企業がセキュリティ インシデントの影響を受けた場合は、企業またはその組織へのプログラムによるアクセスを防ぐことで対応できます。
使用可能なアクション:
- SSO 承認を取り消して、 企業内のユーザー資格情報の SSO で保護された組織リソースへのアクセスを削除します。
- キーとトークンを削除して、エンタープライズ内のユーザー トークンと SSH キーを削除します (SSO 承認がない場合でも (Enterprise Managed Usersのみ)。
エンタープライズ設定の [認証セキュリティ] セクションでは、シングル サインオン (SSO) が承認されているユーザー トークンとキーの数を確認できます。 その後、必要に応じて、資格情報に対してアクションを実行できます。
- 個々のメンバーの場合: SSO 承認を取り消すか、特定のユーザーの資格情報を削除します。対象となるインシデントに応答したり、定期的なアクセスのクリーンアップを実行したりします。
- すべてのメンバー (一括アクション): 大規模なセキュリティ インシデントに応答するときに、SSO 承認を取り消すか、すべてのメンバーの資格情報を削除する一括アクションを実行します。
認証セキュリティ ページへのアクセス
- 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、[ 認証セキュリティ] をクリックします。
資格情報の確認
[資格情報] セクションでは、企業内の組織に対して 少なくとも 1 つの SSO 承認 を持つ各種類の資格情報の数を確認できます。 詳しくは、「シングル サインオンでの認証について」をご覧ください。
カウントには次のものが含まれます。
- Fine-grained personal access tokens
- Personal access tokens (classic)
- ユーザー SSH キー
- GitHub AppおよびOAuth appユーザー アクセス トークン
トークンの種類が 10,000 以下の場合、正確な数が表示されます。 その図の上に、説明 10k+ tokens が表示されます。
使用可能なアクションについて
次のセクションでは、各アクションの動作、SSO の承認または資格情報が影響を受ける内容、および関連する監査ログ イベントについて説明します。
メモ
企業が**** を使用Enterprise Managed Users、SAML SSO を有効にしていない場合は、どちらのアクションも使用できません。 別の方法として、インシデント対応の一部としてユーザーが personal access tokens を置き換える必要がある場合は、すべての personal access tokensの有効期限が切れるエンタープライズ ポリシーを構成できます。 「Enterprise 内の個人用アクセス トークンに対するポリシーの適用」を参照してください。
SSO 認可を取り消す
このアクションは、SAML SSO を使用する Enterprise Managed Users または企業で使用できます。
承認を取り消す場合、ユーザー トークンと SSH キーの SSO 承認が削除されます、特定のユーザーまたは 企業内のすべての組織に対して行われます。
- SSO 承認が取り消された資格情報は、影響を受ける組織に対して 再承認することはできません 。 アクセスを復元するには、ユーザーが新しい資格情報を作成して承認する必要があります。
- 資格情報自体は削除されず、ユーザースコープとエンタープライズ スコープ、および SSO で保護されていない組織に対するアクセス許可 はアクティブなままです。
- SSO が承認されていない資格情報は 影響を受けません。
** fine-grained personal access tokens **の承認は動作が異なるので、このアクションは、このトークンの種類に対して異なる影響を与えます。 組織が "リソース所有者" であるきめ細かい PAT、リソース所有者は削除され、組織のリソースへのアクセスは削除されます。 ユーザーは、リソース所有者を組織アカウントに戻すことができます。承認が必要な場合があります ( Enterprise 内の個人用アクセス トークンに対するポリシーの適用 を参照)。
キーとトークンを削除する
このアクションは、 Enterprise Managed Users でのみ使用できます。
キーとトークンを削除するとエンタープライズにアクセスできる資格情報が、SSO に対して承認されているかどうかに関係なく特定のユーザーまたはすべてのユーザーに対して削除されます。 資格情報が機能しなくなり、UI に表示されなくなります。
プログラムによるアクセスを復元するには、ユーザーは新しい資格情報を作成し、必要に応じて組織で承認し、影響を受けるプロセスを更新して新しい資格情報を使用する必要があります。
含まれている資格情報
どちらのアクションにも、次の資格情報の種類が含まれます。
- ユーザー SSH キー
