- はじめに
- GitHub Advanced Security とは?
- GitHub Secret Protection の概要
- GitHub Code Security の概要
- ライセンスの支払方法
- おわりに
- ACS 事業部のご紹介
はじめに
こんにちは。ACS 事業部の田中です。
Microsoft Build 2025 で大きな発表があった GitHub Copilot ですが、今最も注目を集めている GitHub のサービスであることは言うまでもないでしょう。
開発者の生産性を向上する「攻め」のソリューションとして、ますます目が離せません。
ただ、AI 駆動開発 によって開発生産性を向上しても、脆弱性やバグを抱えたアプリケーションをリリースしてしまっては元も子もありません。
企業がアプリケーションを開発する場合、開発生産性と同等、あるいはそれ以上にセキュリティも重要なのではないでしょうか。
本記事ではこれらのセキュリティ リスクを低減する「守り」のソリューションである GitHub Advanced Security(GHAS:ギャス)の概要をまとめます。
GitHub Advanced Security とは?
GHAS は、GitHub が提供するアプリケーションのセキュリティを強化するため機能を提供するソリューションです。
開発ワークフローにセキュリティ機能を統合することで、開発者の負担を最小限に抑え、セキュリティと生産性の両立を実現します。
GHAS は 2025 年 4 月より GitHub Secret Protection と GitHub Code Security の 2 つの独立したサービスに分けられました。
これにより、組織は必要に応じたセキュリティ機能を選択できるようになりました。
GitHub Secret Protection の概要
GitHub Secret Protection はシークレット(APIキーやパスワードなどの機密情報)の漏洩を防ぐための機能を提供します。
アクティブ コミッター(過去 90 日以内で GHAS が有効化されたリポジトリにコミットしたユーザー)が使用するライセンス数あたり、月額 $19 で利用可能です。
| 主な機能 | 説明 |
|---|---|
| Secret scanning | コミットされたコードに含まれるシークレットを検出します。 |
| Push protection | コードに含まれているシークレットを push の段階で検出します。 |
| Copilot secret scanning | 大規模言語モデル(LLM)を使用して非構造化シークレットを検出します。 GitHub Copilot のサブスクリプションは必要ありません。 |
| Custom patterns | 組織独自のシークレット(カスタム API キーなど)を検出するためのパターンを定義できます。 |
| Security overview | 組織全体のセキュリティ リスクやセキュリティ機能の使用状況を可視化します。 |
GitHub Code Security の概要
GitHub Code Security はコードに含まれる脆弱性を検出・修正するための機能を提供します。
アクティブ コミッターが使用するライセンス数あたり、月額 $30 で利用可能です。
| 主な機能 | 説明 |
|---|---|
| Code scanning | CodeQL(GitHub が開発した静的コード解析エンジン)やサードパーティのツールを使用して、コード内の脆弱性やバグを検出します。 |
| Copilot Autofix | Code scanning のアラートに対して自動修正を提案し、修正プロセスを効率化します。 GitHub Copilot のサブスクリプションは必要ありません。 |
| Security campaigns | セキュリティ アラートをグループ化し、対応の優先順位付けをすることで、セキュリティ負債の削減を支援します。 |
| Dependency review | ライブラリやフレームワークの追加・更新時に、既知の脆弱性を pull request の段階で検出します。 |
| Security overview | 組織全体のセキュリティ リスクやセキュリティ機能の使用状況を可視化します。 |
ライセンスの支払方法
サービスのライセンスの支払い方法には、従量制課金とボリューム/サブスクリプション課金の2つがあります。
| 支払方法 | 説明 |
|---|---|
| 従量制課金 | GitHub Team および GitHub Enterprise で選択可能です。 アクティブ コミッターが使用したライセンス数に応じて料金を支払います。 事前に定められたライセンス数に制限はありません。 |
| ボリューム/サブスクリプション課金 | GitHub Enterprise でのみ選択可能です。 一定期間で使用するライセンス数を事前に定めて購入します。 アクティブ コミッターが使用したライセンス数が購入したライセンス数を超える場合、超過分のライセンスを購入する必要があります。 |
おわりに
本記事では GHAS の主な機能やライセンスについてまとめました。
各機能の設定方法や利用手順については、別途記事を公開する予定です。
本記事と併せて参考にしていただければ幸いです。
ACS 事業部のご紹介
私の所属する ACS 事業部では、開発者ポータル Backstage、Azure AI Service などを活用し、Platform Engineering + AI の推進・内製化を支援しています。
www.ap-com.co.jp www.ap-com.co.jp www.ap-com.co.jp
また、GitHub パートナーとしてお客様に GitHub ソリューションの導入支援を行っています。
GitHub Copilot などのトレーニングなども行っておりますので、ご興味を持っていただけましたらぜひお声がけいただけますと幸いです。
一緒に働いていただける仲間も募集中です!
ご興味持っていただけましたらぜひお声がけください。
