Laravel セキュリティのベストプラクティス

Laravel アプリケーションを一般的なセキュリティ脆弱性から保護するための包括的なセキュリティガイド。

いつ有効にするか

• 認証または認可を追加する場合
• ユーザー入力とファイルアップロードを処理する場合
• 新しい API エンドポイントを作成する場合
• シークレット情報と環境設定を管理する場合
• 本番環境へのデプロイメントを堅牢化する場合

仕組み

• Middleware が基本的な保護を提供します（CSRF の場合は VerifyCsrfToken、セキュリティヘッダーの場合は SecurityHeaders）。
• Guard と policy がアクセス制御を強制します（auth:sanctum、$this->authorize、policy middleware）。
• Form Request がサービスに到達する前に入力を検証し、形成します（UploadInvoiceRequest）。
• Rate limiting が認証制御とともに不正使用からの保護を追加します（RateLimiter::for('login')）。
• データセキュリティは暗号化されたキャスト、mass-assignment 保護、および署名付きルートから得られます（URL::temporarySignedRoute + signed middleware）。

基本的なセキュリティ設定

• 本番環境では APP_DEBUG=false
• APP_KEY は設定され、侵害された場合は回転する必要があります
• SESSION_SECURE_COOKIE=true と SESSION_SAME_SITE=lax を設定します（またはセンシティブなアプリケーション向けには strict）
• 正しい HTTPS 検出のために信頼できるプロキシを設定します

セッションと Cookie の堅牢化

• JavaScript アクセスを防ぐために SESSION_HTTP_ONLY=true を設定します
• 高リスクフロー向けに SESSION_SAME_SITE=strict を使用します
• ログインと権限変更時にセッションを再生成します

認証とトークン

• API 認証には Laravel Sanctum または Passport を使用します
• センシティブなデータの場合は、リフレッシュフローを備えた短期トークンを優先します
• ログアウトと侵害されたアカウント時にトークンを取り消します

ルート保護の例：

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;

Route::middleware('auth:sanctum')->get('/me', function (Request $request) {
    return $request->user();
});

パスワードセキュリティ

• Hash::make() でパスワードをハッシュ化し、プレーンテキストで保存しません
• リセットフローには Laravel のパスワードブローカーを使用します

use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\Rules\Password;

$validated = $request->validate([
    'password' => ['required', 'string', Password::min(12)->letters()->mixedCase()->numbers()->symbols()],
]);

$user->update(['password' => Hash::make($validated['password'])]);

認可：Policy と Gate

• モデルレベルの認可には policy を使用します
• Controller とサービスで認可を強制します

$this->authorize('update', $project);

ルートレベルの強制には policy middleware を使用します：

use Illuminate\Support\Facades\Route;

Route::put('/projects/{project}', [ProjectController::class, 'update'])
    ->middleware(['auth:sanctum', 'can:update,project']);

Validation とデータサニタイズ

• 常に Form Request で入力を検証します
• 厳密な validation ルールと型チェックを使用します
• 派生フィールドについてはリクエストペイロードに依存しません

Mass Assignment 保護

• $fillable または $guarded を使用し、Model::unguard() の使用を避けます
• DTO または明示的な属性マッピングを優先します

SQL インジェクション防止

• Eloquent または query builder のパラメータバインディングを使用します
• 厳密に必要な場合を除き、生の SQL を避けます

DB::select('select * from users where email = ?', [$email]);

XSS 防止

• Blade はデフォルトで出力をエスケープします（{{ }}）
• {!! !!} は信頼できるサニタイズ済み HTML のみに使用します
• リッチテキストは専用ライブラリでサニタイズします

CSRF 保護

• VerifyCsrfToken middleware を有効に保ちます
• フォームに @csrf を追加し、SPA リクエスト向けに XSRF トークンを送信します

