[{"data":1,"prerenderedAt":815},["ShallowReactive",2],{"/ja-jp/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab":3,"navigation-ja-jp":45,"banner-ja-jp":456,"footer-ja-jp":466,"blog-post-authors-ja-jp-Fernando Diaz":702,"blog-related-posts-ja-jp-guide-to-fulfilling-soc-2-security-requirements-with-gitlab":716,"blog-promotions-ja-jp":754,"next-steps-ja-jp":806},{"id":4,"title":5,"authorSlugs":6,"authors":8,"body":10,"category":11,"categorySlug":11,"config":12,"content":16,"date":20,"description":17,"extension":27,"externalUrl":28,"featured":14,"heroImage":19,"isFeatured":14,"meta":29,"navigation":14,"path":30,"publishedDate":20,"rawbody":31,"seo":32,"slug":13,"stem":37,"tagSlugs":38,"tags":43,"template":15,"updatedDate":28,"__hash__":44},"blogPosts/ja-jp/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab.yml","GitLabでSOC2セキュリティ要件に対応するためのガイド",[7],"fernando-diaz",[9],"Fernando Diaz","機密性の高い顧客情報を扱う企業にとって、SOC（システムおよび組織管理）2コンプライアンスの達成は単なる推奨事項ではなく、多くの場合、必要不可欠です。SOC2は、米国公認会計士協会（AICPA）が策定した厳格な監査基準であり、サービス組織のセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する管理体制を評価します。\nSOC2は法的義務ではありませんが、ニュースで頻繁に報じられる情報漏洩事件の影響もあり、重要性が高まっています。SOC2コンプライアンスを達成することで、顧客データを適切に保管し、第三者によるセキュリティ管理の評価を受けていることが伝わり、顧客からの信頼を得られます。\n本ガイドでは、SOC2コンプライアンスの要件を解説し、GitLabがどのように組織のアプリケーションセキュリティの最高水準の達成に役立つかをご紹介します。\n## SOC 2で定められている要件\nSOC2コンプライアンスを達成するには、独立した監査担当者による監査が必要となります。監査では、組織の管理体制の設計および運用の有効性を評価します。監査プロセスは非常にコストがかかることが多く、多くの組織は監査前の準備を十分に行えていないのが現状です。通常、SOC2監査は約1年を要するため、効率的な事前監査プロセスを確立することが重要です。\nSOC2コンプライアンスを達成するには、組織は以下のトラストサービス規準に基づく要件を満たす必要があります。\n| 規準 | 要件 |\n| :---- | :---- |\n| セキュリティ | - 不正アクセスを防ぐための管理策を実施 \u003Cbr> - リスクの特定と軽減のための手順を確立\u003Cbr> - セキュリティインシデントを検知および対応するためのシステムを構築 |\n| 可用性 | - 合意されたとおりにシステムの稼働を保証\u003Cbr> - 現在の使用状況と容量をモニタリング \u003Cbr> - システム可用性に影響を与えうる環境リスクを特定・対処 |\n| 処理の完全性 | - システムの入力・出力の正確な記録を維持 \u003Cbr> - システムエラーを迅速に特定し修正する手順を実施 \u003Cbr> - 製品・サービスが仕様を満たすよう処理作業を定義 |\n| 機密性 | - 機密情報を特定し保護 \u003Cbr> - データ保持期間のポリシーを策定 \u003Cbr> - 保持期間終了後、機密データを安全に破棄する方法を確保 |\n| プライバシー | - 機密個人情報を収集する前に同意を取得 \u003Cbr> - プライバシーポリシーを明確かつわかりやすく伝達 \u003Cbr> - 法的手段を通じて信頼できる情報源からのみデータを収集 |\n\nなお、これらの要件は一度達成すれば終わりではなく、継続的に準拠する必要があります。監査担当者は一定期間にわたる管理策の有効性の有無を評価します。\n## セキュリティ要件を満たし、維持する方法\nGitLabには、SOC2のセキュリティ要件を満たすためにすぐに活用できる機能が数多く用意されています。\n| セキュリティ要件 | 対応機能 |\n| :---- | :---- |\n| 不正アクセスを防ぐための管理策を実施 | - 非公開のイシュー／マージリクエスト \u003Cbr> -  カスタムロールときめ細かい権限設定 \u003Cbr> - セキュリティポリシー \u003Cbr> - 検証済みコミット \u003Cbr> - コンテナイメージの署名 \u003Cbr> - CodeOwners \u003Cbr> - 保護ブランチ |\n| セキュリティインシデントを検知および対応するためのシステムを構築 | - 脆弱性スキャン \u003Cbr> - マージリクエスト内セキュリティウィジェット \u003Cbr> -  脆弱性インサイトコンプライアンスセンター \u003Cbr> - 監査イベント \u003Cbr> -脆弱性レポート依存関係リスト \u003Cbr> - AIによる脆弱性の説明 \u003Cbr> - AIによる脆弱性の修正 |\n| リスクの特定と軽減のための手順を確立 | 上記すべてのツールを活用して、セキュリティチームが脆弱性発見時の対応および軽減手順を確立できます |\n\n\nそれでは、各要件に対応するセキュリティ機能についてさらに詳しく解説しましょう。なお、上記のほとんどの機能は、[GitLab Ultimateプランのサブスクリプション](https://about.gitlab.com/ja-jp/free-trial/)および適切なロールと権限設定が必要となります。詳細については、該当するドキュメントをご確認ください。\n## 不正アクセスから保護するための制御の実装\n組織の資産を保護して、規制遵守を達成し、業務の継続性を維持し、信頼を築くためには、強固なアクセス制御の実装が不可欠です。GitLabでは、[最小権限の原則](https://about.gitlab.com/blog/the-ultimate-guide-to-least-privilege-access-with-gitlab/)に従ったアクセス制御を実装でき、不正アクセスからの保護を実現します。ここでは以下の項目について簡単に紹介します。\n* [セキュリティポリシー](#security-policies)\n* [カスタムロールときめ細かい権限設定](#custom-roles-and-granular-permissions)\n* [ブランチ保護とCodeOwners](#branch-protections-and-codeowners)\n* [検証済みコミット](#verified-commits)\n### セキュリティポリシー\nGitLabのセキュリティポリシー（いわゆるガードレール）を使用すると、セキュリティおよびコンプライアンスチームは組織全体で一貫した制御を実装できます。これにより、セキュリティインシデントの予防、コンプライアンス基準の維持、一括でのベストプラクティスの自動適用によるリスクの低減が可能になります。\n![マージリクエスト承認ポリシーの活用例](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/merge_request_approval_policy_aHR0cHM6_1750099596925.png)\nマージリクエスト承認ポリシーの活用例\n以下のようなポリシーを利用できます。\n* スキャン実行ポリシー：パイプラインの一部として、または指定したスケジュールに応じてセキュリティスキャンの実行を強制\n* マージリクエスト承認ポリシー：スキャン結果に基づいて、プロジェクトレベルの設定や承認ルールを適用\n* パイプライン実行ポリシー：プロジェクトパイプライン内でCI/CDジョブの実行を強制\n* 脆弱性管理ポリシー：脆弱性の対応ワークフローを自動化\n以下に、パイプライン実行ポリシーを活用してコンプライアンスを確保する例をご紹介します。