安全管理

GitHub Secretsと機密情報の注意

GitHubでSecrets、APIキー、パスワード、個人情報を扱う時に通常ファイルへ入れない考え方を整理します。

このサイトはGitHub公式サイトではありません。GitHubの基本的な使い方や、Codex・ChatGPT時代のコード管理を初心者向けに整理する非公式ガイドです。機能・料金・提供状況は変更される可能性があるため、重要な判断ではGitHub公式情報も確認してください。

このページでわかること

最初に結論

Secrets・APIキー・パスワード管理の注意点では、細かい操作だけでなく、公開してはいけない情報は何か、どの変更を履歴に残すかを合わせて確認することが大切です。

初心者向け説明

GitHubでSecrets、APIキー、パスワード、個人情報を扱う時に通常ファイルへ入れない考え方を整理します。 GitHubはコードやHTMLを管理する場所として便利ですが、公開範囲、差分確認、秘密情報の扱いを分けて考えると安全に使いやすくなります。

向いている使い方

  • 初心者がGitHubの全体像を確認する
  • CodexやChatGPTの作業結果を人間が確認する
  • 静的HTMLサイトや小さなプロジェクトを履歴管理する

注意が必要な使い方

  • 秘密情報や個人情報をリポジトリに入れない
  • 公式・公認と誤解される表現を避ける
  • 本番反映前に公開URLと差分を確認する

CodexやChatGPTと組み合わせる場合

CodexやChatGPTと組み合わせる場合は、目的、対象ファイル、触らないファイル、停止条件、確認URLを先に決めておくと、作業後の確認がしやすくなります。

秘密情報・APIキー・パスワード・個人情報の注意

APIキー、パスワード、秘密鍵、FTP資格情報、DB情報、メール設定、個人情報は、HTML、README、ログ、レポート、GitHubの差分に出さない前提で扱います。

関連ページ

FAQ

Secrets・APIキー・パスワード管理の注意点は初心者でも確認できますか?

はい。専門用語を覚える前に、何を確認すればよいかを優先して整理しています。

CodexやChatGPTを使う場合も同じ考え方ですか?

基本は同じです。自動化できる部分が増えても、差分確認、秘密情報確認、公開前確認は人間側で見ます。

秘密情報が混ざったかもしれない時はどうしますか?

commitやpushを急がず、対象ファイル、公開範囲、履歴への混入有無を確認します。必要に応じてキーやパスワードを無効化します。

GitHubの機能や画面は変わりますか?

変わる可能性があります。重要な判断や最新仕様はGitHub側の情報も確認してください。

秘密情報を守る追加ガイド

安全管理の実務補強

GitHubリポジトリの基本に戻る

SecretsやAPIキーの注意は、リポジトリに入れてよいもの・入れない方がよいものの整理とつながっています。リポジトリ全体の基本を確認したい場合は、親ページへ戻れます。

GitHubは GPT → Codex → GitHub → GPT の流れで使うと分かりやすいです

GPT → Codex → GitHub → GPT の流れでは、GitHubで差分やSecretsの扱いを確認する段階がとても重要です。Codexが作業した後でも、APIキーや秘密情報が混ざっていないかは必ず人間が確認します。

private repository・公開範囲・秘密情報の確認

GitHubでCodex作業やサイト管理を進める時は、private/public、見える人、Secrets、APIキー、GitHub Desktopでの差分確認をセットで見ます。private repositoryでも機密情報をそのまま保存してよいわけではありません。

GitHubリポジトリ全体から見る

このページの内容は、リポジトリ名、公開範囲、private/public、branch、Pull Request、Secrets、GitHub Desktop、Codex連携まで含めて確認すると安全です。

