安全管理
GitHub Secretsと機密情報の注意
GitHubでSecrets、APIキー、パスワード、個人情報を扱う時に通常ファイルへ入れない考え方を整理します。
このページでわかること
- Secrets・APIキー・パスワード管理の注意点で最初に確認すること
- 初心者がつまずきやすいポイント
- CodexやChatGPTと組み合わせる時の注意
- 秘密情報をGitHubへ入れないための考え方
最初に結論
Secrets・APIキー・パスワード管理の注意点では、細かい操作だけでなく、公開してはいけない情報は何か、どの変更を履歴に残すかを合わせて確認することが大切です。
初心者向け説明
GitHubでSecrets、APIキー、パスワード、個人情報を扱う時に通常ファイルへ入れない考え方を整理します。 GitHubはコードやHTMLを管理する場所として便利ですが、公開範囲、差分確認、秘密情報の扱いを分けて考えると安全に使いやすくなります。
向いている使い方
- 初心者がGitHubの全体像を確認する
- CodexやChatGPTの作業結果を人間が確認する
- 静的HTMLサイトや小さなプロジェクトを履歴管理する
注意が必要な使い方
- 秘密情報や個人情報をリポジトリに入れない
- 公式・公認と誤解される表現を避ける
- 本番反映前に公開URLと差分を確認する
CodexやChatGPTと組み合わせる場合
CodexやChatGPTと組み合わせる場合は、目的、対象ファイル、触らないファイル、停止条件、確認URLを先に決めておくと、作業後の確認がしやすくなります。
秘密情報・APIキー・パスワード・個人情報の注意
APIキー、パスワード、秘密鍵、FTP資格情報、DB情報、メール設定、個人情報は、HTML、README、ログ、レポート、GitHubの差分に出さない前提で扱います。
関連ページ
FAQ
Secrets・APIキー・パスワード管理の注意点は初心者でも確認できますか?
はい。専門用語を覚える前に、何を確認すればよいかを優先して整理しています。
CodexやChatGPTを使う場合も同じ考え方ですか?
基本は同じです。自動化できる部分が増えても、差分確認、秘密情報確認、公開前確認は人間側で見ます。
秘密情報が混ざったかもしれない時はどうしますか?
commitやpushを急がず、対象ファイル、公開範囲、履歴への混入有無を確認します。必要に応じてキーやパスワードを無効化します。
GitHubの機能や画面は変わりますか?
変わる可能性があります。重要な判断や最新仕様はGitHub側の情報も確認してください。
秘密情報を守る追加ガイド
安全管理の実務補強
GitHubリポジトリの基本に戻る
SecretsやAPIキーの注意は、リポジトリに入れてよいもの・入れない方がよいものの整理とつながっています。リポジトリ全体の基本を確認したい場合は、親ページへ戻れます。
Codex CLI・IDE・モバイル関連ページ
CodexをChatGPT、GitHub、Copilot、安全確認の文脈で見るための周辺ページです。作業前に、対象ファイル、差分、秘密情報、公開前確認を分けて確認します。
GitHubは GPT → Codex → GitHub → GPT の流れで使うと分かりやすいです
GPT → Codex → GitHub → GPT の流れでは、GitHubで差分やSecretsの扱いを確認する段階がとても重要です。Codexが作業した後でも、APIキーや秘密情報が混ざっていないかは必ず人間が確認します。
private repository・公開範囲・秘密情報の確認
GitHubでCodex作業やサイト管理を進める時は、private/public、見える人、Secrets、APIキー、GitHub Desktopでの差分確認をセットで見ます。private repositoryでも機密情報をそのまま保存してよいわけではありません。
GitHubリポジトリ全体から見る
このページの内容は、リポジトリ名、公開範囲、private/public、branch、Pull Request、Secrets、GitHub Desktop、Codex連携まで含めて確認すると安全です。
リポジトリ設定の全体像へ戻る
公開範囲、権限、branch、Secrets、Pages、Danger Zoneは、単独ではなくリポジトリ全体の設定として見ます。
GitHub Desktopで差分を見る流れへ戻る
Codex作業後は、報告書だけで判断せず、GitHub DesktopのChangesとDiffを確認してからcommitやpushを判断します。
AIガイド群の全体入口
GitHub、PR、Secrets、private repositoryを安全に扱うには、Codex、Copilot、HALの安全注意も関係します。AIガイド群全体の役割は、総合入口で確認できます。
