ブラウザ内で完結する開発ツール10選 - 機密データを外に出さないための選び方
JWTトークン、APIキー、本番DBから抜いたCSV、個人情報を含むJSON。 これらを「ちょっと整形したい」「ちょっと変換したい」だけのためにオンラインツールに 貼り付ける瞬間、そのデータは運営者のサーバーを通過します。 ログに残る可能性、通信経路上で傍受される可能性、運営者の内部スタッフが閲覧できる可能性。 これらを全部ゼロにしたいなら、選ぶべきは「ブラウザ内で完結するツール」です。
ブラウザ完結ツールの見分け方
- ネットワークタブを開く: DevTools → Network タブで、 データを入力して処理ボタンを押したときにXHR/Fetchのリクエストが発生しないか確認する。 広告・アクセス解析以外の通信が飛ぶツールは、処理自体をサーバーで行っている可能性が高い。
- オフラインで動くか: ページを開いた後でネットワークを切断して操作する。 動作すれば完全なクライアントサイド処理。動かなければサーバー依存。
- プライバシーポリシーを読む: 「データは保存しません」は「一度サーバーには送信する」の婉曲表現であることが多い。 「サーバーに送信されません」「ブラウザ内で処理します」と明記されているかを確認。
用途別・ブラウザ完結ツール
1. JSON整形・検証
本番APIのレスポンスにAPIキーが含まれていることがある。 サーバー送信型に貼ると漏洩リスクあり。JSON FormatterはJSON.parse / JSON.stringify のみを使用し、ブラウザ内で完結。
2. JWTデコード
そもそもJWTは本番の認証情報そのもの。JWT DecoderはBase64URLデコードのみをクライアントで実施。
3. Base64エンコード・デコード
画像埋め込み、トークン生成、MIME関連。Base64 Encoder/Decoderは btoa / atob のみ使用。
4. ハッシュ生成(MD5/SHA)
パスワードのハッシュ化や整合性チェック。Hash GeneratorはWeb Crypto APIでクライアント計算。
5. パスワード生成
サーバーで生成されたパスワードは「サーバーが知っている」パスワードになる。Password Generatorはcrypto.getRandomValues でクライアントのみで乱数生成。
6. 画像圧縮・リサイズ
社内資料のスクリーンショットなど、アップロードしたくない画像の処理。Image Compressorは Canvas APIで画像を読み込み、ブラウザ内で再エンコードして出力。
7. 正規表現テスト
個人情報を含むログ整形用の正規表現を試したいとき。Regex Testerはnew RegExp によるマッチをクライアントで実施。
8. SQL整形
本番SQLにはテーブル名・カラム名という機密情報が含まれる。SQL Formatterは 文字列パースをクライアントで行うため漏洩しない。
9. Diff比較
本番コンフィグ同士の比較など。Diff Checkerは差分計算をクライアント実施。
10. UUID生成
テストデータ用のID生成。UUID Generatorは Web Crypto APIで完全ローカル生成。
サーバー送信型を使わざるを得ないケース
AIツール(ChatGPT等)、大規模ファイル処理、ログインが必要なSaaSツールは、 仕様上サーバー処理が避けられません。 こうしたツールを業務で使う場合は、事前に機密情報をマスクしてから貼り付けるか、 自社管理のセルフホスト版を導入する運用が必要です。
判定チェックリスト
- ☐ 入力データに本番APIキー・JWTが含まれているか
- ☐ ツールがオフラインでも動作するか
- ☐ DevToolsのNetworkタブで処理ボタン押下時に通信が発生しないか
- ☐ プライバシーポリシーに明示的な「ブラウザ内処理」の記載があるか
- ☐ SaaS型の場合、ログ保持期間と閲覧権限のポリシーがあるか