GitHub、「自組織のセキュリティ態勢の捉え方を変える」無料のスキャン機能を提供開始：脆弱性は静かに蓄積し、問題が発生するまで検出されない

GitHubは、組織内のコードに潜む脆弱性をワンクリックで可視化する無料スキャン機能「Code Security Risk Assessment」を発表した。ライセンスや設定が不要で、数分で結果を得られる。

[＠IT]

　GitHubは2026年4月14日（米国時間）、組織内のコードに潜む脆弱（ぜいじゃく）性を可視化する無料スキャン機能「Code Security Risk Assessment」を発表した。セキュリティレビューが十分に行われないまま脆弱性が蓄積しがちな組織のコードベースに対し、ワンクリックで脆弱性の概況を把握できるようにする。

脆弱性は静かに蓄積し、問題が発生するまで検出されない

　多くのセキュリティ責任者は「自社のコードベースに未知の脆弱性が存在するのではないか」という懸念を共有している。大半のコードは十分なセキュリティレビューを経ておらず、脆弱性は言語やチームをまたいで活発なリポジトリ内に静かに蓄積し、問題が発生するまで検出されないことが多い。手動レビューや範囲の限定されたツールに依存している場合、想定以上にギャップが広がっている可能性があるという。

　Code Security Risk Assessmentはライセンス不要、設定不要、契約不要で、組織のコードに潜む脆弱性を明らかにする。GitHub組織の管理者とセキュリティマネジャーが利用できる。

Code Security Risk Assessmentの機能

　Code Security Risk Assessmentは、GitHubの静的解析エンジン「CodeQL」を用いて、組織内で最もアクティブなリポジトリを最大20件までスキャンし、結果をダッシュボードに要約する。ダッシュボードで確認できる情報は次の通り。

• スキャン対象リポジトリで検出された脆弱性の総数
  重大（critical）、高（high）、中（medium）、低（low）の深刻度別に分類
• 言語別の脆弱性件数
  コードベースのどの部分にリスクが集中しているかを把握できる
• 検出されたルール
  見つかったセキュリティ問題の具体的な分類、影響を受けるリポジトリ数、深刻度を表示
• 最も脆弱性の多いリポジトリ
  優先的に修正すべき箇所を特定できる
• 「Copilot Autofix」の適用可能性
  GitHubのAIを活用したコード修正ツールCopilot Autofixで自動修正できる脆弱性の件数

Code Security Risk Assessment実行後のダッシュボード（提供：GitHub）

　Code Security Risk Assessmentは、「GitHub Enterprise Cloud」プランと「GitHub Team」プランの組織管理者およびセキュリティマネジャーが利用できる。ライセンス料は発生せず、スキャンに使われる「GitHub Actions」の実行時間もプランのクォータ（割り当て）には計上されないとしている。

「Secret Risk Assessment」と統合し、組織のセキュリティ態勢を一元把握

　GitHubは、既に漏えいしたシークレット（認証情報や秘密鍵）の露出度を可視化する「Secret Risk Assessment」機能を提供している。同社によると、2025年中にシークレット漏えい防止機能「GitHub Secret Protection」を利用する顧客は約20億回のプッシュをスキャンし、1900万件のシークレットの露出をブロックしたという。

　今回のCode Security Risk Assessmentは、同じ思想をソースコードの脆弱性に適用したもの。両アセスメントは単一の入り口から実行でき、タブ切り替え式のインタフェースでシークレット露出とコード脆弱性の検出結果を行き来できる。シークレットとコードの両面から、組織のセキュリティ態勢（セキュリティポスチャ）を数分で統合的に把握できるとしている。

　スキャン自体を担当しない立場の読者でも、アセスメント結果はチーム内でリスクの所在と優先すべき対応を擦り合わせる材料として活用できる。対応段階では、シークレット漏えいにはGitHub Secret Protection、脆弱性の検出には「GitHub Code Security」がそれぞれ対応するサービスとして用意されている。

検出から修正までのギャップをCopilot Autofixで埋める

　脆弱性の所在を把握することは最初の一歩に過ぎず、リスクを低減するにはコードの修正が必要になる。GitHubは2025年の実績として次の数値を示している。

• Copilot Autofixを使って46万258件のセキュリティアラートが修正された
• 脆弱性アラートの50％が、開発者が作業中のプルリクエスト（PR）内で直接解決された
• 平均修正時間はCopilot Autofixを使った場合0.66時間で、手動修正の1.29時間と比べてほぼ2倍の速さだった

　Code Security Risk Assessmentの結果画面では「検出した脆弱性のうち、どれがCopilot Autofixの対象となるか」が表示され、「どの程度の速度でリスク低減に着手できるか」を具体的に把握できるという。結果画面からワンクリックでGitHub Code Securityを有効化できる。

　GitHubは、セキュリティスキャンを全く導入していない組織、既存ツールを評価中の組織、組織横断でリスクを俯瞰（ふかん）したい組織のいずれにもCode Security Risk Assessmentは対応するとしている。無料で、所要時間は数分であり、その結果が自組織のセキュリティ態勢の捉え方を変える可能性があるとアピールしている。