Introduction
セキュリティ インシデントの防止は、それらに対応するよりもコストが低く、中断が少なくなります。 GitHubで環境を事前に強化することで、悪用された資格情報、未承認のアクセス、サプライ チェーン攻撃などの脅威にさらされるリスクを軽減できます。
このガイドでは、主に、 GitHub Enterprise Cloud上の企業の一部である組織全体に適用できる保護措置に焦点を当てています。 試用 GitHub Enterprise Cloudについては、 GitHub Enterprise Cloud の試用版の設定 を参照してください。
ここで説明する GitHubのセキュリティ機能の多くは、セキュリティ構成、ブランチ ルールセット、アクセス制御など、組織レベルまたはエンタープライズ レベルの両方で構成できます。
即時対応
これらは、組織全体でセキュリティ ベースラインを確立するために、今すぐ実行できる影響の大きいアクションです。
セキュリティ カバレッジを確立する
GitHubのGitHub Advanced Security ツールがすべてのリポジトリでアクティブになっていることを確認します。 ツールを 1 つずつ有効にするのではなく、 **セキュリティ構成**を作成して適用できます。セキュリティ構成は、組織全体または企業のリポジトリに 1 つのアクションで適用できるセキュリティ設定のコレクションです。
強力な構成には、次のものが含まれる場合があります。
Secret scanning
** と **プッシュ保護** を使用して、コードベースに既にコミットされているシークレットを検出し、新しいシークレットがプッシュされないようにします。 漏洩した資格情報は、セキュリティ侵害の最も一般的な原因の 1 つです。
Code scanning
** を使用して、運用環境に到達する前にソース コードの脆弱性とコーディング エラーを特定します。
Dependabot alerts
** を **Dependabot security updates** して、依存関係内の既知の脆弱性とマルウェアを通知し、プル要求を自動的に開いて脆弱な依存関係を更新します。
[「AUTOTITLE」](/enterprise-cloud@latest/code-security/how-tos/secure-at-scale/configure-organization-security/establish-complete-coverage/creating-a-custom-security-configuration)(組織) および[「AUTOTITLE」](/enterprise-cloud@latest/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage/creating-a-custom-security-configuration-for-your-enterprise) (エンタープライズ) を参照してください。
コントロールを強化する
GitHub では、リポジトリと組織で何が起こるかを制御するさまざまなコントロールが提供されます。 リスクを軽減するには、これらのコントロールを適切に構成することが不可欠です。
ルールセットを使用して重要なブランチを保護する
ルールセットを使用すると、1 つ以上のリポジトリにわたるブランチとタグの保護規則を定義できます。 プル要求のレビューや状態チェック (自動セキュリティ スキャンなど) などの要件を適用するために使用します。 これにより、侵害されたアカウントからの変更など、承認されていない変更が運用環境のコードに到達するのを防ぐことができます。
[「AUTOTITLE」](/organizations/managing-organization-settings/creating-rulesets-for-repositories-in-your-organization)(組織) および[「AUTOTITLE」](/enterprise-cloud@latest/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-governance) (エンタープライズ) を参照してください。
プッシュ保護をバイパスできるユーザーを制御する
プッシュ保護を有効にすると、検出されたシークレットをプッシュしようとした共同作成者はブロックされますが、既定ではブロックをバイパスするオプションがあります。 委任されたバイパス では、バイパス要求がレビューと承認サイクルを通過する必要があるため、明示的で監査された決定なしにバイパスを行う必要はありません。
「プッシュ保護のための委任されたバイパスの有効化」を参照してください。
プル要求に依存関係の確認を適用する
依存関係レビュー アクションを使用すると、プル要求の依存関係の変更で既知の脆弱性を検出することで、マージされる前に脆弱な依存関係をキャッチできます。 シークレットのプッシュ保護と同様に、事後アラートではなくゲートとして機能します。 組織全体の pull request に依存関係の確認を適用できます。
「依存関係の確認について」と「organization 全体で依存関係レビューを実施する」を参照してください。
アクセスの確認と制限
許可されたときに適切なアクセスは不要になる場合があります。 組織にアクセスできるユーザーとアクセス権を定期的に確認することで、承認されていないアクションのリスクが軽減されます。
メンバー アクセスを監査し、最小特権の原則に従う
組織のメンバーが必要なアクセス権のみを持っていることを確認します。 アクセスが不要になったメンバーを削除し、より広範なアクセス許可が正当化されないロールをダウングレードし、外部のコラボレーター アクセスを確認します。 アクセスが過度に制限されると、侵害されたアカウントの爆発半径が増加します。
既定のロールが組織が必要とするよりも制限が大きい場合は、各チームが必要とする特定のアクセス許可のみを付与する カスタム ロール を作成できます。 これは、ゼロ トラスト セキュリティ モデルを採用している組織にとって特に重要です。
「企業で必要なロールの識別」を参照してください。
承認されたアプリケーションを確認する
OAuth apps および組織にインストールされている GitHub Apps は、データにアクセスできます。 承認されたアプリケーションの一覧を確認し、不要になったアプリケーションまたは信頼されなくなったアプリケーションを削除します。 古い統合は、見過ごされがちな攻撃面を表します。
「インストールされている GitHub Apps の確認と変更」と「OAuth アプリのアクセス制限について」を参照してください。
IP 許可リストを使用してネットワーク アクセスを制限する