このサイトはAIガイド群の一部です。公式サイト群ではなく、用途別に整理した非公式ガイド群です。
AI時代のGitHubセキュリティ確認
AIコーディング後は、Secrets、APIキー、.env、PR、diff、private repositoryの扱いを確認します。
AI時代のGitHub Secrets実用チェック
Claude Mythos / ミュトスのようにAIの能力が話題になるほど、GitHubではSecrets、private repository、PR確認を厚く見る必要があります。private repositoryでも秘密情報を直書きしない前提で確認します。
| 場所 | 注意点 | 人間が確認すること |
|---|---|---|
| public repository | 公開前提で扱う | Secrets実値、.env、ログ、設定ファイル |
| private repository | 非公開でも秘密情報直書きは避ける | 権限、履歴、PR、共有範囲 |
| GitHub Secrets | 値をAIに見せない | 名前、利用範囲、漏えい時の無効化 |
| AIコーディング | 意図しないファイル変更に注意 | PR、diff、main直push回避 |
- Secrets実値をcommitしていない。
- .envをcommitしていない。
- private repositoryだから安全と思い込んでいない。
- AIが意図しないファイルを触っていない。
- main直pushしていない。
攻撃方法ではなく防御確認として扱う
この補足は攻撃方法ではなく、防御・公開前チェック・Secrets管理の確認です。AIに脆弱性悪用手順を聞かない、攻撃コードを書かせない、APIキーやtoken、Secrets、.env、DB情報を渡さない、という前提で扱います。
Microsoft ScoutのようなAI同僚を使う前に
Teams、メール、予定表を横断するAIエージェントは便利ですが、自動送信、社外共有、個人情報、会社情報、プロンプトインジェクションには注意が必要です。
AIエージェントに権限を渡す前に
AIエージェントやGitHub Copilotに作業を任せる時は、Secrets実値を見せず、権限を絞り、PRで確認します。GitHubでAIエージェントに権限を渡す前にも確認してください。
GitHub private repositoryに機密情報を保存してよい?
private repositoryでも、APIキーやDB接続情報などの実値をコードに直書きしません。GitHub Secretsは、ワークフローなどで秘密情報を扱うための仕組みとして使われますが、Secretsの実値をREADME、HTML、設定ファイル、スクリーンショット、AIへの相談文に貼らないことが大切です。
| 情報 | リポジトリに直書きしてよいか | AIに貼ってよいか | 代替表現 | 関連ページ |
|---|---|---|---|---|
| APIキー | いいえ | いいえ | API_KEY_EXAMPLE | /github-private-public/ |
| token | いいえ | いいえ | TOKEN_EXAMPLE | /github-codex/ |
| password | いいえ | いいえ | 伏せ字にする | /github-pull-request/ |
| .env | いいえ | いいえ | 項目名だけ説明する | codexguide.jp |
| DB接続情報 | いいえ | いいえ | DB_HOST_EXAMPLE | HAL |
| SSH鍵 | いいえ | いいえ | 鍵の種類だけ説明 | /github-private-repository/ |
| OAuth情報 | いいえ | いいえ | client_idなども伏せる | /github-copilot/ |
| GitHub Secrets実値 | いいえ | いいえ | 名前だけ一般化 | /github-secrets-caution/ |
| 顧客情報 | いいえ | いいえ | 架空例に置き換える | HAL |
| 社内情報 | 原則入れない | 原則貼らない | 公開可能な説明にする | GPTガイド群 |
AI時代のSecrets注意
- GitHub CopilotやCodexにコードを見せる前に、秘密情報が混ざっていないか確認します。
- privateだから安全と思い込みません。
- PR前にdiffを見ます。
- 不要なファイルをcommitしません。
- AIに秘密情報を貼りません。
GitHubはバックアップなのかを整理する
