記事

GitHub Copilot Cloud Agentにエンタープライズ管理機能を追加 — ランナー制御・ファイアウォール・コミット署名

GitHubがCopilot Cloud Agentのエンタープライズ向け管理機能を一括強化しました。組織レベルのランナー制御、ファイアウォール設定、コミット署名に対応しています。

Copilot Cloud Agentの企業導入を加速する3つのアップデート

GitHubは4月3日、Copilot Cloud Agentのエンタープライズ向け管理機能を3つ同時に公開しました。組織レベルでのランナー制御、ファイアウォール設定、そしてコミット署名への対応です。いずれもCopilot BusinessおよびCopilot Enterpriseの管理者が利用でき、セキュリティポリシーを維持しながらAIエージェントを組織全体に展開するための基盤となる機能です。

Copilot Cloud Agentは、従来のCopilot coding agentから名称が変更され、4月1日にはプルリクエスト以外のワークフローにも対応する機能拡張が行われたばかりです。今回の管理機能強化は、それに続くエンタープライズ対応の一環です。

組織レベルのランナー制御

従来、Copilot Cloud Agentのランナー設定はリポジトリごとにcopilot-setup-steps.ymlで行う必要がありました。今回のアップデートにより、組織の管理者がデフォルトのランナーを設定し、すべてのリポジトリに自動適用できるようになりました。

さらに、ランナー設定をロックして個別のリポジトリからの上書きを禁止するオプションも用意されています。パフォーマンス向上のために大型のGitHub Actionsランナーを標準にしたり、コンプライアンス要件に応じてセルフホストランナーに限定したりと、組織の方針に合わせた柔軟な運用が可能になりました。

ファイアウォール設定で外部アクセスを制御

新しいファイアウォール設定では、Copilot Cloud Agentのインターネットアクセスを組織レベルで管理できます。具体的には、ファイアウォールの有効/無効の切り替え、推奨許可リストの適用、そして内部パッケージレジストリなどの組織固有のドメインを許可リストに追加する機能が含まれています。

GitHubはこの機能について、プロンプトインジェクションやデータ流出といったセキュリティリスクへのガードレールとして位置づけています。リポジトリ管理者が独自の許可リストを追加できるかどうかも、組織レベルで制御可能です。デフォルト設定では既存の動作が維持されるため、導入時の混乱を最小限に抑えられます。

コミット署名への対応

Copilot Cloud Agentが作成するすべてのコミットに暗号署名が付与されるようになりました。GitHubの画面上では「Verified」バッジが表示され、変更がCopilotエージェントから発行されたものであり、改ざんされていないことを確認できます。

この対応は、署名付きコミットの必須化(Require signed commits)を設定しているリポジトリでの利用を可能にするものです。以前はこのルールがCopilot Cloud Agentの利用を完全にブロックしていましたが、今後はセキュリティポリシーの厳格な環境でもAIエージェントを活用できるようになりました。