GitHubリポジトリ親ハブへ戻る

リポジトリ設定の全体像へ戻る

公開範囲、権限、branch、Secrets、Pages、Danger Zoneは、単独ではなくリポジトリ全体の設定として見ます。

Settings全体を見る リポジトリ親ハブへ戻る

GitHub Desktopで差分を見る流れへ戻る

Codex作業後は、報告書だけで判断せず、GitHub DesktopのChangesとDiffを確認してからcommitやpushを判断します。

GitHub Desktop親ページへ戻る リポジトリ親ハブへ戻る

AI時代のGitHubセキュリティ確認

AIコーディング後は、Secrets、APIキー、.env、PR、diff、private repositoryの扱いを確認します。

GitHubでAI時代のセキュリティ確認を見る

AI時代のGitHub Secrets実用チェック

Claude Mythos / ミュトスのようにAIの能力が話題になるほど、GitHubではSecrets、private repository、PR確認を厚く見る必要があります。private repositoryでも秘密情報を直書きしない前提で確認します。

場所注意点人間が確認すること
public repository公開前提で扱うSecrets実値、.env、ログ、設定ファイル
private repository非公開でも秘密情報直書きは避ける権限、履歴、PR、共有範囲
GitHub Secrets値をAIに見せない名前、利用範囲、漏えい時の無効化
AIコーディング意図しないファイル変更に注意PR、diff、main直push回避

HALのAIサイバー安全確認 / Codex公開前チェック

攻撃方法ではなく防御確認として扱う

この補足は攻撃方法ではなく、防御・公開前チェック・Secrets管理の確認です。AIに脆弱性悪用手順を聞かない、攻撃コードを書かせない、APIキーやtoken、Secrets、.env、DB情報を渡さない、という前提で扱います。

Microsoft ScoutのようなAI同僚を使う前に

Teams、メール、予定表を横断するAIエージェントは便利ですが、自動送信、社外共有、個人情報、会社情報、プロンプトインジェクションには注意が必要です。

Microsoft Scout親ハブ / オフィスAIエージェントのプロンプトインジェクション注意

AIエージェントに権限を渡す前に

AIエージェントやGitHub Copilotに作業を任せる時は、Secrets実値を見せず、権限を絞り、PRで確認します。GitHubでAIエージェントに権限を渡す前にも確認してください。

GitHub private repositoryに機密情報を保存してよい?

private repositoryでも、APIキーやDB接続情報などの実値をコードに直書きしません。GitHub Secretsは、ワークフローなどで秘密情報を扱うための仕組みとして使われますが、Secretsの実値をREADME、HTML、設定ファイル、スクリーンショット、AIへの相談文に貼らないことが大切です。

情報リポジトリに直書きしてよいかAIに貼ってよいか代替表現関連ページ
APIキーいいえいいえAPI_KEY_EXAMPLE/github-private-public/
tokenいいえいいえTOKEN_EXAMPLE/github-codex/
passwordいいえいいえ伏せ字にする/github-pull-request/
.envいいえいいえ項目名だけ説明するcodexguide.jp
DB接続情報いいえいいえDB_HOST_EXAMPLEHAL
SSH鍵いいえいいえ鍵の種類だけ説明/github-private-repository/
OAuth情報いいえいいえclient_idなども伏せる/github-copilot/
GitHub Secrets実値いいえいいえ名前だけ一般化/github-secrets-caution/
顧客情報いいえいいえ架空例に置き換えるHAL
社内情報原則入れない原則貼らない公開可能な説明にするGPTガイド群

AI時代のSecrets注意

GitHubはバックアップなのかを整理する

GitHubは単なるバックアップではなく、diff、PR確認、rollbackに強い変更履歴つきコード図書館として考えると、Codex作業やAIサイト群の安全管理につながります。

GitHubはバックアップなのかを見る

このページでできること

このページでは、GitHubを一般論として広く覚えるよりも、CodexやAI作業で変更を受け取る時にどこを確認すれば安全かを整理します。

Codex作業と一緒に見るGitHub確認

Codexが作った変更は、報告書だけで判断せず、GitHub側のPRとdiffで確認すると安全です。mainへ直接pushせず、branchで作業し、PRで差分を見てからmergeします。

