GitHubが組織内のコード脆弱性を無料で可視化するCode Security Risk Assessmentを提供開始

セキュリティニュース

投稿日時: 更新日時:

GitHubが組織内のコード脆弱性を無料で可視化するCode Security Risk Assessmentを提供開始

GitHubは2026年4月8日、組織内のコードに潜む脆弱性をワンクリックで無料可視化するセルフサービス型スキャン機能「Code Security Risk Assessment(コードセキュリティリスクアセスメント)」を、GitHub Enterprise CloudおよびGitHub Teamのプランを対象に一般提供開始しました(GitHub Changelog・2026年4月8日GitHub Blog・2026年4月14日)。

GitHubは本機能の背景にある問題意識を「セキュリティリーダーのほとんどが同じ疑念を持っている——自社コードに気づかれていない脆弱性があるはずだという疑念だ。不快な事実は、ほとんどのコードが徹底的なセキュリティレビューを受けることなく稼働しているということだ」と説明しています。

設定不要・ライセンス購入不要・GitHub Actionsの利用分も無料で提供されるため、「まず自社コードの脆弱性の実態を把握したい」組織にとって導入ハードルがゼロの施策です。

この記事のサマリー

  • 機能名:Code Security Risk Assessment(コードセキュリティリスクアセスメント)
  • 提供開始日:2026年4月8日
  • 対象プラン:GitHub Team・GitHub Enterprise Cloud(GitHub Enterprise Server 3.22にも今後提供予定)
  • 利用権限:組織のオーナー(Organization owners)またはセキュリティマネージャー(Security managers)
  • スキャン対象:過去90日間のコミットアクティビティに基づいてデフォルトで選択された最大20件のプライベートおよびインターナルリポジトリ(選択は変更可能)
  • 料金:完全無料。GitHub Code Securityのライセンス料金は一切発生しない。スキャン中に使用するGitHub Actionsの実行分もクォータに影響しない。
  • レポートの内容:脆弱性の深刻度別集計・ルールタイプ別・プログラミング言語別の分布・最も脆弱なリポジトリ一覧・Copilot Autofixで自動修正可能な件数。
  • 再実行:90日ごとに再実行可能。スキャン対象リポジトリは再実行ごとに変更可能。
  • 関連機能:既存の「Secret Risk Assessment(シークレットリスクアセスメント)」と独立して動作。組織の「Security」タブ内「Assessments」セクションに別タブで表示される。

なぜ今この機能が必要なのか

「ほとんどのコードはセキュリティレビューを受けていない」

GitHubの公式ブログは本機能の動機として「脆弱性はアクティブなリポジトリ内に、言語やチームをまたいで静かに蓄積されており、多くの場合、何か問題が起きるまで検出されない。手作業のレビューや限定的なスコープのツールに頼っている場合、そのギャップは想定より大きい可能性がある」と説明しています。

特に組織が複数のリポジトリ・複数の言語・複数のチームにまたがる大規模な開発体制を持つ場合、セキュリティチームが全コードを手動でレビューすることは現実的に不可能です。Code Security Risk Assessmentはその「見えていない部分」をコスト・設定・コミットメントなしに即座に可視化します。

機能の詳細—レポートに含まれる4つの視点

GitHub Docsおよび公式ブログによれば、アセスメントレポートには以下の情報が含まれます。

①言語別の脆弱性分布として、コードベースのどの言語・どの部分が最もリスクを持つかを可視化します。組織が複数の言語を使用している場合、言語ごとのリスク濃度を比較できます。

②検出されたルールと深刻度として、発見されたセキュリティ問題の特定のクラス(SQLインジェクション・クロスサイトスクリプティング・安全でない暗号化アルゴリズム等)・影響するリポジトリ数・深刻度別の内訳が表示されます。

③最も脆弱なリポジトリとして、組織内のどのリポジトリが最も多くの・または最も深刻な脆弱性を抱えているかを特定し、修正の優先順位付けを支援します。

④Copilot Autofix対象件数として、発見された脆弱性のうち、GitHubのAI搭載修正ツール「Copilot Autofix」を使えば自動的に修正候補が提示できる件数が表示されます。Copilot Autofixは2025年に460,000件以上のセキュリティアラートの修正を支援しており、Autofixがある場合の平均解決時間は0.66時間と、ない場合の1.29時間から大幅に短縮されたとGitHubは報告しています。

利用方法——設定不要・ワンクリックで開始

前提条件

利用するには組織アカウントのオーナーまたはセキュリティマネージャーの権限が必要で、プランはGitHub TeamまたはGitHub Enterprise Cloudである必要があります。

手順

組織の「Security」タブを開き、「Assessments」セクションに移動してください。デフォルトでは過去90日間のコミットアクティビティに基づいて最大20件のプライベート・インターナルリポジトリが自動で選択されます。スキャン前に対象リポジトリを変更することも可能です。なお、コードスキャンがサポートしている言語を少なくとも1つ含むリポジトリのみ選択対象となります。スキャンにはタイムアウト上限として1時間が設定されており、少なくとも1言語が正常にスキャンされた場合は結果がレポートに含まれます。

再実行

90日ごとに再実行できます。再実行の際に対象リポジトリを変更することも可能です。これにより定期的なセキュリティ状態の変化を追跡できます。

Secret Risk Assessmentとの違い

GitHubはCode Security Risk Assessmentと独立して動作する「Secret Risk Assessment(シークレットリスクアセスメント)」も提供しています。

機能 Code Security Risk Assessment Secret Risk Assessment
検出対象 コードの脆弱性(SQLインジェクション等) リポジトリに混入したシークレット(APIキー・認証情報等)
表示場所 Assessmentsセクション内「Code」タブ Assessmentsセクション内「Secrets」タブ
動作 独立して実行 独立して実行
料金 完全無料 完全無料

コードの品質・脆弱性を把握するならCode Security Risk Assessment、誤ってコミットされた認証情報等のシークレット漏洩を把握するならSecret Risk Assessmentを利用してください。両方を実行することで組織のセキュリティ状態をより包括的に把握できます。

GitHub Advanced Securityとの関係

Code Security Risk AssessmentはGitHub Advanced Security(GitHub Code Security)の有料ライセンスとは完全に独立しており、「購入前に自社コードの実態を把握する」ことを主要ユースケースとしています。

GitHub Code Securityの有料機能(継続的なコードスキャン・Dependabot premium機能・依存関係レビュー等)を購入することを検討している組織は、まずCode Security Risk Assessmentを実行してどの程度の脆弱性が組織内に存在するかを把握した上で、投資判断を行うことができます。


FAQ

Q. GitHub Free・GitHub Proのユーザーは利用できますか? A. 現時点ではGitHub TeamまたはGitHub Enterprise Cloud(GitHub Enterprise Cloudおよびgithub.com上の組織アカウント)が対象です。個人アカウントやGitHub Freeプランでは利用できません。

Q. パブリックリポジトリはスキャン対象に含まれますか? A. GitHub Docsによれば、スキャン対象はプライベートおよびインターナルリポジトリです。パブリックリポジトリは多くのGitHub Advanced Security機能がデフォルトで有効になっているため、別途対応してください。

Q. スキャン結果は外部に公開されますか? A. レポートは組織のオーナーおよびセキュリティマネージャーのみが閲覧できます。

Q. GitHub Enterprise Serverはいつ対応しますか? A. GitHub Enterprise Server 3.22に搭載予定とGitHub Changelogで告知されています。


参考情報(1次ソース・USソース)