
APIキーやパスワード、認証トークンなどの「シークレット」は、システムやクラウドサービスを利用するうえで欠かせない認証情報です。しかし、こうしたシークレットがソースコードや設定ファイル、チャットツールなどに意図せず残り、外部から参照できる状態になると、不正アクセスや情報漏えいにつながる可能性があります。
GitGuardianは毎年、世界中で検出されたシークレット漏えいの状況をまとめた年次調査レポート、「The State of Secrets Sprawl」を発表しています。
コンステラセキュリティジャパンでは、今年も本レポートの日本語翻訳版を公開いたしました。
本記事では、2026年版レポートの見どころを一部ご紹介します。
シークレット漏えいとは何か
シークレットとは?
シークレットとは、APIキー、アクセストークン、パスワード、証明書など、システムやクラウドサービスへアクセスするための認証情報を指します。
これらがソースコードや設定ファイル、チャットツールなどへ意図せず保存・共有されることを「シークレット漏えい」と呼びます。
シークレット漏えいが問題になる理由
漏えいしたシークレットが有効なまま残っていると、攻撃者は正規の認証情報を利用してシステムへアクセスできる可能性があります。
マルウェア感染や脆弱性を悪用しなくても侵入できるケースもあるため、企業にとって重要なセキュリティ課題の一つとなっています。
「The State of Secrets Sprawl 2026」とは
GitGuardianは毎年、世界中で検出されたシークレット漏えいの実態を分析した年次調査レポート 「The State of Secrets Sprawl」 を公開しています。
2026年版では、2025年に確認された漏えいデータをもとに、
- シークレット漏えい件数の推移
- AI時代における新たな漏えい傾向
- 内部環境での漏えいリスク
- シークレット管理の最新動向
などが詳しく紹介されています。
コンステラセキュリティジャパンでは、本レポートを日本語へ翻訳し、日本国内のお客様にもご活用いただけるよう公開しています。
2026年版で注目したい主な変化
今年のレポートでは、「件数の増加」だけでなく、シークレット管理を取り巻く環境そのものが変化していることが分かります。
シークレット漏えい件数は前年より増加
2025年に公開GitHubコミットで検出された新規シークレットは約2,865万件となり、前年から34%増加しました。
シークレット漏えいは依然として増加傾向にあります。
漏えいリスクはコード以外にも広がっている
今年のレポートでは、GitHubだけでなく、
- 内部リポジトリ
- Slack
- Jira
- Confluence
など、日常業務で利用するツールも漏えい経路として取り上げられています。
「公開リポジトリだけ確認すれば十分」という時代ではなくなりつつあります。
漏えいしたシークレットは長期間有効なケースもある
レポートでは、数年前に漏えいしたシークレットでも、有効なまま利用可能なケースが少なくないことも報告されています。
漏えいを検知するだけでなく、迅速な無効化やローテーションの重要性も示されています。
AI時代にシークレット漏えいリスクはどう変わっているのか
2026年版で特に注目したいテーマがAIです。
AIコーディング支援ツールやLLM関連サービスの利用拡大により、開発現場ではこれまで以上に多くの認証情報が扱われるようになりました。
レポートでは、
- AI関連サービスのシークレット漏えいが増加
前年比で増加率の高いシークレットの多くがAI関連サービスであること - AI開発で管理すべきシークレットが増えている
LLM、RAG、MCPなど新しい技術の普及に伴い、管理対象となるシークレットも増加していること
などが紹介されています。
AI導入が進む今だからこそ、シークレット管理の重要性はこれまで以上に高まっています。
シークレット漏えいはどこで起きているのか
「シークレット漏えい」と聞くと、GitHubへの誤コミットを思い浮かべる方も多いかもしれません。
しかし、2026年版レポートでは、それだけでは全体像を把握できないことが示されています。
内部リポジトリには公開リポジトリより多くのシークレットが存在する傾向があり、さらにSlackやJira、Confluenceなどコード以外の環境でも認証情報が共有されています。
シークレット管理は、「コードを監視する」から「組織全体で管理する」フェーズへ移りつつあります。
日本語版レポートをダウンロード
本記事では、2026年版レポートの見どころを一部ご紹介しました。
レポート本編では、
- AI関連サービスごとの漏えい傾向
- Claude CodeやMCPなど最新技術とシークレット管理
- 内部リポジトリやコラボレーションツールの分析
- 各種統計データや図表
- NHI(Non-Human Identity)ガバナンスの考え方
などを、豊富なデータとともに詳しく解説しています。
AI時代におけるシークレット管理の最新動向を知りたい方は、ぜひ「The State of Secrets Sprawl 2026 日本語翻訳版」をご活用ください。
GitHubから流出した機密情報をリアルタイム検知「GitGuardian」
GitGuardianは、GitHub上の機密情報漏えいをリアルタイムに検知するソリューションです。
攻撃者の手口や開発現場の実態を踏まえ、ソースコードに潜むリスクを即座に可視化します。
詳細については下記ページをご覧ください。
| この記事をシェア |
|---|
一緒によく読まれている記事
-
ほぼこもセキュリティニュース
- パスワード不要でGmailを覗き見?ToddyCatの新マルウェア「Umbrij」の手口
- 主にヨーロッパやアジア太平洋地域を標的として活動する、政府機関や軍事・防衛関連組織を主なターゲットとした高度なサイバー攻撃グループ(APT)のひとつに、ToddyCatがあります...
-
ほぼこもセキュリティニュース
- 研究者を嵌める罠:最新ステルスRAT「ChocoPoC」の脅威
- ChocoPoCは、新たに確認され、現在進行形で警戒されているRAT(Remote Access Trojan:遠隔操作ウイルス)型マルウェアです。 このマルウェアは、セキュリテ...
関連したサービスの紹介記事
-
サイバー領域
- GitHub・生成AI時代に急増する認証情報漏えいとは?─GitGuardianが解説する「Secret Sprawl」の実態と対策
- GitHubや生成AI活用の拡大に伴い増加する認証情報漏えいリスクとは。2026年3月開催ウェビナーの内容をもとに、GitGuardianが解説したシークレットスプロール、Non...
-
サイバー領域
- 【日本語翻訳版公開】GitGuardian年次レポート「The State of Secrets Sprawl 2025」
- シークレットの拡散は前年よりさらに深刻化。非公開環境での漏えい増加など、最新の傾向を分析したGitGuardianの2025年版レポートです。