ホーム / 支援 / セキュリティ基準

🛡️ セキュリティ基準

社内 GitHub Enterprise を安全に利用するために守るべきルールをまとめています。

🚨 インシデント発生時は即座に報告 機密情報の漏えい・不審なアクセスを発見した場合は、直ちに security@example.com へ連絡してください。
🔑

認証・アクセス管理

  • 必須社内 SSO(SAML)を使用してログインすること。個人アカウントでの利用は禁止。
  • 必須個人アクセストークン(PAT)には有効期限(最大 90 日)を設定すること。
  • 必須PAT のスコープは必要最小限に限定すること(repo のみ、など)。
  • 推奨SSH キーを利用する場合は Ed25519 形式を使用すること。
  • 禁止PAT・SSH 秘密鍵をリポジトリにコミットすること。
  • 禁止アカウント・PAT を他者と共有すること。
📁

リポジトリ設定

  • 必須社内コードはすべて Private または Internal リポジトリで管理すること。
  • 必須デフォルトブランチ(main/master)にブランチ保護ルールを設定し、直接プッシュを禁止すること。
  • 必須マージには最低 1 名のレビュアー承認を必須とすること。
  • 推奨Dependabot を有効化し、依存パッケージの脆弱性を自動検知すること。
  • 推奨Secret Scanning・Code Scanning(CodeQL)を有効化すること。
  • 禁止社外ユーザー(Outside Collaborator)の追加は管理者の承認なしに行うこと。
🔐

シークレット・機密情報の管理

  • 必須API キー・パスワード・証明書は GitHub Actions Secrets または Vault に格納すること。
  • 必須.env ファイルは .gitignore に追加し、リポジトリにコミットしないこと。
  • 推奨.gitignore テンプレート(github/gitignore)を活用すること。
  • 禁止本番環境の接続情報(DB パスワード・接続文字列など)をコードに直接記述すること。
  • 注意過去のコミットに機密情報が含まれていた場合は、git filter-repo で履歴を消去し管理者に報告すること。
⚙️

GitHub Actions

  • 必須外部アクション(サードパーティ)はコミット SHA でバージョンを固定すること(uses: actions/checkout@abc1234)。
  • 必須Workflow に付与する権限(permissions)は最小限にすること。
  • 推奨セルフホステッドランナーは公開リポジトリでは使用しないこと。
  • 禁止Workflow ファイルで GITHUB_TOKEN 以外のシークレットを echo で出力すること。
📋

コンプライアンス・監査

  • 必須退職・異動時は速やかに管理者へ連絡し、アカウント・権限を無効化すること。
  • 推奨四半期に一度、自分が持つリポジトリ権限・PAT を棚卸しすること。
  • 推奨監査ログ(Audit Log)は Organization 管理者が定期確認すること。
  • 禁止業務に無関係なコードを社内リポジトリへコミットすること。