GitHubから機密情報流出、何が問題なのか?


GitHubのパブリックリポジトリからソースコードや機密情報が流出した!という話が2021年1月から話題になっております。「SEの多重下請け構造が問題だ」や「漏洩リスクのリテラシーが足りない」など、意見が交わされていますが、企業としては、どう対策をすれば良いのか?とお考えだと推測致します。

攻撃側の視点で考えると、GitHubには欲しい情報が詰まっています。彼らは、高頻度でクローリングをし、目的の情報を抜き出します。企業側は、攻撃者の意図を理解し、適切な対応をする必要があります。では、現場にはどのような問題があるのでしょうか?


現場の声を紹介!GitHub流出問題で起きている3つの課題点

  1. GitHubが社内や外注先でどのくらい使われているか把握できていない
  2. パブリック(公開)リポジトリで公開される情報は本当に公開されるべきものか判断できない
  3. そもそもソースコードに含まれる機密情報に何が含まれているか分からない

GitHubと GitHubを利用するソフトウェア開発者に関する事実

  • GitHubは開発者が競争に打ち勝つための重要なプラットフォーム
  • 4000万人以上の開発者がGitHubを利用
  • 開発者は想定以上にセンシティブな情報に日々アクセスしている



拡大する開発チームにおいて、ソフトウェア開発者はネット空間でのコラボレーションが求められ、納期のプレッシャーと戦いながら、同時に新たな技術を習得しなければなりません。GitHubは、日々そういったプレッシャーにさらされているソフトウェア開発者が競争に打ち勝つための重要なプラットフォームとなりました。

開発者が日々アクセスする情報はソフトウェアのコード, APIキー, データベースアクセスのためのクレデンシャル情報、証明書など多岐にわたり、それらは企業秘密に該当します。世界中の企業が直接、あるいは間接的にGitHubにデータを公開しているのが実態です。

サイバーリスクを低減する GitGuardian for Public GitHub Monitoring

GitGuardian_dashboard

GitGuardianは、サイバーリスクを低減するためのソリューションであり、GitHub内の開発者の行動パターンに精通しています。そして機密情報漏洩のリアルタイム検知が特徴です。攻撃者は高頻度でGitHubをクローリングしています。インシデントを検知したその瞬間に対応しなければ間に合いません。GitGuardianは平均4秒でインシデントを検知します。

GitHubから流出した機密情報をリアルタイムに検知する「GitGuardian」のサービス概要は以下のとおりです。

  • 2018年以降のGitHubのすべての情報にアクセス可能
  • GitHubを利用している開発者をリアルタイムに把握
  • プライベートリポジトリからパブリックリポジトリへの設定変更を検知
  • 攻撃者にとって価値がある機密情報の流出を検知するための、数百を超える検索ロジックを装備
  • 開発者とダッシュボードを介して迅速なコミュニケーションが可能
  • SaaSモデルで契約日から即利用可能
  • Splunk、QRadar、Slackなどとの連携
  • 公式なオープンソースリポジトリ及び開発者個人の公開リポジトリをモニタリング
  • 柔軟なサーチ機能


GitGuardian画面イメージ

動画で概要を確認

GitGuardianはいかに顧客の課題を解決できるのか?

GitGuardianはいかに顧客の課題を解決できるのか?(約9分)

GitGuardianのソリューションについての概要説明とデモの動画です。(日本語字幕付)

2021年3月開催ウェビナー動画

ウェビナー(約14分)

2021年3月、GitGuardian社のエグゼクティブRamzi Lahoud氏がサービス概要と全般的なデモを簡潔にご紹介するウェビナーを開催しました。GitHub上に流出するデータをリスクを捉える組織の皆様に大変ご好評をいただきました。
当ウェビナー動画を特別公開いたします。(日本語字幕付)

デモにご興味がある方へ

上記のウェビナー動画では、一般的なデータを用いた非常に簡潔なデモをご紹介しておりますが、
実際に皆様の組織に関する情報でダッシュボードを作成し、デモ画面をご覧いただく事が可能です。
以下のフォームより「デモを見たい」を選んでご連絡ください。

GitGuardian に関するお問い合わせ

下記ボタンをクリックしてフォームよりご連絡ください。