安全注意

githubguide.jpはGitHub公式サイトではない非公式ガイドです。料金、仕様、提供状況、UI名、セキュリティ機能の最新状態はGitHub公式情報でも確認してください。

codexguide.jpと一緒に確認する

Codexで実際にGitHub PRを作る流れや、作業報告書の読み方はcodexguide.jp側にも整理しています。GitHub側では差分、Secrets、rollbackを中心に確認すると安全です。

private repositoryでもSecretsを直接入れない

GitHub Secretsは、Actionsなどから秘密情報を参照するための仕組みです。README、HTML、設定ファイル、ログ、スクリーンショット、AIへの依頼文にSecrets実値を書くこととは別です。private repositoryでも、実値をファイルに残さない前提で扱います。

commit前の確認

確認場所見るもの止める条件
Changes / diff追加された文字列、削除漏れ、ログ実値らしきキーやtokenがある
設定ファイル.env、config、deploy設定接続情報やパスワードがある
AI依頼文貼り付けた本文、エラー文認証情報や個人情報を含む

GitHub Copilot・AI credits・CLI作業の確認導線

Copilot CLIやagentic codingでも、Secretsを貼らない、ログに残さない、PRで混入を確認する流れが必要です。

GitHub Secrets・Actions・PRレビュー・AIコードレビューの確認

GitHub Secrets、APIキー、token、.env、環境変数、Actionsとの関係、漏洩時の初動を厚めに補強します。

GitHubでは、Secrets、Actions、branch、Pull Request、AIコードレビューを分けて確認します。private repoやAIの生成コードだけで安全とは判断せず、公開前に人間がdiff、ログ、設定、データを確認します。

確認する項目

項目役割注意点
GitHub SecretsAPIキー、token、環境変数をActionsで使う時の保管先値をコードやログに出さない
GitHub Actionsテスト、ビルド、デプロイの自動化料金、無料枠、billing、実行時間、Secrets、ログを確認する
Actions envワークフロー内で使う環境変数公開してよい設定と隠す値を分ける
deployFTP deployやSSH deployなどの反映作業認証情報をログやYAML本文に出さない
Pull Requestbranchの差分をmainへ入れる前の確認場所diff、レビュー、CI、Secrets混入を確認する
AIコードレビューCopilotやAIの指摘をレビュー補助に使う最終判断は人間が行う
業務データCSV、スプレッドシート、顧客情報の扱いprivate repoでも安全と断定しない

公開前チェックリスト

Secretsを使う時は、Actionsで参照する値、ローカルで使う環境変数、リポジトリに置くサンプル設定を分けます。漏洩が疑われる時は、値の無効化、再発行、履歴確認、Actionsログ確認、影響範囲確認を先に行います。

関連サイト導線

関連サイトはリンク先200を確認したものだけを掲載します。

GitHub SecretsをActionsと一緒に確認する

GitHub Secretsは、Actionsで使う秘密値を通常のコードから分けて扱うための仕組みです。設定、確認、削除、入れ替え、漏洩疑いがある時の初動を、PRやActionsログと合わせて見ます。

漏洩疑いがある時の初動

値を広げず、公開やmergeを止め、該当する値の無効化、再発行、履歴確認、影響範囲の確認を順番に進めます。報告文やPR本文に秘密値そのものを書かないようにします。

Secretsを使う時もログ出力に注意

GitHub Secretsは機密情報を扱うための重要な仕組みですが、使えばすべて安全と断定できるものではありません。設定範囲、利用先、ログ出力、権限を合わせて確認します。

このページでできること

項目見ること初心者の注意点
Actions secretsworkflowで使う値ログ出力と権限に注意
Codespaces secrets開発環境で使う値対象repoやuser範囲に注意
AI利用Codex/Copilotへ貼らない差分やログ混入を確認

commit前・公開前チェックリスト

公式情報で確認すること

公開範囲、権限、Secrets、GitHub Desktop、Copilot関連の仕様や制限は変わる可能性があります。2026年6月11日確認の公開情報を確認し、このページでは固定仕様として断定しません。

private repositoryでも機密情報を直接置かない確認

private repositoryは公開範囲を絞れますが、APIキー、token、.envなどを直接コミットしてよい場所ではありません。