この記事のポイント
GitHub Advanced Securityとは、静的解析、依存関係チェック、シークレット検出などをGitHub上で統合的に提供するセキュリティ機能群。- 2025年からのSKU分割により、Secret Protection($19/月)とCode Security($30/月)の2製品に分かれ、目的別に選べるように刷新。
- パブリックリポジトリは完全無料、プライベートリポジトリではアクティブコミッター数に応じて課金。
- GitHub上の[Settings]画面から数クリックで有効化でき、CodeQLやPush Protectionもすぐに組み込める。
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
近年、ソフトウェア開発におけるセキュリティ対策の重要性が急速に高まっています。特にクラウドベースの開発環境やオープンソースの活用が一般化する中、コードや依存関係、認証情報の管理には細心の注意が求められます。
こうした課題に対応するために注目されているのが「GitHub Advanced Security(GHAS)」です。GitHubのネイティブ機能として、開発ワークフローに自然に組み込まれながら、静的解析、依存関係スキャン、シークレット検出といった高度なセキュリティ対策を実現できます。
本記事では、GitHub Advanced Securityの特徴や最新アップデート、料金体系、使い方までをわかりやすく解説します。
目次
GitHub Advanced Securityの料金とSKU構成【2025年最新版】
Code Security(Code Scanning/Dependency Review)の使い方
Q1. GitHub Advanced Securityを有効化しただけで課金されますか?
GitHub Advanced Securityとは?
GitHub Advanced Security(GHAS)とは、GitHubリポジトリに対して複数のセキュリティ機能を統合的に提供するサービス群です。
GitHub Advanced Securityは、2025年4月から「Secret Protection」と「Code Security」の2つのSKUに分割されました。これにより、ユーザーは必要な機能を選択して利用できるようになりました。
GitHub Advanced Securityイメージ
具体的には、以下のようなセキュリティ機能を組み合わせて、開発中のコードの品質と安全性を保ちます。
-
静的コード解析(CodeQL)
コードの構造を解析し、脆弱性やバグの兆候を自動で検出します。セキュリティエンジニアだけでなく開発者自身が早期に問題を特定できる点が特徴です。 -
依存関係の脆弱性チェック(Dependency Review)
新たに追加されたライブラリやバージョン変更時に、既知の脆弱性が含まれていないかをプルリクエスト段階で可視化します。 -
シークレットスキャン(Secret Scanning)
APIキーやパスワードなどの機密情報がコードに含まれていないかを自動検出し、誤って公開されることを防ぎます。
これらの機能はGitHub ActionsやPull Requestのタイミングと連携し、開発者の負担を最小限に抑えながらセキュリティを確保する仕組みとなっています。
GitHub Advanced Securityの主要機能
ここでは、2025年4月から分割された2つのSKU(Secret Protection/Code Security)に沿って、主要機能を解説します。
Secret Protection(シークレット保護)
-
Secret Scanning
コミット内容やプルリクエストに含まれるAPIキーやパスワードなどの「シークレット情報」を自動で検出します。GitHubが定義する既知のパターンだけでなく、カスタムパターンの追加も可能です。 -
Push Protection
検出されたシークレットが誤ってpushされるのを防ぐ機能です。push時にリアルタイムで検知し、開発者にブロック理由と修正方法を提示します。
Code Security(コードセキュリティ)
-
CodeQLによる静的解析
GitHub製の解析エンジン「CodeQL」を使ってコードのセキュリティ問題やバグをスキャンします。GitHub Actionsと連携し、CI/CDフローに組み込めます。 -
Dependency Review
プルリクエストで追加・更新された依存ライブラリに既知の脆弱性がある場合、アラートを表示します。早期のライブラリ選定ミス防止に有効です。 -
Copilot Autofix(自動修正支援)
検出された脆弱性に対して、Copilotが提案する修正内容を自動でPRとして作成します。開発者の修正負担を大幅に軽減できます。
これらの機能はGitHub上に統合されており、個別のツールを導入することなく、シームレスにセキュリティ対策を強化できる点が大きな特徴です。
GitHub Advanced Securityの料金とSKU構成【2025年最新版】
GitHub Advanced Security(GHAS)は、パブリックリポジトリでは無料で利用可能ですが、プライベートリポジトリでは機能ごとにアドオン契約が必要です。特に2025年4月のアップデートで、GHASは明確に2つの製品(SKU)に分かれ、より柔軟な導入が可能になりました。
また、以前はGitHub Enterpriseプランにのみ付属していましたが、2025年からはGitHub Teamプランでも利用できるようになりました。
料金プラン
無料でできること vs 有料機能
| 機能 | パブリックリポジトリ | プライベートリポジトリ | 課金対象 |
|---|---|---|---|
| Secret Scanning | 無料 | 有料($19/コミッター/月) | Secret Protection アドオン |
| Push Protection | 無料 | 有料 | Secret Protection アドオン |
| Code Scanning(CodeQL) | 無料 | 有料($30/コミッター/月) | Code Security アドオン |
| Dependency Review | 無料 | 有料 | Code Security アドオン |
| Copilot Autofix | - | 有料 | Code Security アドオン |
- パブリックリポジトリでは、上記機能をすべて無料で利用可能です。
- プライベートリポジトリで上記機能を有効化すると、アクティブコミッター数に応じて月額課金が発生します。
※アクティブコミッターとは、その月にコードをプッシュ・マージなどの操作を行ったユーザーのことです。月途中で機能を無効にしても、その月は課金対象となります。
SKU分割:2つのアドオン構成
以前は「GitHub Advanced Security」という単一SKUとして提供されていましたが、2025年4月1日より、以下の2製品に分割されました。