GitHubは単なるバックアップではなく、diff、PR確認、rollbackに強い変更履歴つきコード図書館として考えると、Codex作業やAIサイト群の安全管理につながります。
このページでできること
このページでは、GitHubを一般論として広く覚えるよりも、CodexやAI作業で変更を受け取る時にどこを確認すれば安全かを整理します。
- branch、PR、diff、merge、main同期の流れを分けて見ます。
- 変更ファイル、削除ファイル、共有ファイル、公開前チェックの有無を確認します。
- Secrets、APIキー、token、.env、FTP/SFTP情報、DB情報、個人情報をGitHubに入れない前提で扱います。
- 本番反映、GitHub Actions deploy、DNS、cron、.htaccessはGitHub確認とは別作業として切り分けます。
Codex作業と一緒に見るGitHub確認
Codexが作った変更は、報告書だけで判断せず、GitHub側のPRとdiffで確認すると安全です。mainへ直接pushせず、branchで作業し、PRで差分を見てからmergeします。
安全注意
githubguide.jpはGitHub公式サイトではない非公式ガイドです。料金、仕様、提供状況、UI名、セキュリティ機能の最新状態はGitHub公式情報でも確認してください。
- GitHub公式ロゴ、公式画像、UIスクリーンショットは使いません。
- Secretsや認証情報の実値は表示しません。
- GitHub Actionsや本番deployは、必要性と権限を確認するまで設定しません。
- robots.txt、ads.txt、.htaccess、AdSense、Search Consoleタグ、DB、DNS、cronはこの確認だけでは触りません。
codexguide.jpと一緒に確認する
Codexで実際にGitHub PRを作る流れや、作業報告書の読み方はcodexguide.jp側にも整理しています。GitHub側では差分、Secrets、rollbackを中心に確認すると安全です。
private repositoryでもSecretsを直接入れない
GitHub Secretsは、Actionsなどから秘密情報を参照するための仕組みです。README、HTML、設定ファイル、ログ、スクリーンショット、AIへの依頼文にSecrets実値を書くこととは別です。private repositoryでも、実値をファイルに残さない前提で扱います。
- APIキー、token、.env、DB接続情報、FTP/SFTP情報をcommitしない。
- GitHub Secretsの名前は説明に使っても、実値は表示しない。
- Codex、Copilot、ChatGPTなどAIに秘密情報を貼り付けない。
- secret scanningがあるから大丈夫と考えず、commit前にdiffを見る。
- 漏えいが疑われる場合は、削除だけでなくキーの無効化・再発行も検討する。
commit前の確認
| 確認場所 | 見るもの | 止める条件 |
|---|---|---|
| Changes / diff | 追加された文字列、削除漏れ、ログ | 実値らしきキーやtokenがある |
| 設定ファイル | .env、config、deploy設定 | 接続情報やパスワードがある |
| AI依頼文 | 貼り付けた本文、エラー文 | 認証情報や個人情報を含む |
ChatGPTに入れすぎない情報の関連ガイド
個人情報、会社情報、Secrets、重大判断を安全に扱うための関連ページです。
- GitHubやCodexにSecretsを入れない基本|APIキー・token・.envの注意GitHubやCodexを使う前に、APIキー、token、.env、SSH鍵、FTP情報、DB接続情報を公開しないための基本チェックを整理します。
GitHub Copilot・AI credits・CLI作業の確認導線
Copilot CLIやagentic codingでも、Secretsを貼らない、ログに残さない、PRで混入を確認する流れが必要です。
GitHub Secrets・Actions・PRレビュー・AIコードレビューの確認
GitHub Secrets、APIキー、token、.env、環境変数、Actionsとの関係、漏洩時の初動を厚めに補強します。
GitHubでは、Secrets、Actions、branch、Pull Request、AIコードレビューを分けて確認します。private repoやAIの生成コードだけで安全とは判断せず、公開前に人間がdiff、ログ、設定、データを確認します。
確認する項目
| 項目 | 役割 | 注意点 |
|---|---|---|
| GitHub Secrets | APIキー、token、環境変数をActionsで使う時の保管先 | 値をコードやログに出さない |
