0:00 0:00
Article
GitHubのMCPサーバーでシークレットスキャンが正式版に──コミット前にAPIキーや認証情報の漏洩を自動検出
GitHubは2026年5月5日、GitHub MCPサーバーにおけるシークレットスキャン機能を正式リリース(GA)しました。MCP対応ツールからAIエージェントにスキャンを指示するだけで、コミット前にAPIキーやトークンなどの機密情報を検出できます。
シークレットスキャンがMCP経由でGAに
GitHubは2026年5月5日、GitHub MCPサーバーを通じたシークレットスキャン機能を正式リリース(GA)しました。2026年3月にパブリックプレビューとして公開されていたこの機能が、本番利用可能な段階に到達しました。
シークレットスキャンは、APIキー・パーソナルアクセストークン・OAuth認証情報などをコードに誤って含めてしまう事故を、コミット・プルリクエスト作成の前に検出する仕組みです。今回のGAにより、MCP(Model Context Protocol)に対応したAI開発ツールからエージェントを呼び出してスキャンを実行できるようになりました。
使い方:自然言語でエージェントに指示するだけ
利用開始の手順はシンプルです。開発環境にGitHub MCPサーバーをインストールした後、必要に応じてGitHub Advanced Securityプラグインを追加します。スキャン自体は、GitHub Copilot CLIやVisual Studio CodeなどのMCP対応ツールから次のような自然言語で指示します。
「現在の変更にシークレットが含まれていないかスキャンして、更新が必要なファイルと行番号を教えてください」
画像引用元: GitHub Blog
上の画像はGitHub MCPサーバーのシークレットスキャンが機能している様子です。「Secret detected — do NOT commit!」と警告が表示され、対象ファイル・シークレットの種類・確信度が一覧で確認できます。スキャン結果はファイル名・シークレットタイプ・信頼度(High/Medium/Low)で整理されて返ってきます。
リポジトリのプッシュ保護設定を引き継ぐ
重要な点として、MCPサーバー経由のシークレットスキャンはリポジトリまたは組織単位で設定済みのプッシュ保護カスタマイズ設定を自動的に引き継ぎます。既存のセキュリティポリシーと整合性を保ちながら動作するため、チームごとに例外ルールを設けていても追加設定なしで対応します。
利用条件は「GitHub Secret Protection」が有効なリポジトリです。Enterpriseプランを中心に提供されており、組織でSecret Protectionを有効化していれば即座に使い始められます。
同日リリースの依存関係スキャンも注目
同日、関連機能として「GitHub MCPサーバーによる依存関係スキャンのパブリックプレビュー」も公開されました。こちらはコードの脆弱な依存ライブラリをMCP経由で検出する機能で、シークレットスキャンとあわせてAIコーディングワークフロー上のセキュリティレイヤーを強化します。
シークレットスキャン・依存関係スキャンいずれも、コードをリポジトリに送る前に開発者自身のローカル環境で問題を発見できる点が大きな特徴です。従来のCI/CDパイプラインでの検出より早い段階でフィードバックが得られるため、修正コストを抑えられます。
「コミット前」検出がAIコーディングツールに定着へ
GitHub MCPサーバーのシークレットスキャンGAは、AIコーディングツールとセキュリティ検査の統合が一段階進んだことを示す出来事です。自然言語でエージェントに「シークレットが含まれていないか確認して」と指示する操作は、今後のAI支援開発の標準的なフローになっていく可能性があります。
Secret scanning with GitHub MCP Server is now generally available
GitHub secret scanning in the GitHub MCP (Model Context Protocol) server is now generally available. When you use an MCP-compatible AI coding agent or IDE (like GitHub Copilot CLI or…