- OAuth apps ユーザー アクセス トークン (
ghu_) - GitHub App ユーザー アクセス トークン
- Personal access tokens (classic)
- Fine-grained personal access tokens
上記で説明したように、"承認の取り消し" アクションは fine-grained personal access tokensで動作が異なされることに注意してください。
次の資格情報の種類は影響を受 けません 。
- GitHub App インストール トークン (
ghs_) - Fine-grained personal access tokens
- デプロイ キー
- GitHub Actions
GITHUB_TOKENアクセス
監査およびセキュリティログイベント
"承認の取り消し" アクションでは、次のイベントが生成されます。
org_credential_authorization.deauthorizeorg_credential_authorization.revokepersonal_access_token.access_revoked
"トークンの削除" アクションでは、これらのイベントも生成され、さらに次のイベントが生成されます。
oauth_access.destroypersonal_access_token.destroy
個々のメンバーに対するアクションの実行
SSO 承認を取り消すか、特定のユーザーの資格情報を削除できます。 これは、侵害されたアカウントやハードウェアの紛失など、個々のアカウントに影響を与えるインシデントに対応したり、定期的なアクセスのクリーンアップに役立ちます。
特定のユーザーの承認の取り消し
- 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、[ 認証セキュリティ] をクリックします。
- [危険ゾーン] セクションで、[▼の 取り消し] をクリックし、[ 特定のユーザー] をクリックします。
- 権限を取り消すユーザーを選択します。
- 確認するには、「
USERNAME credentials」と入力します (USERNAMEをユーザーのユーザー名に置き換えます)。 - [ 承認の取り消し] をクリックします。
特定のユーザーの資格情報の削除
このアクションは、 Enterprise Managed Users でのみ使用できます。
- 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、[ 認証セキュリティ] をクリックします。
- 「Danger zone」セクションで、▼ の削除 をクリックし、次に 特定のユーザー をクリックします。
- 資格情報を削除するユーザーを選択します。
- 確認するには、「
USERNAME credentials」と入力します (USERNAMEをユーザーのユーザー名に置き換えます)。 - [ キーとトークンの削除] をクリックします。
すべてのメンバーに対して一括アクションを実行する
危険ゾーンの一括アクション ボタンを使用して、企業のすべてのメンバーに対してアクションを実行することで、主要なセキュリティ インシデントに対応します。
警告
一括アクションは、重大なセキュリティ インシデント用に予約する必要がある影響の大きいアクションです。 自動化が中断される可能性があり、元の状態を復元するには数か月かかる場合があります。
すべてのメンバーの承認の取り消し
- 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、[ 認証セキュリティ] をクリックします。
- [危険ゾーン] セクションで、[▼] の [取り消し] をクリックし、[すべてのユーザー] をクリックします。
- このアクションの影響に関する警告をお読みください。
- 確認するには、企業の名前を入力します。
- [ 承認の取り消し] をクリックします。
すべてのメンバーの資格情報の削除
このアクションは、 Enterprise Managed Users でのみ使用できます。
- 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、[ 認証セキュリティ] をクリックします。
- 「危険ゾーン」セクションで、「▼ の削除」 をクリックし、次に 「すべてのユーザー」 をクリックします。
- このアクションの影響に関する警告をお読みください。
- 確認するには、企業の名前を入力します。
- [ キーとトークンの削除] をクリックします。
小規模な応答のためのリソース
次の記事では、特定の侵害されたトークンまたはユーザー アカウントを識別できる、スコープが小さいインシデントを管理するための代替アクションについて説明します。
- アクセス トークンによって実行される監査ログ イベントの識別
- リポジトリのシークレットの漏洩を修復する
- REST API ドキュメントの「無効化」