シークレットリスク評価について

Organization の露出によるデータの漏洩を理解することが重要である理由と、secret risk assessment レポートで organization のシークレット漏洩範囲の概要がどのように示されるかについて説明します。

この機能を使用できるユーザーについて

Secret risk assessment は、GitHub Team と GitHub Enterprise の organization 所有のリポジトリで、無料で利用できます

この記事の内容

露出によるシークレットの漏洩について

露出によるシークレットの漏洩の評価は、次のことを防ぐ場合に重要です。

悪意のあるアクターによる悪用。悪意のあるアクターは、API キー、パスワード、トークンなどの漏洩したシークレットを使って、システム、データベース、機密情報への不正アクセスを取得できます。シークレットが漏洩すると、データの破損、ユーザーデータの侵害、財務や評判に関する重大な損害の原因になる可能性につながる場合があります。
規制に関する問題。多くの業界には、データ保護に関する厳格な規制要件があり、シークレットの漏洩は規制に準拠せず、法的な罰則や罰金につながる可能性があります。
サービスの中断。システムへの不正アクセスはサービスの中断につながる可能性があり、ユーザーに提供されるサービスの可用性と信頼性に影響を与えます。
信頼の喪失。顧客は自分のデータを保護するための堅牢なセキュリティ対策を期待しており、露出によるシークレットの漏洩は、情報を保護する organization の能力に対する信頼を損なう可能性があります。
コストのかかる二次的影響。漏洩したシークレットからの二次的影響への対処では、インシデント対応の取り組み、セキュリティ監査、影響を受けた関係者への補償の可能性などで、コストがかかる場合があります。

露出によるシークレットの漏洩を定期的に評価することは、脆弱性の特定、必要なセキュリティ対策の導入、侵害されたシークレットの即時ローテーションと無効化の確実な実施に役立つ、優れた対処法です。

secret risk assessment について

Note

secret risk assessmentレポートは現在パブリックプレビュー段階であり、変更される可能性があります。フィードバックや質問がある場合は、GitHub Community のディスカッションに参加してください。

Tip

このレポートは、GitHub Team プランをご利用の場合にのみ使用できます。プランとアップグレード方法について詳しくは、「GitHub Team」と「組織のプランをアップグレードする」をご覧ください。

GitHub は、漏洩したシークレットへの organization の露出を評価するために organization の所有者とセキュリティマネージャーが生成できるシークレットリスク評価レポートを提供します。 secret risk assessmentは、organization 内のコードのオンデマンドのポイントインタイムスキャンです。

Organization 内で漏洩したシークレットを表示します
Organization 外に漏洩したシークレットの種類を表示します
修復のための実用的な分析情報を提供します

secret risk assessment レポートでは、次の分析情報が提供されます。

シークレットの合計数: organization 内で検出された露出したシークレットの集計数。
パブリックな漏洩: organization のパブリックリポジトリで見つかった個々のシークレット。
回避可能な漏洩: secret scanning やプッシュ保護などの GitHub Secret Protection の機能を使って保護された可能性があるシークレット。
シークレットの場所: レポートのためにスキャンされる場所。無料のsecret risk assessmentは、アーカイブされたリポジトリ内のコードを含め、organization 内の "コードのみ" をスキャンします。__ スキャン対象のサーフェスを拡張して、pull request、issue、wiki、および GitHub Secret Protection を伴う GitHub Discussions のコンテンツをカバーできます。
シークレットのカテゴリ: 漏洩したシークレットの種類の分布。処理できるシークレットは、パートナープログラムにおいてサービスプロバイダーによって発行されたシークレットと一致する文字列であるパートナーシークレット、または SSH キー、データベース接続文字列、JSON Web トークンなどのプロバイダー以外のパターンである汎用シークレットです。
漏洩のあるリポジトリ: スキャンされたすべてのリポジトリのうち、シークレットの漏洩が検出されたリポジトリ。

Tip

レポートは 90 日に 1 回のみ生成できます。継続的なシークレットの監視と防止のために、GitHub Secret Protection を実装することをお勧めします。「GitHub Secret Protection の選択」をご覧ください。

secret risk assessment レポートは、GitHub Secret Protection 機能の有効化状態に関係なく、お客様のリポジトリに基づいているため、現在の露出によるシークレットの漏洩を確認し、GitHub が将来のシークレット漏洩を防ぐのにどのように役立つかをよりよく理解できます。

次のステップ

secret risk assessment レポートについて理解したので、次の方法を学習できます。

レポートを生成して、organization のリスクを確認します。「Organization のシークレットリスク評価レポートの表示」を参照してください。
レポートの結果を解釈します。「シークレットリスク評価結果の解釈」を参照してください。
GitHub Secret Protection を有効にして、シークレット漏洩範囲を改善します。「GitHub Secret Protection の選択」をご覧ください。