サービス概要
GitHubから流出したシークレットをリアルタイムに検知する
GitHubのパブリックリポジトリからソースコードや機密情報が流出した!という話が2021年1月から話題になっています。「SEの多重下請け構造が問題だ」や「漏洩リスクのリテラシーが足りない」など、意見が交わされていますが、企業としては、どう対策をすれば良いのか?とお考えだと推測致します。
攻撃側の視点で考えると、GitHubを始めとする開発環境には、欲しい情報が詰まっています。彼らは、高頻度でクローリングをし、目的の情報を抜き出します。企業側は、攻撃者の意図を理解し、適切な対応をする必要があります。
GitGuardianは、サイバーリスクを低減するためのソリューションであり、開発者の行動パターンに精通しています。そして機密情報漏洩のリアルタイム検知が特徴です。
紹介動画
「GitGuardian」がどんなサービスを提供しているのか、簡単にご紹介をする動画です。
サービスの特長
- GitHubの利用状況の可視化
GitHubを利用している開発者を
リアルタイムに把握できる。
- その企業/開発に関わるGitHub上の開発者をリストアップ
- 開発者のアクティビティのモニタリング
- シークレット検知
公開された/公開しようとしているソースコード等に、公開されるべきではない情報が含まれていないかを
常にチェックできる。
- 攻撃者にとって価値がある機密情報の流出を検知するための、数百を超える検索ロジックの装備
- 柔軟なサーチ機能と豊富な情報から検索が可能
- 迅速なアラート
シークレットが検知されたら、迅速なアラートによる迅速な対応が可能となる。
- 開発者とのダッシュボードを介した迅速なコミュニケーション
- Splunk、QRadar、Slackなどとの連携
利用方法/導入までの流れ
システムの追加、改変、ソフトウェアのインストール等は不要です。
ブラウザがあれば始められます。
- お問い合わせ
- ご説明
- ご契約
- 各種設定
- 運用開始
サービス提供元紹介
| 提供元 | GitGuardian社 |
|---|---|
| 概要 | GitGuardian社は、2017年に設立されたサイバーセキュリティのスタートアップ企業です。ソースコードを介して広がる機密漏洩の問題を、アプリケーション・セキュリティやデータ損失防止のための機密情報の検出を自動化することで解決しています。開発者、運用担当者、セキュリティ担当者、コンプライアンス担当者が、ソフトウェア開発の安全性を確保し、すべてのシステムで一貫してグローバルポリシーを定義・実施できるよう支援します。 |
導入後サポート
- 導入ミーティング
GitGuardian社も含めた導入ミーティング
- その後
定期的な情報アップデートミーティング
よくあるご質問
- 契約形態は?
- 基本は、1年間のサブスクリプション契約です。
- GitHubとは?
- GitHubは、世界最大規模の開発プラットフォームです。
オープンソースプロジェクトやビジネスユースまで、GitHub上にソースコードをホスティングすることで数百万人もの開発者と一緒にコードのレビューを行ったり、プロジェクトの管理をしながら、ソフトウェアの開発を行うことができます。
- Githubから情報漏洩した事例は?
- 日本企業に関係するものですと、2022年10月にトヨタ自動車がGitHubでシークレットキーを誤って公開し、データ流出被害にあうというインシデントが発生いたしました。
GitGuardianのBlog翻訳:トヨタ、GitHubでシークレットキーを誤って公開し、データ流出被害に