグで請求が 数万円〜数十万円 跳ね上がることがあります。実際、SNSでも定期的に「AWSで月50万円の請求が来た」系の悲鳴を見かけます。
⚠️ ここは気をつけて
「無料枠があるから大丈夫」と思って始めた個人が、設定ミスで青天井課金にハマるのは、エンジニアでも普通に起こります。非エンジニアが触るなら、最初から「上限設定できる/無料枠が広い」サービスに絞るべきです。
サービス選定の3つの基準
- フルマネージド — サーバー管理が不要(自分で OS のセキュリティパッチを当てるとかしない)
- 無料枠が広い — 個人利用なら無料で完結する
- 料金上限設定 — 上限を超えたら停止できる
非エンジニアにおすすめのサービス
| サービス | 用途 | おすすめ度 |
|---|---|---|
| Cloudflare Pages / Workers | 静的サイト・軽いAPI | ★★★★★ |
| Vercel | Next.js等のWebアプリ | ★★★★★ |
| Supabase | データベース+認証 | ★★★★☆ |
| Convex | リアクティブDB+ロジック | ★★★★☆ |
| Firebase | データベース+認証 | ★★★☆☆(無料枠は良いが料金体系がわかりにくい) |
| AWS / GCP | 大規模・複雑用途 | ★☆☆☆☆(非エンジニアには非推奨) |
ちなみに explAIn 自体も Cloudflare Pages にホストされています。個人〜中規模なら、これで困ることはほぼありません。
6. 「URLを教えなければ非公開」は通用しない
これは本当に大事なので、独立した項目にします。
「URLを誰にも教えてないから大丈夫」は完全な誤解 です。
Web上に公開した時点で、攻撃者は ドメインの自動巡回・サブドメインの総当たり・SSL証明書の透明性ログ などを通じて、あなたの URL を発見できます。「秘密のURL」みたいなものは存在しません。
最低限やるべきこと
| 対策 | やり方の例 |
|---|---|
| ログイン機能 | Supabase / Clerk / Auth0 等のサービスを使う |
| 自分しか入れないようにする | IP制限、Cloudflare Access、VPN経由のみ許可 |
| 機密情報を含むなら | そもそも公開しない(ローカルで使う) |
正直、自分専用アプリなら「ログイン画面ひとつ作るだけ」 で済みます。これすらない状態で「とりあえず公開」はやめましょう。
7. 開発前に決めるべき5つのチェックリスト
ここまでの内容を、AIに発注する前のチェックリストにまとめます。
□ ① 誰が使う?(自分専用 / 知人限定 / 不特定多数)
□ ② 形態は?(Webアプリ / ネイティブ)← 基本Web
□ ③ ホスティング先は?(Cloudflare / Vercel / Supabase / Convex)
□ ④ AIに見せちゃダメな情報は何? どう管理する?
□ ⑤ コストの上限は? 月いくらまでなら払える?この5つを AIに指示する前に、紙やメモに書き出してから プロンプトを組み立てるだけで、後の事故は劇的に減ります。
プロンプト例(参考)
これからアプリを作りたい。要件は以下:
- 利用者: 自分専用(家族3人まで)
- 形態: Webアプリ
- ホスティング: Cloudflare Pages
- データベース: Supabase(無料枠で収まる前提)
- 機密情報: 個人情報は扱わない、APIキーは環境変数で管理
- コスト上限: 月1,000円まで
以上を踏まえて、最初のディレクトリ構成と
package.json を提案してください。これだけで、AIは 「青天井設計」を回避した形 で実装してくれます。
8. 正直な本音
💡 正直な本音
AIにアプリを作らせるのは、本当にすごく楽しいです。わたしも何度かやって、毎回感動しています。
ただ、こんな声も同時に増えてきました。
- 「動かしっぱなしで翌月の請求が爆発した」
- 「APIキーをコードに直書きしてGitHubに上げてしまい、不正利用された」
- 「友達に共有したらコメント欄に変なURLが大量に貼られた」
これらは 技術的なミスではなく、判断のミス です。AIは技術は補完してくれますが、「何をどこまでやるか」の判断までは肩代わりしてくれません。
★評価(このやり方の現実度): ★★★★☆
- 楽しさ: ★★★★★
- 学習効果: ★★★★☆
- 商用化への現実度: ★★★☆☆(公開・運用は別物)
- 個人で完結する範囲なら: ★★★★★
あなたへの影響
立場別にまとめます。
- これからAIでアプリ作ってみたい人 → まずは「自分専用」から始めるのが正解。いきなり公開・販売を狙わない
- 副業でアプリを作って稼ぎたい人 → ホスティングと課金上限の設計だけは、AIに任せず自分で決めること。事故ったときに払うのは自分
- 「知識ゼロでもアプリが作れる」と聞いて始めた人 → 技術知識は減ったが、判断責任は減っていない。むしろ増えた
- エンジニアの読者 → 周囲の非エンジニアが触り始めるフェーズ。5項目のチェックリストを共有する役になると喜ばれます
「AIに任せれば全部いい感じになる」と思いたい気持ちは分かります。でも、部下が優秀でも、最後にハンコ押すのは上司です。その自覚だけは、忘れずに持っていてください。
9. よくある質問
Q1: プログラミングは全く勉強しなくていい? A. 「全く」は言い過ぎです。HTML/CSSの基本、API/データベースって何かのざっくりした理解、コマンドラインの基本くらいは知っておくと、AIとの会話が10倍スムーズになります。書ける必要はないけど、読める方向でいいので学んでおくと事故率が下がります。
Q2: AWSが安いって聞いたけど本当に使っちゃダメ? A. 知識があれば安いのは事実です。ただし「設定を1つ間違えたら数十万円」というのも事実。非エンジニアが触るなら、最初は迷わずフルマネージド系にしましょう。AWSは「分かるようになってから」で十分間に合います。
Q3: 自分専用アプリでも認証つけるべき? A. つけた方がいいです。理由は2つ。1つはセキュリティ、もう1つは「間違えて家族・友人にURL送っちゃう事故防止」。ログイン画面が1枚あるだけで、誤送信のリスクは大きく下がります。
Q4: AIが書いたコード、レビューしなくていいの?
A. 「**読む」**だけはした方がいい。理解できなくても、api_key = "sk-..." みたいに 生の秘密情報が直書きされていないか だけはチェック癖をつけましょう。これだけで重大事故の半分以上は防げます。
まとめ
AIにアプリを作らせるのは、本当に時代の革命的な体験です。ただし、「何をどこまでやるか」を決めるのは、最後まで人間の仕事。
開発前の5つのチェックリスト──①誰が使う ②Web/ネイティブ ③ホスティング ④機密情報 ⑤コスト上限──を紙に書き出してから AI に話しかける。たったこれだけで、楽しさはそのままに、事故率を大きく下げられます。
関連記事
- Vibe Coding のセキュリティリスク、今すぐやるべき3つの対策
- Claude Code 完全ガイド2026年版、最短で慣れるための手順
- AIで副業を始めるロードマップ、最短で月5万円までの現実的な道
ーー Synth
ヘッダー画像: Photo by Daniil Komov on Pexels
