GXO
インシデント対応

自社リポジトリ外でAPIキーが漏れる|個人GitHub・委託先・即時失効の100点監査

10分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

サイバーセキュリティ

結論:検知範囲を社外へ広げても、失効・影響判定・再発防止は自社の仕事

GitHubは2026年7月1日、enterprise向けsecret scanningのpublic monitoringをPublic Previewとして発表しました。公開GitHub全体をreal timeで監視し、enterprise memberとverified domain等のidentity情報を使って、自社へ帰属する可能性があるsecretを通知します。

対象にはpublic repositoryのgit contentだけでなく、pull request comment、issue、discussion等も含まれます。個人fork、OSS project、管理外account等、自社が所有しない場所で露出したsecretを見つける狙いです。

公式説明では、public monitoringはprivate repositoryをscanせず、公開済みsecretのみを対象とします。GitHub Enterprise CloudでSecret ProtectionまたはAdvanced Securityを利用する顧客向けです。検知できても、secretの有効性、権限、悪用、owner、失効、rotationは企業側で判断します。

この記事は、GitHubを使う開発会社、SaaS企業、委託開発を行う経営者、CTO、情シス、セキュリティ責任者向けです。

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

公開監視で見つかる境界と見つからない境界

横にスクロールして確認できます

範囲Public monitoring追加対策
Public git/issue/PR等公開面全体をreal timeでscan検知後の失効・影響確認
個人accountmember/verified domain等で帰属私用email・別identityの把握
Private repositoryscanしないowned/委託先private repoのsecret scan
GitHub外対象外paste、chat、ticket、cloud log等の監視
Unknown secretprovider pattern等で検出差secret inventory、短期credential化

秘密情報漏えい対応で起きる6つの失敗

  1. 自社所有repoだけをscanする。 個人fork、OSS、issue、PR commentを見落とします。
  2. 検知した文字列を削除して終わる。 Git履歴、cache、forkに残り、secretも有効なままです。
  3. ownerが分からず失効できない。 発行元、用途、system、権限、連絡先が台帳にありません。
  4. 失効前に調査を長引かせる。 有効な高権限keyが悪用され続けます。
  5. 帰属通知を本人の責任で終わらせる。 CI、委託先、教育、契約、発行方式を直しません。
  6. public監視で全秘密情報を守れると考える。 private repoとGitHub外の漏えいは別対策です。

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

GXO式「社外secret漏えい5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
Secret台帳20type、issuer、owner、system、scope、expiry、rotationを記録誰のkeyか不明
検知・帰属20public/private/外部面、member、domain、委託先を分離自社repoだけ
即時失効25severity別に自動/承認失効、代替key、SLA、24h体制削除して様子見
影響・証拠20発行・利用log、期間、IP、操作、data、保全を確認悪用確認なし
再発・委託15pre-commit、CI、短期key、教育、契約、再scanを実装本人注意だけ

合計点に関係なく緊急対応する条件

  • production、cloud admin、payment、顧客dataへ到達するsecretが公開されている
  • secretが有効か判断できず、ownerと発行元が見つからない
  • 削除済みでも失効・rotationを実施していない
  • 利用logがなく、公開後の悪用有無を確認できない
  • 委託先・退職者のkeyが現在も有効

高影響secretは証拠保全と並行して失効し、代替credentialへ切り替えます。

仮想記入例:個人forkにcloud keyをcommit

横にスクロールして確認できます

ゲート得点不足
Secret台帳9/20project名は分かるがscope・owner不明
検知・帰属14/20verified domainで帰属、委託先accountは対象外
即時失効10/25platform担当の出社まで6時間待ち
影響・証拠8/20cloud audit log保存が7日
再発・委託6/15本人へ注意し、CIと契約は未変更
合計47/100即時失効・log保全・scope調査を実施

公開contentを削除するだけでなく、keyを失効し、同じsecretの全利用箇所をrotationします。cloud audit logを保全し、公開時刻から失効時刻までの操作を確認します。個人fork禁止ではなく、短期credential、pre-commit、CI secret、委託先手順を整えます。

最小secret台帳

横にスクロールして確認できます

項目記録内容
Secret ID/TypeAPI key、token、certificate、password
Issuer/Owner発行system、業務・技術owner、連絡先
Scopeenvironment、resource、read/write/admin
Storagevault、CI、application、端末、委託先
Lifecycle発行、期限、rotation、最終利用、廃止
Detectionpublic、private、GitHub外、alert、帰属根拠
Responserevoke SLA、代替、影響log、報告、再発防止

検知時の15分・60分・24時間

  • 15分:secret type、production影響、owner、公開locationを確認し、Criticalは失効
  • 60分:全利用箇所をrotation、公開contentを削除、logとGit証拠を保全
  • 24時間:悪用、data影響、委託・顧客・法務連絡要否、再発経路を判定
  • 7日:short-lived credential、pre-commit、CI、権限、契約、教育を是正

GitHub・委託先へ確認する10問

  1. public monitoringの契約・plan・data residency対応は何か
  2. memberとverified domainによる帰属条件・誤帰属の扱いは何か
  3. 対象secret typeと検知できないcredentialは何か
  4. alertにlocation、committer、type、時刻、帰属根拠が含まれるか
  5. webhook/API/SIEMへ何分で連携できるか
  6. private repoとGitHub外を何で補完するか
  7. 委託先の個人・会社accountをどこまで監視・契約対象にするか
  8. Critical secretを夜間・休日に誰が失効できるか
  9. 失効で本番停止しない代替credentialとrunbookがあるか
  10. 契約終了・退職時に全secretを発見・廃止できるか

GXOの脆弱性診断では、public repositoryだけでなく、Web、cloud、application、秘密情報の露出経路を整理します。漏えい後の証拠保全・影響確認はインシデント対応、開発工程の予防はDevSecOpsへ接続します。

FAQ

Public monitoringを有効にすれば秘密情報漏えいを防げますか

公開後の検知を早める機能です。公開前のpre-commit、CI、vault、short-lived credential、最小権限と、検知後の即時失効が必要です。

GitHubからsecretを削除すれば失効しなくてよいですか

履歴、fork、cache、cloneへ残る可能性があるため、漏えいしたsecretは原則として失効・rotationし、利用logを確認します。

個人GitHubの利用を禁止すべきですか

禁止だけではshadow利用を見失います。OSS参加・forkのルール、会社data・secretの分離、verified domain、監視、短期credentialを組み合わせます。

出典・確認日

Public Previewの機能、対象plan、secret type、帰属方法、data residency対応は変更される可能性があります。本記事の配点と仮想例はGXO独自であり、GitHubの評価・保証ではありません。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

FREE DOWNLOAD

この記事と関連する 実践資料

費用相場、選定チェックリスト、補助金活用など、続きをより深く掘り下げた資料を無料でダウンロードできます(営業電話なし / 即DL / 社内共有OK)。

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK