🟢 🛡️ セキュリティ 公開日: · 3 分で読めます ·

GitHubがエンタープライズユーザー向けにシークレットスキャニングをGitHub公開面全体に拡張

エディトリアルイラスト: 組織向けの漏洩した認証情報のGitHubシークレットスキャニングとパブリックモニタリング

GitHubはSecret Protectionの一環としてエンタープライズ向けのパブリックモニタリングを導入した。github.com全体をリアルタイムでスキャンし、漏洩したシークレットを組織に帰属させ、PRコメントとIssuesも対象に含める——追加料金なしで利用できる。

🤖

この記事はAIにより一次情報源から生成されました。

GitHubは2026年7月1日にエンタープライズユーザー向けのシークレットスキャニングシステムに大きな拡張を発表した:パブリックモニタリング——github.comの公開面全体を監視し、リアルタイムで漏洩した認証情報を組織に帰属させる。この機能はGitHub Secret Protectionのサブスクリプションを持つユーザーに追加料金なしで提供される。

これは何の問題を解決するか?

従来のGitHubシークレットスキャニングは組織が直接所有するリポジトリを保護していた。しかしシークレット(APIキー、トークン、パスワード)はその境界の外でしばしば漏洩する。従業員の個人フォーク、従業員がプライベートの個人として参加しているオープンソースプロジェクト、または全く無関係なリポジトリのIssuesやプルリクエストのコメントなどだ。

まさにここに盲点がある。組織は誰かの仕事用APIキーがGitHub上の公開コメントのどこかに載っていることを、悪意ある者が先に気づくまで知らないのだ。

パブリックモニタリングの仕組み

新機能はgitコンテンツ、プルリクエストのコメント、GitHub Issues——つまりプラットフォームで公開されているすべてのもの、組織のメインリポジトリだけでなく——をスキャンする。システムがシークレットを検出すると、ある組織に帰属させる必要がある。そのために2つの方法を使用する。

メンバーベースの帰属は十分に信頼できるか?

メンバーベースの帰属は、コンテンツをコミットしたGitHubアカウントがエンタープライズ組織の登録メンバーかどうかをシステムが確認することで機能する。これは「管理されたアカウントと既知のメンバー」をカバーする、とGitHubは述べている。この方法は正確だが限界がある。組織と関連付けられていないプライベートアカウントで活動する従業員をキャッチできない。

ここで2番目の方法が機能する:検証済みドメインマッチング。システムはコミッターのメールアドレスを組織がGitHub設定で検証したドメインと照合する。従業員が自身のプライベートGitHubアカウントから業務用メールアドレスでコミットした場合、正式なメンバーシップリンクがなくても結果は組織に帰属される。検出された各結果には、使用された2つの方法のどちらか、シークレットのタイプ、公開場所、コミッターの情報が表示される。

設定不要、待機不要

セットアップは最小限だ。エンタープライズオーナーとセキュリティマネージャーが組織設定のSecurityタブで機能を有効にする。追加設定は不要——有効化直後から最近漏洩した結果が表示され、継続的なモニタリングが始まる。GitHubは追加ツールのインストールや外部システムとの統合を必要としない。

追加費用なし

これは重要な点だ。パブリックモニタリングは追加料金なしで既存のGitHub Secret Protectionサブスクリプションに含まれている。Secret Protectionをすでに使用している組織にとって、これはコスト変更なしに対象範囲を拡大するアップグレードだ。

セキュリティチームへの意味

セキュリティとDevSecOpsチームにとって、この変更は可視性の具体的な空白を埋める。ユーザーや外部研究者が問題を報告する反応的な発見の代わりに、組織はプラットフォームの公開面全体を監視するプロアクティブなモニタリングを得る。

帰属が非公式に関連付けられたアカウントに対しても機能する点が特に価値がある。プライベートGitHubプロフィールで業務用メールを使っていることを忘れた従業員が、個人プロジェクトで誤ってシークレットキーをコミットした場合、もはやレーダーの下に隠れることはない。組織はリアルタイムで結果を受け取り、検出方法が明確に示され、迅速な対応に必要なすべてのメタデータが含まれる。

規制された業界や機密性の高いクライアントデータを扱う組織にとって、このレベルのカバレッジはますます「あればいい」ものではなく、標準的な最低限のものになりつつある。

よくある質問

エンタープライズ向けGitHubシークレットスキャニングで正確に何が新しいか?
GitHubがgithub.comの公開面全体——gitコンテンツ、プルリクエストのコメント、GitHub Issuesを含む——をリアルタイムで監視し、2つのメカニズムを通じて検出したシークレットをエンタープライズ組織に帰属させるようになった。メンバーベースの帰属と検証済みドメインマッチングだ。
GitHubはどうやって漏洩したシークレットがどの組織に属するかを知るか?
2つの方法を使用する。メンバーベース(コミッターのGitHubアカウントがエンタープライズの登録メンバー)と検証済みドメインマッチング(コミッターのメールがアカウントがエンタープライズと正式に関連付けられていない場合でも、組織が検証したドメインに一致)だ。
この新機能はいくら追加料金がかかるか?
追加料金なし——GitHub Secret Protectionの既存サブスクリプションに含まれている。