GitHubから機密情報流出、何が問題なのか?
GitHubのパブリックリポジトリからソースコードや機密情報が流出した!という話が2021年1月から話題になっております。「SEの多重下請け構造が問題だ」や「漏洩リスクのリテラシーが足りない」など、意見が交わされていますが、企業としては、どう対策をすれば良いのか?とお考えだと推測致します。
攻撃側の視点で考えると、GitHubには欲しい情報が詰まっています。彼らは、高頻度でクローリングをし、目的の情報を抜き出します。企業側は、攻撃者の意図を理解し、適切な対応をする必要があります。では、現場にはどのような問題があるのでしょうか?
現場の声を紹介!GitHub流出問題で起きている3つの課題点
- GitHubが社内や外注先でどのくらい使われているか把握できていない
- パブリック(公開)リポジトリで公開される情報は本当に公開されるべきものか判断できない
- そもそもソースコードに含まれる機密情報に何が含まれているか分からない
GitHubと GitHubを利用するソフトウェア開発者に関する事実
- GitHubは開発者が競争に打ち勝つための重要なプラットフォーム
- 4000万人以上の開発者がGitHubを利用
- 開発者は想定以上にセンシティブな情報に日々アクセスしている
拡大する開発チームにおいて、ソフトウェア開発者はネット空間でのコラボレーションが求められ、納期のプレッシャーと戦いながら、同時に新たな技術を習得しなければなりません。GitHubは、日々そういったプレッシャーにさらされているソフトウェア開発者が競争に打ち勝つための重要なプラットフォームとなりました。
開発者が日々アクセスする情報はソフトウェアのコード, APIキー, データベースアクセスのためのクレデンシャル情報、証明書など多岐にわたり、それらは企業秘密に該当します。世界中の企業が直接、あるいは間接的にGitHubにデータを公開しているのが実態です。
サイバーリスクを低減する GitGuardian for Public GitHub Monitoring
GitGuardianは、サイバーリスクを低減するためのソリューションであり、GitHub内の開発者の行動パターンに精通しています。そして機密情報漏洩のリアルタイム検知が特徴です。攻撃者は高頻度でGitHubをクローリングしています。インシデントを検知したその瞬間に対応しなければ間に合いません。GitGuardianは平均4秒でインシデントを検知します。
GitHubから流出した機密情報をリアルタイムに検知する「GitGuardian」のサービス概要は以下のとおりです。
- 2018年以降のGitHubのすべての情報にアクセス可能
- GitHubを利用している開発者をリアルタイムに把握
- プライベートリポジトリからパブリックリポジトリへの設定変更を検知
- 攻撃者にとって価値がある機密情報の流出を検知するための、数百を超える検索ロジックを装備
- 開発者とダッシュボードを介して迅速なコミュニケーションが可能
- SaaSモデルで契約日から即利用可能
- Splunk、QRadar、Slackなどとの連携
- 公式なオープンソースリポジトリ及び開発者個人の公開リポジトリをモニタリング
- 柔軟なサーチ機能
GitGuardian画面イメージ
動画で概要を確認
GitGuardian概要とデモ(約5分半)
GitGuardian Public Monitoringの概要説明とデモ
英語での説明ですが、YouTubeで字幕を選択していただく事で、日本語訳をご確認いただけます。※設定方法は以下をご覧ください。
<YouTube日本語字幕の設定について>
画面右下の設定⇒字幕で[日本語]を選択してください。
ウェビナー(約14分)
2021年3月、GitGuardian社のエグゼクティブRamzi Lahoud氏がサービス概要と全般的なデモを簡潔にご紹介するウェビナーを開催しました。GitHub上に流出するデータをリスクを捉える組織の皆様に大変ご好評をいただきました。
当ウェビナー動画を特別公開いたします。(日本語字幕付です)
デモにご興味がある方へ
上記のウェビナー動画では、一般的なデータを用いた非常に簡潔なデモをご紹介しておりますが、
実際に皆様の組織に関する情報でダッシュボードを作成し、デモ画面をご覧いただく事が可能です。
以下のフォームより「デモを見たい」を選んでご連絡ください。
GitGuardian に関するお問い合わせ
ボタンをクリックすると外部サイト(kairos3登録フォーム)に移動します