結論:検知範囲を社外へ広げても、失効・影響判定・再発防止は自社の仕事
GitHubは2026年7月1日、enterprise向けsecret scanningのpublic monitoringをPublic Previewとして発表しました。公開GitHub全体をreal timeで監視し、enterprise memberとverified domain等のidentity情報を使って、自社へ帰属する可能性があるsecretを通知します。
対象にはpublic repositoryのgit contentだけでなく、pull request comment、issue、discussion等も含まれます。個人fork、OSS project、管理外account等、自社が所有しない場所で露出したsecretを見つける狙いです。
公式説明では、public monitoringはprivate repositoryをscanせず、公開済みsecretのみを対象とします。GitHub Enterprise CloudでSecret ProtectionまたはAdvanced Securityを利用する顧客向けです。検知できても、secretの有効性、権限、悪用、owner、失効、rotationは企業側で判断します。
この記事は、GitHubを使う開発会社、SaaS企業、委託開発を行う経営者、CTO、情シス、セキュリティ責任者向けです。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
公開監視で見つかる境界と見つからない境界
横にスクロールして確認できます
| 範囲 | Public monitoring | 追加対策 |
|---|---|---|
| Public git/issue/PR等 | 公開面全体をreal timeでscan | 検知後の失効・影響確認 |
| 個人account | member/verified domain等で帰属 | 私用email・別identityの把握 |
| Private repository | scanしない | owned/委託先private repoのsecret scan |
| GitHub外 | 対象外 | paste、chat、ticket、cloud log等の監視 |
| Unknown secret | provider pattern等で検出差 | secret inventory、短期credential化 |
秘密情報漏えい対応で起きる6つの失敗
- 自社所有repoだけをscanする。 個人fork、OSS、issue、PR commentを見落とします。
- 検知した文字列を削除して終わる。 Git履歴、cache、forkに残り、secretも有効なままです。
- ownerが分からず失効できない。 発行元、用途、system、権限、連絡先が台帳にありません。
- 失効前に調査を長引かせる。 有効な高権限keyが悪用され続けます。
- 帰属通知を本人の責任で終わらせる。 CI、委託先、教育、契約、発行方式を直しません。
- public監視で全秘密情報を守れると考える。 private repoとGitHub外の漏えいは別対策です。
GXO式「社外secret漏えい5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| Secret台帳 | 20 | type、issuer、owner、system、scope、expiry、rotationを記録 | 誰のkeyか不明 |
| 検知・帰属 | 20 | public/private/外部面、member、domain、委託先を分離 | 自社repoだけ |
| 即時失効 | 25 | severity別に自動/承認失効、代替key、SLA、24h体制 | 削除して様子見 |
| 影響・証拠 | 20 | 発行・利用log、期間、IP、操作、data、保全を確認 | 悪用確認なし |
| 再発・委託 | 15 | pre-commit、CI、短期key、教育、契約、再scanを実装 | 本人注意だけ |
合計点に関係なく緊急対応する条件
- production、cloud admin、payment、顧客dataへ到達するsecretが公開されている
- secretが有効か判断できず、ownerと発行元が見つからない
- 削除済みでも失効・rotationを実施していない
- 利用logがなく、公開後の悪用有無を確認できない
- 委託先・退職者のkeyが現在も有効
高影響secretは証拠保全と並行して失効し、代替credentialへ切り替えます。
仮想記入例:個人forkにcloud keyをcommit
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| Secret台帳 | 9/20 | project名は分かるがscope・owner不明 |
| 検知・帰属 | 14/20 | verified domainで帰属、委託先accountは対象外 |
| 即時失効 | 10/25 | platform担当の出社まで6時間待ち |
| 影響・証拠 | 8/20 | cloud audit log保存が7日 |
| 再発・委託 | 6/15 | 本人へ注意し、CIと契約は未変更 |
| 合計 | 47/100 | 即時失効・log保全・scope調査を実施 |
公開contentを削除するだけでなく、keyを失効し、同じsecretの全利用箇所をrotationします。cloud audit logを保全し、公開時刻から失効時刻までの操作を確認します。個人fork禁止ではなく、短期credential、pre-commit、CI secret、委託先手順を整えます。
最小secret台帳
横にスクロールして確認できます
| 項目 | 記録内容 |
|---|---|
| Secret ID/Type | API key、token、certificate、password |
| Issuer/Owner | 発行system、業務・技術owner、連絡先 |
| Scope | environment、resource、read/write/admin |
| Storage | vault、CI、application、端末、委託先 |
| Lifecycle | 発行、期限、rotation、最終利用、廃止 |
| Detection | public、private、GitHub外、alert、帰属根拠 |
| Response | revoke SLA、代替、影響log、報告、再発防止 |
検知時の15分・60分・24時間
- 15分:secret type、production影響、owner、公開locationを確認し、Criticalは失効
- 60分:全利用箇所をrotation、公開contentを削除、logとGit証拠を保全
- 24時間:悪用、data影響、委託・顧客・法務連絡要否、再発経路を判定
- 7日:short-lived credential、pre-commit、CI、権限、契約、教育を是正
GitHub・委託先へ確認する10問
- public monitoringの契約・plan・data residency対応は何か
- memberとverified domainによる帰属条件・誤帰属の扱いは何か
- 対象secret typeと検知できないcredentialは何か
- alertにlocation、committer、type、時刻、帰属根拠が含まれるか
- webhook/API/SIEMへ何分で連携できるか
- private repoとGitHub外を何で補完するか
- 委託先の個人・会社accountをどこまで監視・契約対象にするか
- Critical secretを夜間・休日に誰が失効できるか
- 失効で本番停止しない代替credentialとrunbookがあるか
- 契約終了・退職時に全secretを発見・廃止できるか
GXOの脆弱性診断では、public repositoryだけでなく、Web、cloud、application、秘密情報の露出経路を整理します。漏えい後の証拠保全・影響確認はインシデント対応、開発工程の予防はDevSecOpsへ接続します。
FAQ
Public monitoringを有効にすれば秘密情報漏えいを防げますか
公開後の検知を早める機能です。公開前のpre-commit、CI、vault、short-lived credential、最小権限と、検知後の即時失効が必要です。
GitHubからsecretを削除すれば失効しなくてよいですか
履歴、fork、cache、cloneへ残る可能性があるため、漏えいしたsecretは原則として失効・rotationし、利用logを確認します。
個人GitHubの利用を禁止すべきですか
禁止だけではshadow利用を見失います。OSS参加・forkのルール、会社data・secretの分離、verified domain、監視、短期credentialを組み合わせます。
出典・確認日
- GitHub「Secret scanning public monitoring for enterprises」(2026年7月1日発表、7月14日確認)
- AIコーディングエージェント開発環境防御
Public Previewの機能、対象plan、secret type、帰属方法、data residency対応は変更される可能性があります。本記事の配点と仮想例はGXO独自であり、GitHubの評価・保証ではありません。