GitHub Enterprise Cloud上の組織の場合、組織が既知のネットワーク範囲から運用している場合は、IP 許可リストを構成して、それらの範囲からのGitHubリソースへのアクセスのみを制限します。 これにより、予期しない場所から使用される侵害された資格情報に対する防御レイヤーが追加されます。
「組織に対する許可 IP アドレスを管理する」と「IP 許可リストを使用して Enterprise へのネットワーク トラフィックを制限する」を参照してください。
短期的なアクション
これらのアクションはセキュリティ体制にも重要ですが、展開する前に、より多くの準備と調整が必要になる場合があります。
認証の強化
弱い認証または侵害された認証は、アカウントの引き継ぎの最も一般的な原因の 1 つです。 組織全体で強力な認証を要求すると、このリスクが大幅に軽減されます。
すべてのメンバーに 2 要素認証 (2FA) が必要です。これにより、侵害されたパスワードだけではアカウントにアクセスできません。 要件を適用する前に、組織と通信して、メンバーが 2FA を設定する時間を取るようにします。
GitHub Enterprise Cloud上の組織は、ID プロバイダーを介して認証を一元化するシングル サインオン (SSO) を適用することで、さらに進むことができます。
「Organization で 2 要素認証を要求する」と「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」を参照してください。
GitHub Actions ワークフローを強化する
GitHub Actions 多くの場合、ワークフローはシークレット、デプロイ資格情報、リポジトリへの書き込みアクセス許可にアクセスできます。 慎重に構成しないと、侵害されたアクションや悪意のあるアクションによってデータが流出したり、悪意のあるコードが挿入されたりする可能性があります。
ワークフローのアクセス許可を明示的に宣言する
既定では、ワークフローは GITHUB_TOKENを介して広範なアクセス許可を受け取る場合があります。 ワークフロー ファイル内の permissions キーを使用して、各ワークフローに必要な最小限のアクセス許可を明示的に宣言します。 これにより、侵害されたワークフロー ステップが引き起こす可能性のある損害が制限されます。
サードパーティのアクションを固定して SHA をコミットする
タグ (たとえば、 v1) によってサード パーティのアクションを参照する場合、タグは別のコードを指すように移動できます。 アクションを完全コミット SHA にピン留めすることで、レビューして承認した正確なコードを常に実行できます。 これにより、タグがハイジャックされたサプライ チェーン攻撃から保護されます。
実行できるアクションを制限する
実行を許可するアクションを制御するには、組織レベルまたはエンタープライズ レベルでポリシーを構成します。 アクションは、 GitHubによって作成されたもの、検証済みの作成者からのアクション、または特定の許可リストに制限できます。
これらのプラクティスの詳細と、特に GitHub Actions のセキュリティで保護されたその他の使用方法については、 セキュリティで保護された使用に関するリファレンス を参照してください。
継続的なセキュリティプラクティス
これらのプラクティスは、通常の運用リズムの一部になる必要があります。
- セキュリティの概要を使用してセキュリティ体制を監視する
- 定期的なセキュリティ キャンペーンを実行してセキュリティ負債を削減する
- 引き続きアクセスとアクセス許可の監査を行う
- 依存関係を最新の状態に保つ
- シークレットをローテーションし、有効期限を適用する
セキュリティの概要を使用してセキュリティ体制を監視する
セキュリティの概要では、組織と企業のセキュリティランドスケープを一元的に把握できます。 これを使用して、セキュリティ機能が有効になっているリポジトリを追跡し、オープンアラートが存在するリポジトリを確認することで、新たに発生するリスクを見逃さないようにします。
「セキュリティの概要について」を参照してください。
定期的なセキュリティ キャンペーンを実行してセキュリティ負債を削減する
時間の経過と同時に、セキュリティ アラートが蓄積される可能性があります。 セキュリティ キャンペーンを使用すると、修復作業の整理と優先順位付けを行ったり、開発者にアラートのグループを割り当てたり ( Copilot生成された修正プログラムの助けを借りて)、アラートを Copilotに直接割り当てたりすることができます。
組織は、GitHub TeamまたはGitHub Enterprise CloudでGitHub Advanced Securityが有効になっている場合、セキュリティキャンペーンを利用可能です。 「セキュリティ キャンペーンの作成と管理」を参照してください。
引き続きアクセスとアクセス許可の監査を行う
ユーザーが組織に参加して退職したり、プロジェクトが進化するにつれて、アクセス要件が変わります。 以下の定期的なレビューをスケジュールします。
- 組織のメンバーシップとロール。
- 外部のコラボレーターへのアクセス。
- リポジトリ レベルのアクセス許可とチームの割り当て。
- 承認された OAuth と GitHub Apps。
これにより、組織が変更されても、アクセスは最小限の特権の原則に従って維持されます。
依存関係を最新の状態に保つ
脆弱な依存関係は、攻撃者にとって一般的なエントリ ポイントです。 Dependabot は、既知の脆弱性を持つ依存関係を更新するために pull request を自動的に開くことができますが、それらのプル要求は引き続きすぐに確認してマージする必要があります。
セキュリティ更新プログラムが停滞しないようにするために、プルリクエスト Dependabot をトリアージし、マージするプロセスを確立します。
「Dependabot 自動トリアージ ルールについて」と「依存関係の更新に関するPull Requestを管理する」を参照してください。
シークレットをローテーションし、有効期限を適用する
資格情報が長いほど、公開または盗用される機会が多くなります。 可能な場合:
- personal access tokensに有効期限を設定します。
- シークレットを定期的にローテーションします。
トークンの管理については、 個人用アクセス トークンを管理する と トークンの有効期限と取り消し を参照してください。
次のステップ
- 強力な予防管理が実施されていても、セキュリティ インシデントは引き続き発生する可能性があります。 事前に設定しておく必要がある重要なツールと応答プロセスがいくつかあります。 「セキュリティ インシデントの準備」を参照してください。