🔑
Developers Night Cafe 第5回「GitHub Advanced Security」レポート
2025年5月1日に開催された「Developers Night Cafe 第5回」では、GitHub Advanced Security(略称:GHAS) をテーマに、GitHub でのセキュリティ対策をどのように実践できるかが深く掘り下げられました。登壇者はMicrosoftの横田綾奈さん(Global Black Belt, Developer Productivity Specialist)と石田真彩さん(Global Black Belt, Digital & App Innovation Solution Specialist)。セキュリティ対策に強みを持つGitHubの多彩な機能や、新しく加わったCopilotとの連携が数多く紹介され、参加者からの関心も非常に高いイベントとなりました。
GitHub Advanced Securityとは
多くの方がGitHub上で活用しているDependabot(ディペンダボット)など、一部機能には無料枠でも触れる部分がありますが、エンタープライズレベルでセキュリティ対策を行うならば「GitHub Advanced Security(GHAS)」の存在が重要になってきます。本編では、GHASが提供するセキュリティ機能の3本柱が示されました。
Dependency Scanning(ディペンデンシースキャニング) OSSライブラリなど外部依存ライブラリの脆弱性を検出・管理する。大量のアラートを取りまとめ、チーム全体で対応状況を追跡できる管理機能が充実している。
Secret Scanning(シークレットスキャニング) リポジトリ内に誤ってコミットしてしまったキーやパスワードを検出する機能。
Push前に“ヤバいキー”と判定できるもの(Azureトークンなど書式が既知のもの)はプッシュ自体をブロックする
書式が決まっていない独自のパスワード等もプッシュ後に検出可能(ジェネリック機能)
Code Scanning(コードスキャニング) アプリケーションの脆弱性を解析して検出する仕組み。SQLインジェクションやクロスサイトスクリプティングなど、Webアプリが抱えがちな問題を早期に把握し、修正を促す。
こうしたスキャニング機能がGitHub Actionsを活用して日々の開発ワークフローに組み込めるため、「シフトレフト」でセキュリティを強化できる点が大きな魅力です。コードのビルドやプルリクエスト承認、デプロイの手前で脆弱性を発見できるので、後工程で深刻なトラブルやコスト増を招くリスクを減らせます。
いきなりのデモ:Push Protectionで阻止
イベント冒頭では、ローカルリポジトリから怪しげなAzureトークンを含んだコードをpushしようとした瞬間、Push Protection が発動してブロックされるデモが披露されました。
Push Protection
シークレットスキャニングの一部機能。
既知フォーマット(例:Azureキー)のトークンやパスワードは、そもそもGitHubへのプッシュを阻止。
プッシュが弾かれたメッセージがCLIに表示され、「pushに失敗した」となりました。これにより、特定の形式の機密情報をGitHubに送信してしまう事故を物理的に防ぐ効果があります。
Copilot連携でセキュリティを支援
GitHub Copilotと言えばコーディング補助のイメージが強いですが、今回のイベントではGHASと組み合わせてセキュリティを支援する姿が紹介されました。
ブラウザ上でのCopilotチャット
GHASが検出した脆弱性について、「日本語で解説して」「修正パターンを教えて」などとCopilotにチャットで尋ねられる。
脆弱性の背景や具体的な修正方法を、いちいち英語ドキュメントを調べずともすぐに得られる。
コードスキャニングの結果をCopilotがオートフィックス
例えば、コマンドラインインジェクションのように修正パターンが明確なものは、「Copilotが修正案を示して、その場でコミットする」という一連の流れがWeb UIから簡単にできる。
従来はスキャン結果をもとに開発者が手作業で修正していたが、少ないクリックで完結する体験が好評だった。
キャンペーン(Security Campaign)
新機能として、脆弱性をチーム単位で“何日以内に何件潰す”という目標をキャンペーン化して可視化する機能が登場。
オートフィックスに対応している場合には特に修正をスムーズに進められるため、チームでセキュリティ課題を集中攻撃するスタイルが取りやすくなる。
全体を踏まえた感想
セキュリティも“みんなで育てる”時代
GitHub CopilotのAI支援は、コーディングだけでなくセキュリティにも広がっています。リリース間際の「まとめて診断・修正」では手遅れになりがちだった課題を、プルリクやビルドタイミングで早期発見・自動修正し、さらにチームでキャンペーン化までできるという流れは、非常に魅力的です。
セキュリティ専門家や専任部署だけに頼るのではなく、開発者が日々のワークフローの中で自然とセキュリティを高める姿勢は、今後ますます重要になるでしょう。GHASの機能をフルに活かし、シフトレフトで安全かつ快適な開発体験を目指す──今回のイベントは、そんな展望を強く印象づける時間となりました。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
Read next
Loading recommendations...