現在、monaca(HTML+CSS+Javascript)でモバイルアプリを開発しています。

■最終的な構成は以下を想定しています。
モバイルアプリ <--> nifty mbaas <--> 自server
自server上で定期的にプログラムを走らせ、適宜Pushをモバイルアプリへ送るという事を実現させたいです。

■懸念点
nifty mbaasを使うためには、monaca アプリの中に[クライアントキー][アプリケーションキー]を
記載する必要がありますが、monaca でビルドしたアプリはunzipすると中身が全て見えてしまいます。

[クライアントキー][アプリケーションキー]があれば、
REST APIを用いてなりすましPush通信ができてしまうように思えるのですが、
こちら防ぎ方を教えていただけませんでしょうか?
そもそも誤解がありますでしょうか?

■補足
公式コミュニティ内に↓このissueがあります。

【過去質問】セキュリティ対策方法の相談 #29
https://github.com/NIFTYCloud-mbaas/UserCommunity/issues/29

ACLの設定でデータ漏えいは防げることは理解できたのですが、
Push通信はACL設定が見当たりませんでした。

またcordovaのencryptプラグインでソースコードを暗号化する方法があることは理解しています。
nifty mbaas側の対応策を知りたいと考えています。