\n1. 複数のコンプライアンスジョブをまとめたプロジェクトを作成します。たとえば、デプロイされるファイルの権限を確認するジョブを含めます。これらのジョブは、複数のアプリケーションで再利用できるように汎用的な内容にしておきます。\n2. このプロジェクトへの権限はセキュリティ／コンプライアンス担当者に限定し、デベロッパーがジョブを削除できないようにします。これにより職務分離が実現します。\n3. 対象のプロジェクトにこれらのコンプライアンスジョブを一括で挿入します。ジョブが必ず実行されるよう強制しつつ、開発の妨げにならないようにチームリーダーが実行を承認できるようにします。これにより、コンプライアンスジョブが常に実行され、デベロッパーによって削除されることがなくなり、ご利用の環境にて常にコンプライアンスが確保されるようになります。\n> ##### セキュリティポリシーの作成方法については、GitLabの[セキュリティポリシーに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/policies/)をご覧ください。\n### カスタムロールと詳細な権限\nGitLabのカスタム権限を使用すると、標準のロールベースの権限ではできないきめ細かいアクセス制御を実装できます。これにより、以下のような利点が得られます。\n* より正確なアクセス制御\n* セキュリティコンプライアンスの向上\n* 誤ったアクセスのリスク軽減\n* ユーザー管理の効率化\n* 複雑な組織構造への対応\n\n![GitLabカスタムロール](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/custom_roles_aHR0cHM6_1750099596926.png)\n\nロールと権限の設定（カスタムロールを含む）\n> ##### [カスタムロールに関するページ](https://docs.gitlab.com/ja-jp/user/custom_roles/)を参照して、きめ細かな権限を設定できるカスタムロールの作成方法をご確認ください。\n### ブランチ保護とCodeOwners\nGitLabでは、次の2つの主要な機能により、コードに変更を加えられるユーザーをさらに厳密に管理できます。\n* ブランチ保護：変更をマージする前に承認を必須とするなど、特定のブランチを変更できるユーザーに関するルールを設定できます。\n* CodeOwners：各ファイルを指定された所有者に関連付け、該当ファイルが変更された際に自動的に適切なレビュアーを指定します。\n\nこれらの機能を組み合わせることで、適切な担当者がレビュー・承認を行う体制を構築でき、コードのセキュリティと品質を高い水準で維持できます。\n\n![保護ブランチ](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/protected_branches_aHR0cHM6_1750099596928.png)\n保護ブランチの設定\n> ##### 保護ブランチとCodeOwnersの設定方法については、[保護ブランチ](https://docs.gitlab.com/ja-jp/user/project/repository/branches/protected/)および[CodeOwner](https://docs.gitlab.com/ja-jp/user/project/codeowners/)のページをご参照ください。\n### 検証済みコミット\nコミットにデジタル署名を追加することで、なりすましではなく、本当に自分が作成したものであることを証明できます。デジタル署名は、自分だけが発行できる「電子印鑑」のようなものです。GitLabに公開GPG鍵を登録すれば、署名が正しいかを確認でき、マッチすればそのコミットには`Verified`（検証済み）のマークが付きます。さらに、未署名のコミットを拒否したり、本人確認ができていないユーザーのコミットをブロックしたりするルールも設定可能です。\n\n![検証済み署名付きコミット](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/signed_commit_aHR0cHM6_1750099596929.png)\n\n検証済み署名付きコミット\nコミットには以下の方法で署名できます。\n* SSH鍵\n* GPG鍵\n* 個人用x.509証明書\n> ##### 検証済みコミットの詳細は、[署名付きコミットに関するページ](https://docs.gitlab.com/ja-jp/user/project/repository/signed_commits/)をご覧ください。\n## セキュリティインシデントの検出と対応のためのシステムの構築\n強固なセキュリティ対策状況の維持、規制遵守の確保、被害の最小化、変化し続ける脅威への迅速な対応には、セキュリティインシデントを検知し対応するシステムの構築が不可欠です。\nGitLabには、アプリケーションのライフサイクル全体を対象とするセキュリティスキャンと脆弱性管理機能が備わっています。以下の機能について簡単に説明します。\n* [セキュリティスキャンと脆弱性管理](#security-scanning-and-vulnerability-management)\n* [ソフトウェア部品表（SBOM）](#software-bill-of-materials)\n* [システム監査とセキュリティ対策状況のレビュー](#system-auditing-and-security-posture-review)\n* [コンプライアンスおよびセキュリティ対策状況の監視](#compliance-and-security-posture-oversight)\n### セキュリティスキャンと脆弱性管理\nGitLabには以下のような多様なセキュリティスキャナーが備わっており、アプリケーションのライフサイクル全体をカバーします。\n* 静的アプリケーションセキュリティテスト（SAST）\n* 動的アプリケーションセキュリティテスト（DAST）\n* コンテナスキャン\n* 依存関係スキャン\n* Infrastructure as Code（IaC）スキャン\n* カバレッジガイドファジング\n* Web APIファジング\nこれらのスキャナーはテンプレートを利用すれば、パイプラインに追加できます。たとえば、テストステージでSASTと依存関係スキャンのジョブを実行するには、.gitlab-ci.ymlに以下を追加します。\n```yaml\nstages:\n  - test\n\ninclude:\n  - template: Jobs/Dependency-Scanning.gitlab-ci.yml\n  - template: Jobs/SAST.gitlab-ci.yml   \n```\nこれらのジョブは環境変数やGitLabジョブ構文を使ってすべて設定可能です。パイプラインが起動すると、セキュリティスキャナーが動作し、現在のブランチとターゲットブランチの差分から脆弱性を検出します。検出された脆弱性はマージリクエスト（MR）内で確認でき、コードがターゲットブランチにマージされる前に細部まで監視する必要があります。MRには脆弱性に関して以下の情報が表示されます。\n* 説明\n* ステータス\n* 重大度\n* 証拠\n* 識別子\n* URL（該当する場合）\n* リクエスト／レスポンス（該当する場合）\n* 再現用資産（該当する場合）\n* トレーニング情報（該当する場合）\n* コードフロー（高度なSAST使用時）\n\n![脆弱性を紹介するMRの表示画面](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/no_sql_injection_vulnerability_mr_view_aHR0cHM6_1750099596931.png)\n\n脆弱性を紹介するMRの表示画面\u003Cbr>\nデベロッパーはこれらの情報を活用して、セキュリティチームのワークフローを妨げることなく脆弱性を修正できます。デベロッパーは、レビュープロセスにかかる時間を短縮するために、理由を添えて脆弱性を無視したり、もしくは脆弱性を追跡するための非公開イシューを作成したりすることが可能です。\nマージリクエストのコードがデフォルトブランチ（通常は本番環境レベル）にマージされると、脆弱性レポートにセキュリティスキャナーの結果が反映されます。セキュリティチームはこれらの結果をもとに、本番環境で見つかった脆弱性の管理・トリアージを行います。\n![バッチステータス設定が表示された脆弱性レポート](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/vulnerability_report_aHR0cHM6_1750099596936.png)\nバッチステータス設定が表示された脆弱性レポート\u003Cbr>\n脆弱性レポート内の脆弱性の説明をクリックすると、MRと同じ脆弱性データが表示される脆弱性ページに移動します。これらの情報は、影響評価や修正作業の際に信頼できる唯一の情報源として活用できます。脆弱性ページでは、[GitLab Duo](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/)のAI機能を使って脆弱性の説明を生成したり、修正のためのMRを作成したりして、解決までの時間を短縮できます。\n> ##### GitLabに含まれるセキュリティスキャナーや脆弱性管理の詳細は、[アプリケーションセキュリティに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/)をご覧ください。\n### ソフトウェア部品表\nGitLabはソフトウェアで使用されているコンポーネント（部品）の詳細をリスト化できます。これはコードの「材料表」のようなもので、ソフトウェア部品表（[SBOM](https://about.gitlab.com/ja-jp/blog/the-ultimate-guide-to-sboms/)）と呼ばれます。プロジェクトで使われている外部コードに関して、直接使われているコードやそれらが依存するコードも含め、すべてを把握できます。各項目について、使用バージョンやライセンス情報、既知のセキュリティ問題の有無も表示されます。これにより、自社のソフトウェアの構成を把握し、潜在的なリスクを見つけやすくなります。\n![グループレベルの依存関係リスト（SBOM）](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/sbom_aHR0cHM6_1750099596937.png)\n\nグループレベルの依存関係リスト（SBOM）\n> ##### 依存関係リストのアクセス方法と活用法は、[依存関係リストに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/dependency_list/)をご参照ください。\n### システム監査とセキュリティ対策状況のレビュー\nGitLabは、誰がいつ何を変更したかなど、システム内のすべての動きを記録します。コードを監視するセキュリティカメラのようなものだと考えてください。これにより、以下が可能になります。\n* 不審な動きを発見する\n* 規制当局にルール遵守を証明する\n* 問題が発生した際に状況を把握する\n* GitLabの利用状況を把握する\nこれらの情報は一元管理されているため、必要に応じて容易に確認・調査できます。たとえば、監査イベントを使うと以下の情報を追跡できます。\n* GitLabプロジェクトにおいて、誰がいつ特定ユーザーの権限レベルを変更したか\n* 誰がいつ新しいユーザーを追加または削除したか\n\n![プロジェクトレベルの監査イベント](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/audit_events_aHR0cHM6_1750099596938.png)\n\nプロジェクトレベルの監査イベント\n> ##### 監査イベントの詳細については、[監査イベントに関するページ](https://docs.gitlab.com/ja-jp/user/compliance/audit_events/)をご覧ください。\n## コンプライアンスとセキュリティ対策状況の監視\nGitLabのセキュリティダッシュボードは、すべてのセキュリティリスクを1か所で表示する「コントロールルーム」のような機能です。複数のセキュリティツールを個別に確認する必要はなく、全プロジェクトの調査情報を1つの画面でまとめて把握できます。これにより、プロジェクトに潜む問題の早期発見と迅速な対応が可能になります。\n![グループレベルのセキュリティダッシュボード](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/security_dashboard_aHR0cHM6_1750099596939.png)\n\nグループレベルのセキュリティダッシュボード\n> ##### セキュリティダッシュボードの詳細については、[セキュリティダッシュボードに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/security_dashboard/)をご覧ください。\n## リスクを特定し、軽減するための手順の確立\n脆弱性には特定のライフサイクルがあります。たとえば、セキュリティポリシーを使って、脆弱なコードを保護ブランチにマージするには承認が必要という手続きを設けることができます。さらに、本番環境で脆弱なコードが検出された場合、優先的に対応し、評価・修正・検証を行うという流れを定めることも可能です。\n* 優先順位は、GitLabのスキャナーによって提供される脆弱性の重大度に基づいて決められます。\n* 評価は、AIによる脆弱性の説明機能が提供する悪用の詳細情報を使って行えます。\n* 修正後は、GitLabに組み込まれた回帰テストやスキャナーを使用して検証できます。\nすべての組織に共通の対応策はありませんが、GitLabのような統合プラットフォームを活用することで、複数の異なるツールを使う場合と比べて、リスクをすばやく把握・対処でき、リスク全体を低減することが可能です。\n### SOC 2コンプライアンスに関するベストプラクティス\n* 強固なセキュリティ文化を確立する：組織全体でセキュリティへの意識と責任感を高めましょう。\n* すべてを文書化する：ポリシー、手順、コントロールの詳細なドキュメントを維持しましょう。\n* 自動化できる部分は自動化する：自動化ツールを使用してコンプライアンスプロセスを効率化し、エラーを削減しましょう。\n* 効果的に情報を共有する：関係者に対し、コンプライアンスの取り組みについて情報を伝えましょう。\n* 専門家の助言を求める：SOC2準拠の取り組みにおいて、信頼できるコンサルタントとの連携を検討しましょう。\nSOC2コンプライアンスは大きな取り組みですが、その価値は計り知れません。アプリケーションセキュリティと運用上の卓越性への取り組みを示すことで、顧客からの信頼を築き、企業としての評判を高め、市場における競争力を強化できます。\n## 詳細はこちら\nGitLabの詳細、またGitLabがSOC2コンプライアンスの達成とセキュリティ対策状況の強化にどのように役立つかについては、以下のリソースをご覧ください。\n* [GitLab Ultimate](https://about.gitlab.com/ja-jp/pricing/ultimate/)\n* [GitLabのセキュリティおよびコンプライアンスソリューション](https://about.gitlab.com/ja-jp/solutions/application-security-testing/)\n* [GitLabアプリケーションセキュリティに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/)\n* [GitLab DevSecOpsチュートリアルプロジェクト](https://gitlab.com/gitlab-da/tutorials/security-and-governance/devsecops/simply-vulnerable-notes)\n","security",{"slug":13,"featured":14,"template":15},"guide-to-fulfilling-soc-2-security-requirements-with-gitlab",true,"BlogPost",{"title":5,"description":17,"authors":18,"heroImage":19,"date":20,"body":10,"category":11,"tags":21},"SOC2セキュリティ要件に対応する、GitLab DevSecOpsプラットフォームのアプリケーションセキュリティ機能について解説します。",[9],"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099576/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1172300481_IGPi3TS4VzFgcqhvEdBlR_1750099575518.jpg","2025-01-22",[22,23,24,25,26],"Tutorial","Security","DevSecOps platform","Features","Product","yml",null,{},"/ja-jp/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab","seo:\n  title: GitLabでSOC2セキュリティ要件に対応するためのガイド\n  description: >-\n    SOC2セキュリティ要件に対応する、GitLab DevSecOpsプラットフォームのアプリケーションセキュリティ機能について解説します。\n  ogTitle: GitLabでSOC2セキュリティ要件に対応するためのガイド\n  ogDescription: >-\n    SOC2セキュリティ要件に対応する、GitLab DevSecOpsプラットフォームのアプリケーションセキュリティ機能について解説します。\n  noIndex: false\n  ogImage: >-\n    https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099576/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1172300481_IGPi3TS4VzFgcqhvEdBlR_1750099575518.jpg\n  ogUrl: >-\n    https://about.gitlab.com/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab\n  ogSiteName: https://about.gitlab.com\n  ogType: 記事\n  canonicalUrls: >-\n    https://about.gitlab.com/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab\n\ncontent:\n  title: GitLabでSOC2セキュリティ要件に対応するためのガイド\n  description: >-\n    SOC2セキュリティ要件に対応する、GitLab DevSecOpsプラットフォームのアプリケーションセキュリティ機能について解説します。\n  authors:\n    - Fernando Diaz\n  heroImage: >-\n    https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099576/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1172300481_IGPi3TS4VzFgcqhvEdBlR_1750099575518.jpg\n  date: '2025-01-22'\n  body: >\n    機密性の高い顧客情報を扱う企業にとって、SOC（システムおよび組織管理）2コンプライアンスの達成は単なる推奨事項ではなく、多くの場合、必要不可欠です。SOC2は、米国公認会計士協会（AICPA）が策定した厳格な監査基準であり、サービス組織のセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する管理体制を評価します。\n\n    SOC2は法的義務ではありませんが、ニュースで頻繁に報じられる情報漏洩事件の影響もあり、重要性が高まっています。SOC2コンプライアンスを達成することで、顧客データを適切に保管し、第三者によるセキュリティ管理の評価を受けていることが伝わり、顧客からの信頼を得られます。\n\n    本ガイドでは、SOC2コンプライアンスの要件を解説し、GitLabがどのように組織のアプリケーションセキュリティの最高水準の達成に役立つかをご紹介します。\n\n    ## SOC 2で定められている要件\n\n    SOC2コンプライアンスを達成するには、独立した監査担当者による監査が必要となります。監査では、組織の管理体制の設計および運用の有効性を評価します。監査プロセスは非常にコストがかかることが多く、多くの組織は監査前の準備を十分に行えていないのが現状です。通常、SOC2監査は約1年を要するため、効率的な事前監査プロセスを確立することが重要です。\n\n    SOC2コンプライアンスを達成するには、組織は以下のトラストサービス規準に基づく要件を満たす必要があります。\n\n    | 規準 | 要件 |\n\n    | :---- | :---- |\n\n    | セキュリティ | - 不正アクセスを防ぐための管理策を実施 \u003Cbr> - リスクの特定と軽減のための手順を確立\u003Cbr> -\n    セキュリティインシデントを検知および対応するためのシステムを構築 |\n\n    | 可用性 | - 合意されたとおりにシステムの稼働を保証\u003Cbr> - 現在の使用状況と容量をモニタリング \u003Cbr> -\n    システム可用性に影響を与えうる環境リスクを特定・対処 |\n\n    | 処理の完全性 | - システムの入力・出力の正確な記録を維持 \u003Cbr> - システムエラーを迅速に特定し修正する手順を実施 \u003Cbr> -\n    製品・サービスが仕様を満たすよう処理作業を定義 |\n\n    | 機密性 | - 機密情報を特定し保護 \u003Cbr> - データ保持期間のポリシーを策定 \u003Cbr> -\n    保持期間終了後、機密データを安全に破棄する方法を確保 |\n\n    | プライバシー | - 機密個人情報を収集する前に同意を取得 \u003Cbr> - プライバシーポリシーを明確かつわかりやすく伝達 \u003Cbr> -\n    法的手段を通じて信頼できる情報源からのみデータを収集 |\n\n\n    なお、これらの要件は一度達成すれば終わりではなく、継続的に準拠する必要があります。監査担当者は一定期間にわたる管理策の有効性の有無を評価します。\n\n    ## セキュリティ要件を満たし、維持する方法\n\n    GitLabには、SOC2のセキュリティ要件を満たすためにすぐに活用できる機能が数多く用意されています。\n\n    | セキュリティ要件 | 対応機能 |\n\n    | :---- | :---- |\n\n    | 不正アクセスを防ぐための管理策を実施 | - 非公開のイシュー／マージリクエスト \u003Cbr> -  カスタムロールときめ細かい権限設定 \u003Cbr> -\n    セキュリティポリシー \u003Cbr> - 検証済みコミット \u003Cbr> - コンテナイメージの署名 \u003Cbr> - CodeOwners \u003Cbr> -\n    保護ブランチ |\n\n    | セキュリティインシデントを検知および対応するためのシステムを構築 | - 脆弱性スキャン \u003Cbr> - マージリクエスト内セキュリティウィジェット\n    \u003Cbr> -  脆弱性インサイトコンプライアンスセンター \u003Cbr> - 監査イベント \u003Cbr> -脆弱性レポート依存関係リスト \u003Cbr> -\n    AIによる脆弱性の説明 \u003Cbr> - AIによる脆弱性の修正 |\n\n    | リスクの特定と軽減のための手順を確立 | 上記すべてのツールを活用して、セキュリティチームが脆弱性発見時の対応および軽減手順を確立できます |\n\n\n\n    それでは、各要件に対応するセキュリティ機能についてさらに詳しく解説しましょう。なお、上記のほとんどの機能は、[GitLab\n    Ultimateプランのサブスクリプション](https://about.gitlab.com/ja-jp/free-trial/)および適切なロールと権限設定が必要となります。詳細については、該当するドキュメントをご確認ください。\n\n    ## 不正アクセスから保護するための制御の実装\n\n    組織の資産を保護して、規制遵守を達成し、業務の継続性を維持し、信頼を築くためには、強固なアクセス制御の実装が不可欠です。GitLabでは、[最小権限の原則](https://about.gitlab.com/blog/the-ultimate-guide-to-least-privilege-access-with-gitlab/)に従ったアクセス制御を実装でき、不正アクセスからの保護を実現します。ここでは以下の項目について簡単に紹介します。\n\n    * [セキュリティポリシー](#security-policies)\n\n    * [カスタムロールときめ細かい権限設定](#custom-roles-and-granular-permissions)\n\n    * [ブランチ保護とCodeOwners](#branch-protections-and-codeowners)\n\n    * [検証済みコミット](#verified-commits)\n\n    ### セキュリティポリシー\n\n    GitLabのセキュリティポリシー（いわゆるガードレール）を使用すると、セキュリティおよびコンプライアンスチームは組織全体で一貫した制御を実装できます。これにより、セキュリティインシデントの予防、コンプライアンス基準の維持、一括でのベストプラクティスの自動適用によるリスクの低減が可能になります。\n\n    ![マージリクエスト承認ポリシーの活用例](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/merge_request_approval_policy_aHR0cHM6_1750099596925.png)\n\n    マージリクエスト承認ポリシーの活用例\n\n    以下のようなポリシーを利用できます。\n\n    * スキャン実行ポリシー：パイプラインの一部として、または指定したスケジュールに応じてセキュリティスキャンの実行を強制\n\n    * マージリクエスト承認ポリシー：スキャン結果に基づいて、プロジェクトレベルの設定や承認ルールを適用\n\n    * パイプライン実行ポリシー：プロジェクトパイプライン内でCI/CDジョブの実行を強制\n\n    * 脆弱性管理ポリシー：脆弱性の対応ワークフローを自動化\n\n    以下に、パイプライン実行ポリシーを活用してコンプライアンスを確保する例をご紹介します。\n\n    1.\n    複数のコンプライアンスジョブをまとめたプロジェクトを作成します。たとえば、デプロイされるファイルの権限を確認するジョブを含めます。これらのジョブは、複数のアプリケーションで再利用できるように汎用的な内容にしておきます。\n\n    2.\n    このプロジェクトへの権限はセキュリティ／コンプライアンス担当者に限定し、デベロッパーがジョブを削除できないようにします。これにより職務分離が実現します。\n\n    3.\n    対象のプロジェクトにこれらのコンプライアンスジョブを一括で挿入します。ジョブが必ず実行されるよう強制しつつ、開発の妨げにならないようにチームリーダーが実行を承認できるようにします。これにより、コンプライアンスジョブが常に実行され、デベロッパーによって削除されることがなくなり、ご利用の環境にて常にコンプライアンスが確保されるようになります。\n\n    > #####\n    セキュリティポリシーの作成方法については、GitLabの[セキュリティポリシーに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/policies/)をご覧ください。\n\n    ### カスタムロールと詳細な権限\n\n    GitLabのカスタム権限を使用すると、標準のロールベースの権限ではできないきめ細かいアクセス制御を実装できます。これにより、以下のような利点が得られます。\n\n    * より正確なアクセス制御\n\n    * セキュリティコンプライアンスの向上\n\n    * 誤ったアクセスのリスク軽減\n\n    * ユーザー管理の効率化\n\n    * 複雑な組織構造への対応\n\n\n    ![GitLabカスタムロール](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/custom_roles_aHR0cHM6_1750099596926.png)\n\n\n    ロールと権限の設定（カスタムロールを含む）\n\n    > #####\n    [カスタムロールに関するページ](https://docs.gitlab.com/ja-jp/user/custom_roles/)を参照して、きめ細かな権限を設定できるカスタムロールの作成方法をご確認ください。\n\n    ### ブランチ保護とCodeOwners\n\n    GitLabでは、次の2つの主要な機能により、コードに変更を加えられるユーザーをさらに厳密に管理できます。\n\n    * ブランチ保護：変更をマージする前に承認を必須とするなど、特定のブランチを変更できるユーザーに関するルールを設定できます。\n\n    * CodeOwners：各ファイルを指定された所有者に関連付け、該当ファイルが変更された際に自動的に適切なレビュアーを指定します。\n\n\n    これらの機能を組み合わせることで、適切な担当者がレビュー・承認を行う体制を構築でき、コードのセキュリティと品質を高い水準で維持できます。\n\n\n    ![保護ブランチ](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/protected_branches_aHR0cHM6_1750099596928.png)\n\n    保護ブランチの設定\n\n    > #####\n    保護ブランチとCodeOwnersの設定方法については、[保護ブランチ](https://docs.gitlab.com/ja-jp/user/project/repository/branches/protected/)および[CodeOwner](https://docs.gitlab.com/ja-jp/user/project/codeowners/)のページをご参照ください。\n\n    ### 検証済みコミット\n\n    コミットにデジタル署名を追加することで、なりすましではなく、本当に自分が作成したものであることを証明できます。デジタル署名は、自分だけが発行できる「電子印鑑」のようなものです。GitLabに公開GPG鍵を登録すれば、署名が正しいかを確認でき、マッチすればそのコミットには`Verified`（検証済み）のマークが付きます。さらに、未署名のコミットを拒否したり、本人確認ができていないユーザーのコミットをブロックしたりするルールも設定可能です。\n\n\n    ![検証済み署名付きコミット](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/signed_commit_aHR0cHM6_1750099596929.png)\n\n\n    検証済み署名付きコミット\n\n    コミットには以下の方法で署名できます。\n\n    * SSH鍵\n\n    * GPG鍵\n\n    * 個人用x.509証明書\n\n    > #####\n    検証済みコミットの詳細は、[署名付きコミットに関するページ](https://docs.gitlab.com/ja-jp/user/project/repository/signed_commits/)をご覧ください。\n\n    ## セキュリティインシデントの検出と対応のためのシステムの構築\n\n    強固なセキュリティ対策状況の維持、規制遵守の確保、被害の最小化、変化し続ける脅威への迅速な対応には、セキュリティインシデントを検知し対応するシステムの構築が不可欠です。\n\n    GitLabには、アプリケーションのライフサイクル全体を対象とするセキュリティスキャンと脆弱性管理機能が備わっています。以下の機能について簡単に説明します。\n\n    * [セキュリティスキャンと脆弱性管理](#security-scanning-and-vulnerability-management)\n\n    * [ソフトウェア部品表（SBOM）](#software-bill-of-materials)\n\n    * [システム監査とセキュリティ対策状況のレビュー](#system-auditing-and-security-posture-review)\n\n    * [コンプライアンスおよびセキュリティ対策状況の監視](#compliance-and-security-posture-oversight)\n\n    ### セキュリティスキャンと脆弱性管理\n\n    GitLabには以下のような多様なセキュリティスキャナーが備わっており、アプリケーションのライフサイクル全体をカバーします。\n\n    * 静的アプリケーションセキュリティテスト（SAST）\n\n    * 動的アプリケーションセキュリティテスト（DAST）\n\n    * コンテナスキャン\n\n    * 依存関係スキャン\n\n    * Infrastructure as Code（IaC）スキャン\n\n    * カバレッジガイドファジング\n\n    * Web APIファジング\n\n    これらのスキャナーはテンプレートを利用すれば、パイプラインに追加できます。たとえば、テストステージでSASTと依存関係スキャンのジョブを実行するには、.gitlab-ci.ymlに以下を追加します。\n\n    ```yaml\n\n    stages:\n      - test\n\n    include:\n      - template: Jobs/Dependency-Scanning.gitlab-ci.yml\n      - template: Jobs/SAST.gitlab-ci.yml   \n    ```\n\n    これらのジョブは環境変数やGitLabジョブ構文を使ってすべて設定可能です。パイプラインが起動すると、セキュリティスキャナーが動作し、現在のブランチとターゲットブランチの差分から脆弱性を検出します。検出された脆弱性はマージリクエスト（MR）内で確認でき、コードがターゲットブランチにマージされる前に細部まで監視する必要があります。MRには脆弱性に関して以下の情報が表示されます。\n\n    * 説明\n\n    * ステータス\n\n    * 重大度\n\n    * 証拠\n\n    * 識別子\n\n    * URL（該当する場合）\n\n    * リクエスト／レスポンス（該当する場合）\n\n    * 再現用資産（該当する場合）\n\n    * トレーニング情報（該当する場合）\n\n    * コードフロー（高度なSAST使用時）\n\n\n    ![脆弱性を紹介するMRの表示画面](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/no_sql_injection_vulnerability_mr_view_aHR0cHM6_1750099596931.png)\n\n\n    脆弱性を紹介するMRの表示画面\u003Cbr>\n\n    デベロッパーはこれらの情報を活用して、セキュリティチームのワークフローを妨げることなく脆弱性を修正できます。デベロッパーは、レビュープロセスにかかる時間を短縮するために、理由を添えて脆弱性を無視したり、もしくは脆弱性を追跡するための非公開イシューを作成したりすることが可能です。\n\n    マージリクエストのコードがデフォルトブランチ（通常は本番環境レベル）にマージされると、脆弱性レポートにセキュリティスキャナーの結果が反映されます。セキュリティチームはこれらの結果をもとに、本番環境で見つかった脆弱性の管理・トリアージを行います。\n\n    ![バッチステータス設定が表示された脆弱性レポート](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/vulnerability_report_aHR0cHM6_1750099596936.png)\n\n    バッチステータス設定が表示された脆弱性レポート\u003Cbr>\n\n    脆弱性レポート内の脆弱性の説明をクリックすると、MRと同じ脆弱性データが表示される脆弱性ページに移動します。これらの情報は、影響評価や修正作業の際に信頼できる唯一の情報源として活用できます。脆弱性ページでは、[GitLab\n    Duo](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/)のAI機能を使って脆弱性の説明を生成したり、修正のためのMRを作成したりして、解決までの時間を短縮できます。\n\n    > #####\n    GitLabに含まれるセキュリティスキャナーや脆弱性管理の詳細は、[アプリケーションセキュリティに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/)をご覧ください。\n\n    ### ソフトウェア部品表\n\n    GitLabはソフトウェアで使用されているコンポーネント（部品）の詳細をリスト化できます。これはコードの「材料表」のようなもので、ソフトウェア部品表（[SBOM](https://about.gitlab.com/ja-jp/blog/the-ultimate-guide-to-sboms/)）と呼ばれます。プロジェクトで使われている外部コードに関して、直接使われているコードやそれらが依存するコードも含め、すべてを把握できます。各項目について、使用バージョンやライセンス情報、既知のセキュリティ問題の有無も表示されます。これにより、自社のソフトウェアの構成を把握し、潜在的なリスクを見つけやすくなります。\n\n    ![グループレベルの依存関係リスト（SBOM）](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/sbom_aHR0cHM6_1750099596937.png)\n\n\n    グループレベルの依存関係リスト（SBOM）\n\n    > #####\n    依存関係リストのアクセス方法と活用法は、[依存関係リストに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/dependency_list/)をご参照ください。\n\n    ### システム監査とセキュリティ対策状況のレビュー\n\n    GitLabは、誰がいつ何を変更したかなど、システム内のすべての動きを記録します。コードを監視するセキュリティカメラのようなものだと考えてください。これにより、以下が可能になります。\n\n    * 不審な動きを発見する\n\n    * 規制当局にルール遵守を証明する\n\n    * 問題が発生した際に状況を把握する\n\n    * GitLabの利用状況を把握する\n\n    これらの情報は一元管理されているため、必要に応じて容易に確認・調査できます。たとえば、監査イベントを使うと以下の情報を追跡できます。\n\n    * GitLabプロジェクトにおいて、誰がいつ特定ユーザーの権限レベルを変更したか\n\n    * 誰がいつ新しいユーザーを追加または削除したか\n\n\n    ![プロジェクトレベルの監査イベント](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/audit_events_aHR0cHM6_1750099596938.png)\n\n\n    プロジェクトレベルの監査イベント\n\n    > #####\n    監査イベントの詳細については、[監査イベントに関するページ](https://docs.gitlab.com/ja-jp/user/compliance/audit_events/)をご覧ください。\n\n    ## コンプライアンスとセキュリティ対策状況の監視\n\n    GitLabのセキュリティダッシュボードは、すべてのセキュリティリスクを1か所で表示する「コントロールルーム」のような機能です。複数のセキュリティツールを個別に確認する必要はなく、全プロジェクトの調査情報を1つの画面でまとめて把握できます。これにより、プロジェクトに潜む問題の早期発見と迅速な対応が可能になります。\n\n    ![グループレベルのセキュリティダッシュボード](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/security_dashboard_aHR0cHM6_1750099596939.png)\n\n\n    グループレベルのセキュリティダッシュボード\n\n    > #####\n    セキュリティダッシュボードの詳細については、[セキュリティダッシュボードに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/security_dashboard/)をご覧ください。\n\n    ## リスクを特定し、軽減するための手順の確立\n\n    脆弱性には特定のライフサイクルがあります。たとえば、セキュリティポリシーを使って、脆弱なコードを保護ブランチにマージするには承認が必要という手続きを設けることができます。さらに、本番環境で脆弱なコードが検出された場合、優先的に対応し、評価・修正・検証を行うという流れを定めることも可能です。\n\n    * 優先順位は、GitLabのスキャナーによって提供される脆弱性の重大度に基づいて決められます。\n\n    * 評価は、AIによる脆弱性の説明機能が提供する悪用の詳細情報を使って行えます。\n\n    * 修正後は、GitLabに組み込まれた回帰テストやスキャナーを使用して検証できます。\n\n    すべての組織に共通の対応策はありませんが、GitLabのような統合プラットフォームを活用することで、複数の異なるツールを使う場合と比べて、リスクをすばやく把握・対処でき、リスク全体を低減することが可能です。\n\n    ### SOC 2コンプライアンスに関するベストプラクティス\n\n    * 強固なセキュリティ文化を確立する：組織全体でセキュリティへの意識と責任感を高めましょう。\n\n    * すべてを文書化する：ポリシー、手順、コントロールの詳細なドキュメントを維持しましょう。\n\n    * 自動化できる部分は自動化する：自動化ツールを使用してコンプライアンスプロセスを効率化し、エラーを削減しましょう。\n\n    * 効果的に情報を共有する：関係者に対し、コンプライアンスの取り組みについて情報を伝えましょう。\n\n    * 専門家の助言を求める：SOC2準拠の取り組みにおいて、信頼できるコンサルタントとの連携を検討しましょう。\n\n    SOC2コンプライアンスは大きな取り組みですが、その価値は計り知れません。アプリケーションセキュリティと運用上の卓越性への取り組みを示すことで、顧客からの信頼を築き、企業としての評判を高め、市場における競争力を強化できます。\n\n    ## 詳細はこちら\n\n    GitLabの詳細、またGitLabがSOC2コンプライアンスの達成とセキュリティ対策状況の強化にどのように役立つかについては、以下のリソースをご覧ください。\n\n    * [GitLab Ultimate](https://about.gitlab.com/ja-jp/pricing/ultimate/)\n\n    *\n    [GitLabのセキュリティおよびコンプライアンスソリューション](https://about.gitlab.com/ja-jp/solutions/application-security-testing/)\n\n    *\n    [GitLabアプリケーションセキュリティに関するページ](https://docs.gitlab.com/ja-jp/user/application_security/)\n\n    * [GitLab\n    DevSecOpsチュートリアルプロジェクト](https://gitlab.com/gitlab-da/tutorials/security-and-governance/devsecops/simply-vulnerable-notes)\n  category: security\n  tags:\n    - Tutorial\n    - Security\n    - DevSecOps platform\n    - Features\n    - Product\nconfig:\n  slug: guide-to-fulfilling-soc-2-security-requirements-with-gitlab\n  featured: true\n  template: BlogPost\n",{"title":5,"description":17,"ogTitle":5,"ogDescription":17,"noIndex":33,"ogImage":19,"ogUrl":34,"ogSiteName":35,"ogType":36,"canonicalUrls":34},false,"https://about.gitlab.com/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab","https://about.gitlab.com","記事","ja-jp/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab",[39,11,40,41,42],"tutorial","devsecops-platform","features","product",[22,23,24,25,26],"rHmLTWo5EvIvyGI9KXJN2KsJfefd8y-1OwG8hHbWX6o",{"data":46},{"logo":47,"freeTrial":52,"sales":57,"login":62,"items":67,"search":376,"minimal":409,"duo":426,"switchNav":435,"pricingDeployment":446},{"config":48},{"href":49,"dataGaName":50,"dataGaLocation":51},"/ja-jp/","gitlab logo","header",{"text":53,"config":54},"無料トライアルを開始",{"href":55,"dataGaName":56,"dataGaLocation":51},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/ja-jp&glm_content=default-saas-trial/","free trial",{"text":58,"config":59},"お問い合わせ",{"href":60,"dataGaName":61,"dataGaLocation":51},"/ja-jp/sales/","sales",{"text":63,"config":64},"サインイン",{"href":65,"dataGaName":66,"dataGaLocation":51},"https://gitlab.com/users/sign_in/","sign in",[68,95,192,197,298,358],{"text":69,"config":70,"cards":72},"プラットフォーム",{"dataNavLevelOne":71},"platform",[73,79,87],{"title":69,"description":74,"link":75},"DevSecOpsに特化したインテリジェントオーケストレーションプラットフォーム",{"text":76,"config":77},"プラットフォームを探索",{"href":78,"dataGaName":71,"dataGaLocation":51},"/ja-jp/platform/",{"title":80,"description":81,"link":82},"GitLab Duo Agent Platform","ソフトウェアライフサイクル全体を支えるエージェント型AI",{"text":83,"config":84},"GitLab Duoのご紹介",{"href":85,"dataGaName":86,"dataGaLocation":51},"/ja-jp/gitlab-duo-agent-platform/","gitlab duo agent platform",{"title":88,"description":89,"link":90},"GitLabが選ばれる理由","エンタープライズがGitLabを選ぶ主な理由をご覧ください",{"text":91,"config":92},"詳細はこちら",{"href":93,"dataGaName":94,"dataGaLocation":51},"/ja-jp/why-gitlab/","why gitlab",{"text":96,"left":14,"config":97,"link":99,"lists":103,"footer":174},"製品",{"dataNavLevelOne":98},"solutions",{"text":100,"config":101},"すべてのソリューションを表示",{"href":102,"dataGaName":98,"dataGaLocation":51},"/ja-jp/solutions/",[104,129,152],{"title":105,"description":106,"link":107,"items":112},"自動化","CI/CDと自動化でデプロイを加速",{"config":108},{"icon":109,"href":110,"dataGaName":111,"dataGaLocation":51},"AutomatedCodeAlt","/ja-jp/solutions/delivery-automation/","automated software delivery",[113,117,120,125],{"text":114,"config":115},"CI/CD",{"href":116,"dataGaLocation":51,"dataGaName":114},"/ja-jp/solutions/continuous-integration/",{"text":80,"config":118},{"href":85,"dataGaLocation":51,"dataGaName":119},"gitlab duo agent platform - product menu",{"text":121,"config":122},"ソースコード管理",{"href":123,"dataGaLocation":51,"dataGaName":124},"/ja-jp/solutions/source-code-management/","Source Code Management",{"text":126,"config":127},"自動化されたソフトウェアデリバリー",{"href":110,"dataGaLocation":51,"dataGaName":128},"Automated software delivery",{"title":130,"description":131,"link":132,"items":137},"セキュリティ","セキュリティを犠牲にすることなくコード作成を高速化",{"config":133},{"href":134,"dataGaName":135,"dataGaLocation":51,"icon":136},"/ja-jp/solutions/application-security-testing/","security and compliance","ShieldCheckLight",[138,142,147],{"text":139,"config":140},"アプリケーションセキュリティテスト",{"href":134,"dataGaName":141,"dataGaLocation":51},"Application