1. GitHub Secret Protection($19/月/コミッター)
- 機密情報(APIキー・パスワードなど)の検出・ブロックを自動化
- Secret Scanning、Push Protection、カスタムシークレット検出を含む
2. GitHub Code Security($30/月/コミッター)
- 静的解析エンジン「CodeQL」によるコード検査、依存関係の安全性確認を提供
- 脆弱性をAIが自動修正するCopilot Autofix機能も含まれます
- GitHub Actionsに統合され、CI/CDワークフローに自然に組み込めます
GitHub Advanced Securityの使い方
GitHub Advanced Securityは、GitHubのUIとActionsに組み込まれているため、設定も簡単です。ここでは、主要な2機能の設定方法を紹介します。
Secret Protectionの使い方
- 対象のプライベートリポジトリを開き、[Settings] > [Advanced Security] に移動
- Secret Protection の欄で「Enable」をクリック
- Push Protection も有効にすることで、push前のシークレット検出が可能に
- カスタムシークレットパターンが必要な場合は、Organizationレベルで設定が可能
Secret Protectionの詳細機能を有効/無効化
| 機能名 | 説明 |
|---|---|
| Validity checks | 検出されたシークレットが実際に有効かどうかを外部プロバイダーに自動確認(例:AWSキーなど) |
| Non-provider patterns | GitHubが定義する既知のパターン以外の一般的なシークレット文字列もスキャン対象に追加 |
| Scan for generic passwords | CopilotベースのAIによる汎用パスワード検出(例:admin123など) |
| Push protection | シークレットが含まれるコードのpushを事前にブロックし、開発者に警告 |
| Prevent direct alert dismissals | アラートを開発者が勝手に却下できないよう制限する(管理ポリシー強化) |
| Custom patterns | 独自のシークレット検出ルール(最大100件)を正規表現などで自由に定義可能 |
Code Security(Code Scanning/Dependency Review)の使い方
-
同じく [Settings] > [Advanced Security] から “Code Security” をクリック
-
テンプレートから「CodeQL analysis」を選択し、GitHub Actions ワークフロー(YAML)を作成
「CodeQL analysis」を選択
- YAML内で対象言語・実行タイミング(push/scheduleなど)を設定して保存・プッシュ
YAML
- Dependency Review も同画面内でワンクリックで有効化
- Copilot Autofixを使用するには、Organizationで該当オプションを許可する必要があります
設定後は、Securityタブ内にアラートや提案PRが自動表示され、日々の開発と自然に統合されます。
導入のポイント:自社に合った段階的なセキュリティ強化が可能
GitHub Advanced Securityは、2025年4月のSKU分割により、企業ごとのセキュリティ課題や予算に応じて柔軟に導入できる構成になりました。
具体的には、以下のような判断がしやすくなっています。
-
まずはシークレット漏洩の防止から着手したい
→「Secret Protection($19/月)」のみ導入して、Push Protectionやシークレットスキャンによる情報漏洩対策を迅速に実現。 -
ソースコード全体のセキュリティ品質を高めたい
→「Code Security($30/月)」を追加することで、CodeQL分析やCopilot Autofixで開発段階から脆弱性を抑止。 -
最小コストで必要な機能だけ導入したい
→ 各SKUをアドオンとして個別に契約できるため、段階的な導入・拡張が可能。
さらに、これまでエンタープライズプラン専用だったGHASは、現在ではGitHub Teamプランでも利用可能となっており、中小企業やスタートアップにも現実的な選択肢となっています。
よくある質問(FAQ)
Q1. GitHub Advanced Securityを有効化しただけで課金されますか?
→ いいえ、有効化後にその月にコミット・プッシュ・マージなどを行った「アクティブコミッター」だけが課金対象になります。つまり、設定しても活動がなければ課金は発生しません。
Q2. 月の途中で無効化すれば、その分料金は減額されますか?
→ 減額されません。GHASの課金は月単位であり、対象月内に一度でもアクティブだったコミッターには、月末まで課金が発生します。翌月からは変更内容が反映されます。
Q3. CopilotとGHASはどのように連携しますか?
→ GHASの一部である「Copilot Autofix」は、検出された脆弱性に対して自動で修正PR(Pull Request)を生成する機能です。これはGitHub Copilotの生成能力とCode Scanning結果を統合する高度な機能であり、Code Securityアドオンを有効にしている場合のみ利用可能です。
【関連記事】
GitHub Copilotとは?使い方や料金、Agent機能について解説
Q4. 無料プランのユーザーでも使える機能はありますか?
→ はい。パブリックリポジトリであれば、Secret Scanning・Push Protection・Code Scanning・Dependency Reviewは無料で利用可能です。オープンソースプロジェクトではコストをかけずにセキュリティ対策ができます。
まとめ
GitHub Advanced Securityは、GitHubネイティブで完結するセキュリティ対策として、開発現場のDXとセキュリティ品質の両立を支援する強力なソリューションです。
特に2025年からのSKU分割により、Secret Protection($19/月)とCode Security($30/月)を目的別に選択できるようになり、中小企業やスモールチームでも導入しやすくなりました。
また、パブリックリポジトリでの利用は完全無料。まずはオープンソースプロジェクトで試し、成果を実感してから、プライベートプロジェクトへの展開を検討するのも良いでしょう。
セキュリティは“後回しにしない開発”の鍵です。GitHub Advanced Securityを活用して、攻めのセキュア開発体制を整えてみてはいかがでしょうか。
AI総合研究所では、GitHubの導入支援、活用の伴走サポート、請求代行を行っています。
ぜひお気軽にご相談ください。
