実務チェックリスト
GitHub secret leak対応チェックリスト
GitHub上のsecret leakは、ファイル削除ではなく、失効、再発行、影響範囲確認、履歴確認、再発防止までを一連の作業として扱う。
- 対象者
- 開発者
- 緊急度
- 重大インシデント
- 領域
- GitHub
- 難易度
- 中級
- 所要時間
- 約10分
- 最終更新
- 2026-05-10
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
GitHub上にAPIキー、トークン、秘密鍵、.env、認証情報が含まれた疑いを検知した直後に使う。
誰が使うか
リポジトリ管理者または開発者が検知情報を保全し、対象サービスの管理者が失効・ローテーションを実施する。
エスカレーション条件
secretが有効、公開リポジトリ、fork・Actionsログ・リリース成果物に露出、管理者権限を持つ場合は重大インシデントとして扱う。
何を確認するか
GitHubにAPIキー、トークン、秘密鍵、.envが混入した疑いがあるとき、削除より先に失効・影響確認・履歴確認を進めるためのチェックリスト。
なぜ重要か
一度pushされた秘密情報は、最新コミットから削除してもclone済みの第三者や履歴に残る可能性がある。
見落とすと何が起きるか
漏えいしたトークンが有効なままだと、クラウド、SaaS、CI/CD、外部APIへの不正利用につながる。
確認前に準備するもの
- 検知されたsecretの種類、対象リポジトリ、コミット、ブランチ
- 対象サービスの管理画面、監査ログ、ローテーション手順、OIDC/OAuthクライアント一覧
- リポジトリ管理者、サービス管理者、CSIRTの連絡先
確認後に残すべき記録
- 失効・再発行したsecret、実施時刻、実施者
- 露出範囲、履歴、fork、Actionsログ、外部利用の有無
- 影響確認ログ、不審利用の有無、再発防止策
発見直後
影響範囲
履歴と保全
再発防止
よくある質問
GitHub secret leak対応チェックリストは何のためのチェックリスト?
一度pushされた秘密情報は、最新コミットから削除してもclone済みの第三者や履歴に残る可能性がある。
いつ使う?
GitHub上にAPIキー、トークン、秘密鍵、.env、認証情報が含まれた疑いを検知した直後に使う。
誰が対応する?
リポジトリ管理者または開発者が検知情報を保全し、対象サービスの管理者が失効・ローテーションを実施する。
確認漏れがあると何が起きる?
漏えいしたトークンが有効なままだと、クラウド、SaaS、CI/CD、外部APIへの不正利用につながる。
信頼性と注意事項
- 想定環境
- GitHub、GitHub Actions、クラウドAPI、SaaS API、CI/CDを使う開発組織
- 注意
- ファイル削除だけでは漏えい対応にならない。先に失効・ローテーションし、履歴と利用ログを確認する。
- 最終更新日
- 2026-05-10