{"meta":{"title":"秘密漏えいリスク","intro":"API キー、パスワード、リポジトリにコミットされたトークンなどのシークレットは、承認されていないユーザーによって悪用され、組織に対するセキュリティ、コンプライアンス、財務上のリスクが発生する可能性があります。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/enterprise-cloud@latest/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts","title":"Concepts"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts/secret-security","title":"シークレットセキュリティ"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts/secret-security/secret-leakage-risks","title":"秘密漏えいリスク"}],"documentType":"article"},"body":"# 秘密漏えいリスク\n\nAPI キー、パスワード、リポジトリにコミットされたトークンなどのシークレットは、承認されていないユーザーによって悪用され、組織に対するセキュリティ、コンプライアンス、財務上のリスクが発生する可能性があります。\n\n## シークレットとは\n\nシークレットは、機密性の高いシステムとデータへのアクセスを許可する資格情報です。たとえば、次のような場合です。\n\n* 外部サービスでの認証に使用される API キーとトークン\n* データベースパスワードと接続文字列\n* クラウドプロバイダーの資格情報とサービスアカウントトークン\n* 証明書と暗号化キー\n\nシークレットがリポジトリにコミットされると、ソースコードまたは構成ファイルに直接埋め込まれる **ハードコーディングされた資格情報** になります。これらのハードコーディングされたシークレットは Git 履歴の一部になり、最新のコミットから削除された後でもアクセス可能なままになります。つまり、資格情報リークに対処するには、ファイルを削除する以上のものが必要です。また、承認されていないアクセスを防ぐために、資格情報を取り消して置き換える必要があります。\n\n## シークレットが公開される方法\n\n**シークレットの無秩序な拡散** は、一元的な管理や可視性がないまま、リポジトリ、チーム、システム間で資格情報が広まるときに発生します。これにより、存在するシークレット、使用されている場所、公開されたかどうかを追跡することが困難になります。シークレットは通常、いくつかの一般的なパターンを使用してリポジトリに入ります。\n\n### 開発ワークフロー\n\n* ローカルテスト中にハードコーディングされた資格情報が追加され、誤ってコミットされた\n* `.env` ファイルやコードとしてのインフラストラクチャテンプレートなどの構成ファイル内のシークレット\n* ドキュメント、Wiki、または README ファイル内の実際の API キーまたはトークンを含む資格情報の例\n\n### リポジトリ管理\n\n* 忘れられたが依然としてアクティブな資格情報を含むレガシーリポジトリ\n* GitHub の問題、プルリクエストのコメント、ディスカッション、またはスニペットで共有されたシークレット\n* 外部の共同作成者または請負業者によって導入された資格情報\n\n### バージョン管理の伝達\n\n* シークレットは、現在のコードから削除された後も Git 履歴に保持されます。\n* 資格情報は、フォークされたリポジトリ、バックアップシステム、および CI/CD ログに伝達されます。\n* 公開されたシークレットを含むパブリックリポジトリは、検索エンジンと特殊なスキャンサービスによってインデックスが作成されます。\n\n## セキュリティリスク\n\n公開されたシークレットは、いくつかの種類のセキュリティインシデントにつながる可能性があります。\n\n### 未承認のアクセス\n\n資格情報の漏洩により、承認されていないユーザーはシステムに直接アクセスできます。公開されると、ハードコーディングされたシークレットは次の用途に悪用される可能性があります。\n\n* 漏洩したクラウドプロバイダーの資格情報を使用して、アカウントにインフラストラクチャまたはサービスをプロビジョニングする\n* 侵害されたデータベース資格情報を使用して機密性の高い顧客または組織のデータにアクセスする\n* 公開されたサービスアカウントトークンを使用して運用システムにアクセスする\n\n### データ侵害\n\n資格情報の漏洩により、承認されていないユーザーはシステムに直接アクセスし、データ侵害につながります。攻撃者は、公開された資格情報を使用してアクセスを取得すると、機密データを流出させ、重要な情報を変更または削除し、顧客の信頼を侵害することができます。データ侵害には、資格情報の失効、システムの修復、侵害の範囲と影響の評価など、直ちにインシデント対応が必要です。\n\n### サプライチェーン攻撃\n\n公開されたパッケージレジストリトークンを使用して、悪意のあるバージョンのソフトウェアを公開し、パッケージに依存するダウンストリームユーザーや組織に影響を与える可能性があります。\n\n## 財務上の影響\n\n公開されたシークレットは、いくつかの方法で組織のお金がかかる可能性があります。\n\n* **予期しないクラウドの課金**: 漏洩した API キーにより、攻撃者はクラウドリソースを使用できます。コンピューティングインスタンスを実行したり、データを格納したり、アカウントに暗号通貨をマイニングしたりして、大きな請求書を生成することができます。\n* **インシデント対応**: 侵害の調査、資格情報のローテーション、監査システムには、エンジニアリング時間とリソースが大幅に必要です。\n* **法的コスト**: データ侵害により、罰金、法的手数料、通知費が発生する可能性があります。\n* **長期的な損害**: 顧客の損失、高い保険コスト、セキュリティインシデントが公開された後のビジネスチャンスの逃し。\n\n## シークレットのセキュリティと GitHub\n\nGitHub には、シークレット漏えいの防止、検出、修復に役立つツールが用意されています。\n\n### 1. 新しいシークレットがコミットされるのを防ぐ\n\n**プッシュ保護**を有効にして、`git push`操作中にコードをスキャンし、検出されたシークレットを含むコミットをブロックしてからリポジトリに入ります。これにより、ハードコーディングされた資格情報がコードベースに追加されるのを防ぎ、リスクの時点で開発者にリアルタイムのフィードバックを提供し、既知のサービスのプロバイダーパターンと、秘密キーや汎用 API キーなどのプロバイダー以外のパターンの両方をカバーします。\n\n組織のポリシーに関係なく、個人アカウントのプッシュ保護を有効にして、 GitHub全体のすべてのプッシュを保護するよう個々の開発者に勧めます。これにより、リポジトリに到達する前に漏洩した資格情報をキャッチすることで、シークレットの拡散を防ぐことができます。\n\n### 2. 既存のシークレットを検出する\n\n\\*\\*\nsecret scanning\n\\*\\*を使用して、ハードコーディングされたシークレットのリポジトリを継続的に監視し、資格情報が検出されたときにアラートを生成し、侵害された資格情報をすばやく取り消してローテーションできるようにします。プロバイダーパターンの既定の検出以外に、スキャンをプロバイダー以外のパターンに拡張し、組織固有のシークレットのカスタムパターンを定義できます。これにより、組織全体の秘密の広がりを可視化できます。\n\n## 次のステップ\n\n組織を秘密漏えいから保護するには:\n\n1. 無料のシークレットリスク評価を実行して、現在の露出を把握します。 [セキュリティリスク評価を実行する](https://github.com/get_started?with=risk-assessment)\n\n2. プッシュ保護を有効にして、新しいシークレットがコミットされないようにします。\n\n3. secret scanningが既存のシークレットリークの検出を開始できるようにします。\n\n4. 開発チームのセキュリティで保護された資格情報管理プラクティスを確立します。\n\nGitHubのシークレットセキュリティ機能の概要については、[GitHubを使用したシークレットセキュリティ](/ja/enterprise-cloud@latest/code-security/concepts/secret-security/about-secret-security-with-github) を参照してください。"}