Sanctum で SPA 認証を行う場合は、ステートフルリクエストが設定されていることを確認します：

// config/sanctum.php
'stateful' => explode(',', env('SANCTUM_STATEFUL_DOMAINS', 'localhost')),

ファイルアップロードセキュリティ

• ファイルサイズ、MIME タイプ、および拡張子を検証します
• 可能な限りアップロードを public パス外に保存します
• 必要に応じてファイルをマルウェアスキャンします

final class UploadInvoiceRequest extends FormRequest
{
    public function authorize(): bool
    {
        return (bool) $this->user()?->can('upload-invoice');
    }

    public function rules(): array
    {
        return [
            'invoice' => ['required', 'file', 'mimes:pdf', 'max:5120'],
        ];
    }
}

$path = $request->file('invoice')->store(
    'invoices',
    config('filesystems.private_disk', 'local') // これを public 以外のディスクに設定します
);

Rate Limiting

• 認証および書き込みエンドポイントに throttle middleware を適用します
• ログイン、パスワードリセット、OTP にはより厳密な制限を使用します

use Illuminate\Cache\RateLimiting\Limit;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\RateLimiter;

RateLimiter::for('login', function (Request $request) {
    return [
        Limit::perMinute(5)->by($request->ip()),
        Limit::perMinute(5)->by(strtolower((string) $request->input('email'))),
    ];
});

シークレット情報と認証情報

• シークレット情報をソース管理にコミットしません
• 環境変数とシークレットマネージャーを使用します
• 公開後はキーを回転させ、セッションを無効化します

暗号化属性

待機中のセンシティブなカラムに暗号化されたキャストを使用します。

protected $casts = [
    'api_token' => 'encrypted',
];

セキュリティヘッダー

• 適切な場所に CSP、HSTS、およびフレーム保護を追加します
• HTTPS リダイレクトを強制するために信頼できるプロキシ設定を使用します

ヘッダーを設定するミドルウェアの例：

use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

final class SecurityHeaders
{
    public function handle(Request $request, \Closure $next): Response
    {
        $response = $next($request);

        $response->headers->add([
            'Content-Security-Policy' => "default-src 'self'",
            'Strict-Transport-Security' => 'max-age=31536000', // すべてのサブドメインが HTTPS の場合は includeSubDomains/preload を追加します
            'X-Frame-Options' => 'DENY',
            'X-Content-Type-Options' => 'nosniff',
            'Referrer-Policy' => 'no-referrer',
        ]);

        return $response;
    }
}

CORS と API アクセス

• config/cors.php でオリジンを制限します
• 認証されたルートではワイルドカードオリジンを避けます

// config/cors.php
return [
    'paths' => ['api/*', 'sanctum/csrf-cookie'],
    'allowed_methods' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE'],
    'allowed_origins' => ['https://app.example.com'],
    'allowed_headers' => [
        'Content-Type',
        'Authorization',
        'X-Requested-With',
        'X-XSRF-TOKEN',
        'X-CSRF-TOKEN',
    ],
    'supports_credentials' => true,
];

ロギングと PII

• パスワード、トークン、または完全なカードデータをログに記録しません
• 構造化ログでセンシティブフィールドを編集します

use Illuminate\Support\Facades\Log;

Log::info('User updated profile', [
    'user_id' => $user->id,
    'email' => '[REDACTED]',
    'token' => '[REDACTED]',
]);

依存関係セキュリティ

• 定期的に composer audit を実行します
• 依存関係を慎重にピン止めし、CVE で迅速に更新します

署名付き URL

一時的で改ざん防止のリンクには署名付きルートを使用します。

use Illuminate\Support\Facades\URL;

$url = URL::temporarySignedRoute(
    'downloads.invoice',
    now()->addMinutes(15),
    ['invoice' => $invoice->id]
);

use Illuminate\Support\Facades\Route;

Route::get('/invoices/{invoice}/download', [InvoiceController::class, 'download'])
    ->name('downloads.invoice')
    ->middleware('signed');