{"meta":{"title":"シークレット スキャンについて","intro":"公開された資格情報を悪用する前に自動的に検出することで、シークレットの不正使用を防止します。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/concepts","title":"Concepts"},{"href":"/ja/code-security/concepts/secret-security","title":"シークレット セキュリティ"},{"href":"/ja/code-security/concepts/secret-security/about-secret-scanning","title":"シークレット スキャン"}],"documentType":"article"},"body":"# シークレット スキャンについて\n\n公開された資格情報を悪用する前に自動的に検出することで、シークレットの不正使用を防止します。\n\nAPI キーやパスワードなどの資格情報がハードコーディングされたシークレットとしてリポジトリにコミットされると、承認されていないアクセスのターゲットになります。\nSecret scanning は資格情報リークを自動的に検出するため、悪用される前にセキュリティで保護できます。\n\n> \\[!TIP]\n> 漏洩したシークレットについては、いつでも組織のコードの無料評価を実行できます。\n>\n> レポートを生成するには、 組織の \\[** Security and quality**] タブで、\\[**評価**] ページを表示し、\\[**組織のスキャン**] をクリックします。を開きます。\n\n## シークレット スキャンによってコードが保護されるしくみ\n\n```\n Secret scanning は、リポジトリのすべてのブランチで Git 履歴全体をスキャンして、API キー、パスワード、トークン、その他の既知のシークレットの種類など、ハードコーディングされた資格情報を探します。 これにより、セキュリティ リスクになる前に、シークレットのスプロール(リポジトリ間での資格情報の制御不能な急増)を特定するのに役立ちます。 \n GitHub また、新しいシークレットの種類が追加されると、リポジトリも定期的に再スキャンされます。\n\n GitHub また、次の項目も自動的にスキャンされます。\n```\n\n* 問題の説明とコメント\n* オープンとクローズの過去の問題のタイトル、説明、およびコメント\n* pull request のタイトル、説明とコメント\n* のタイトル、説明、およびコメント GitHub Discussions\n* ウィキ\n* 秘密の要旨\n\n###\n\n```\n Secret scanning アラートと修復\n\n secret scanningが資格情報の漏洩を検出すると、GitHubは公開された資格情報に関する詳細を含むアラートをリポジトリの** Security and quality** タブに生成します。\n```\n\nアラートを受信したら、影響を受ける資格情報をすぐにローテーションして、承認されていないアクセスを防ぎます。 Git 履歴からシークレットを削除することもできますが、これは時間がかかり、資格情報を既に取り消している場合は多くの場合不要です。\n\n### パートナー統合\n\n```\n GitHub は、検出されたシークレットを検証するために、さまざまなサービス プロバイダーと連携します。 パートナー シークレットが検出されると、資格情報の取り消しなどのアクションを実行できるように、プロバイダーに通知します。 パートナー シークレットはプロバイダーに直接報告され、リポジトリのアラートには表示されません。 詳しくは、「[AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)」をご覧ください。\n```\n\n## カスタマイズ\n\nパートナーシークレットとプロバイダー シークレットの既定の検出以外にも、ニーズに合わせて secret scanning を拡張およびカスタマイズできます。\n\n* **プロバイダー以外のパターン。** 秘密キー、接続文字列、汎用 API キーなど、特定のサービス プロバイダーに関連付けられていないシークレットに検出を拡張します。\n* **カスタム パターン。** 既定のパターンでカバーされていない組織固有のシークレットを検出する独自の正規表現を定義します。\n* **有効性チェック。** 検出されたシークレットがまだアクティブであるかどうかを確認して、修復に優先順位を付けます。\n\n***\n\n```\n Copilot シークレットスキャン.** AI を使用して、パスワードなどの非構造化シークレットを検出したり、カスタム パターンの正規表現を生成したりします。\n```\n\n### 有効性チェックについて\n\n有効性チェックは、検出されたシークレットがまだアクティブであるかどうかを確認することで、最初に修復するシークレットに優先順位を付けるのに役立ちます。 有効性チェックを有効にすると、 secret scanning はシークレットの発行元サービスに連絡して、資格情報が取り消されたかどうかを判断できます。\n\n有効性チェックは、 secret scanningのパートナー プログラムとは別です。 パートナー シークレットは失効のためにサービス プロバイダーに自動的に報告されますが、有効性チェックでは、独自のアラートで管理するシークレットの状態が確認されます。 詳しくは、「[有効性チェックについて](/ja/code-security/concepts/secret-security/about-validity-checks)」をご覧ください。\n\n## この機能にアクセスするにはどうすればよいですか?\n\nSecret scanning は、次のリポジトリの種類で使用できます。\n\n* **パブリック リポジトリ**: Secret scanning は無料で自動的に実行されます。\n* **組織所有のプライベートリポジトリと内部リポジトリ**: [GitHub Secret Protection または GitHub Team](/ja/get-started/learning-about-github/about-github-advanced-security) で有効になっている GitHub Enterprise Cloud で使用できます。\n* **ユーザー所有のリポジトリ**: GitHub Enterprise Cloud および Enterprise Managed Users で利用可能です。 GitHub Enterprise Server で使用できるのは、エンタープライズで [GitHub Secret Protection](/ja/get-started/learning-about-github/about-github-advanced-security) が有効になっている場合です。\n\n## 次のステップ\n\n* **アラートを受け取った場合は**、 [シークレット スキャン アラートの管理](/ja/code-security/secret-scanning/managing-alerts-from-secret-scanning) を参照して、公開されているシークレットを確認、解決、修復する方法を確認してください。\n* **組織をセキュリティで保護する場合は**、 [組織のシークレット リスク評価の実行](/ja/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) を参照して、漏洩したシークレットに対する組織の露出を判断してください。\n\n## 詳細については、次を参照してください。\n\n* サポートされているシークレットとサービス プロバイダーの完全な一覧については、 [サポートされているシークレット スキャン パターン](/ja/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets) を参照してください。"}