| GitHub Actions | テスト、ビルド、デプロイの自動化 | 料金、無料枠、billing、実行時間、Secrets、ログを確認する |
| Actions env | ワークフロー内で使う環境変数 | 公開してよい設定と隠す値を分ける |
| deploy | FTP deployやSSH deployなどの反映作業 | 認証情報をログやYAML本文に出さない |
| Pull Request | branchの差分をmainへ入れる前の確認場所 | diff、レビュー、CI、Secrets混入を確認する |
| AIコードレビュー | CopilotやAIの指摘をレビュー補助に使う | 最終判断は人間が行う |
| 業務データ | CSV、スプレッドシート、顧客情報の扱い | private repoでも安全と断定しない |
公開前チェックリスト
- □ APIキー、token、.env、SSH鍵、DB情報が入っていないか確認した
- □ GitHub Secretsへ入れる値と、リポジトリに置く設定を分けた
- □ GitHub Actionsの料金、無料枠、billing画面を確認した
- □ GitHub ActionsのログにSecretsを出していない
- □ deploy、FTP deploy、SSH deployで使う認証情報をコードに置いていない
- □ branchで作業し、mainへ直接pushしていない
- □ PRのdiffを人間が確認した
- □ AIコードレビューの指摘をそのまま採用していない
- □ CSVやスプレッドシートに個人情報や業務データが入っていないか確認した
- □ 漏洩が疑われる場合はキーを無効化、再発行、履歴確認、影響範囲確認を行う
Secretsを使う時は、Actionsで参照する値、ローカルで使う環境変数、リポジトリに置くサンプル設定を分けます。漏洩が疑われる時は、値の無効化、再発行、履歴確認、Actionsログ確認、影響範囲確認を先に行います。
関連サイト導線
関連サイトはリンク先200を確認したものだけを掲載します。
GitHub SecretsをActionsと一緒に確認する
GitHub Secretsは、Actionsで使う秘密値を通常のコードから分けて扱うための仕組みです。設定、確認、削除、入れ替え、漏洩疑いがある時の初動を、PRやActionsログと合わせて見ます。
- 公開リポジトリに秘密値を書かない
- private repoでも安全と断定しない
- Actionsログに値が出ていないか確認する
- 漏洩が疑われる時は値の無効化と再発行を検討する
- AIが生成した設定ファイルも人間が見る
漏洩疑いがある時の初動
値を広げず、公開やmergeを止め、該当する値の無効化、再発行、履歴確認、影響範囲の確認を順番に進めます。報告文やPR本文に秘密値そのものを書かないようにします。
Secretsを使う時もログ出力に注意
GitHub Secretsは機密情報を扱うための重要な仕組みですが、使えばすべて安全と断定できるものではありません。設定範囲、利用先、ログ出力、権限を合わせて確認します。
このページでできること
- Actions secrets、Codespaces secretsなど、種類と使われる場所を公式情報で確認します。
- Secretsの値をコード、README、ログ、スクリーンショット、AIチャットに出さないようにします。
- private repositoryであっても、Secretsの扱いとアクセス権限を分けて確認します。
| 項目 | 見ること | 初心者の注意点 |
|---|---|---|
| Actions secrets | workflowで使う値 | ログ出力と権限に注意 |
| Codespaces secrets | 開発環境で使う値 | 対象repoやuser範囲に注意 |
| AI利用 | Codex/Copilotへ貼らない | 差分やログ混入を確認 |
commit前・公開前チェックリスト
- Secretsの対象repositoryやorganizationを確認したか
- workflowログに値が出ていないか
- READMEや設定ファイルに値を書いていないか
- 不要になったSecretsを削除・更新したか
公式情報で確認すること
公開範囲、権限、Secrets、GitHub Desktop、Copilot関連の仕様や制限は変わる可能性があります。2026年6月11日確認の公開情報を確認し、このページでは固定仕様として断定しません。
private repositoryでも機密情報を直接置かない確認
private repositoryは公開範囲を絞れますが、APIキー、token、.envなどを直接コミットしてよい場所ではありません。