security testing",{"text":143,"config":144},"ソフトウェアサプライチェーンの安全性",{"href":145,"dataGaLocation":51,"dataGaName":146},"/ja-jp/solutions/supply-chain/","Software supply chain security",{"text":148,"config":149},"ソフトウェアコンプライアンス",{"href":150,"dataGaName":151,"dataGaLocation":51},"/ja-jp/solutions/software-compliance/","software compliance",{"title":153,"link":154,"items":159},"測定",{"config":155},{"icon":156,"href":157,"dataGaName":158,"dataGaLocation":51},"DigitalTransformation","/ja-jp/solutions/visibility-measurement/","visibility and measurement",[160,164,169],{"text":161,"config":162},"可視性と測定",{"href":157,"dataGaLocation":51,"dataGaName":163},"Visibility and Measurement",{"text":165,"config":166},"バリューストリーム管理",{"href":167,"dataGaLocation":51,"dataGaName":168},"/ja-jp/solutions/value-stream-management/","Value Stream Management",{"text":170,"config":171},"分析とインサイト",{"href":172,"dataGaLocation":51,"dataGaName":173},"/ja-jp/solutions/analytics-and-insights/","Analytics and insights",{"title":175,"items":176},"GitLabが活躍する場所",[177,182,187],{"text":178,"config":179},"大企業",{"href":180,"dataGaLocation":51,"dataGaName":181},"/ja-jp/enterprise/","enterprise",{"text":183,"config":184},"スモールビジネス",{"href":185,"dataGaLocation":51,"dataGaName":186},"/ja-jp/small-business/","small business",{"text":188,"config":189},"公共部門",{"href":190,"dataGaLocation":51,"dataGaName":191},"/ja-jp/solutions/public-sector/","public sector",{"text":193,"config":194},"価格",{"href":195,"dataGaName":196,"dataGaLocation":51,"dataNavLevelOne":196},"/ja-jp/pricing/","pricing",{"text":198,"config":199,"link":201,"lists":205,"feature":285},"リソース",{"dataNavLevelOne":200},"resources",{"text":202,"config":203},"すべてのリソースを表示",{"href":204,"dataGaName":200,"dataGaLocation":51},"/ja-jp/resources/",[206,239,257],{"title":207,"items":208},"はじめに",[209,214,219,224,229,234],{"text":210,"config":211},"インストール",{"href":212,"dataGaName":213,"dataGaLocation":51},"/ja-jp/install/","install",{"text":215,"config":216},"クイックスタートガイド",{"href":217,"dataGaName":218,"dataGaLocation":51},"/ja-jp/get-started/","quick setup checklists",{"text":220,"config":221},"学ぶ",{"href":222,"dataGaLocation":51,"dataGaName":223},"https://university.gitlab.com/","learn",{"text":225,"config":226},"製品ドキュメント",{"href":227,"dataGaName":228,"dataGaLocation":51},"https://docs.gitlab.com/ja-jp/","product documentation",{"text":230,"config":231},"ベストプラクティスビデオ",{"href":232,"dataGaName":233,"dataGaLocation":51},"/ja-jp/getting-started-videos/","best practice videos",{"text":235,"config":236},"インテグレーション",{"href":237,"dataGaName":238,"dataGaLocation":51},"/ja-jp/integrations/","integrations",{"title":240,"items":241},"検索する",[242,247,252],{"text":243,"config":244},"お客様成功事例",{"href":245,"dataGaName":246,"dataGaLocation":51},"/ja-jp/customers/","customer success stories",{"text":248,"config":249},"ブログ",{"href":250,"dataGaName":251,"dataGaLocation":51},"/ja-jp/blog/","blog",{"text":253,"config":254},"リモート",{"href":255,"dataGaName":256,"dataGaLocation":51},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"title":258,"items":259},"つなげる",[260,265,270,275,280],{"text":261,"config":262},"GitLabサービス",{"href":263,"dataGaName":264,"dataGaLocation":51},"/ja-jp/services/","services",{"text":266,"config":267},"コミュニティ",{"href":268,"dataGaName":269,"dataGaLocation":51},"/community/","community",{"text":271,"config":272},"フォーラム",{"href":273,"dataGaName":274,"dataGaLocation":51},"https://forum.gitlab.com/","forum",{"text":276,"config":277},"イベント",{"href":278,"dataGaName":279,"dataGaLocation":51},"/events/","events",{"text":281,"config":282},"パートナー",{"href":283,"dataGaName":284,"dataGaLocation":51},"/ja-jp/partners/","partners",{"background":286,"textColor":287,"text":288,"image":289,"link":293},"#2f2a6b","#fff","ソフトウェア開発の未来への洞察",{"altText":290,"config":291},"ソースプロモカード",{"src":292},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758208064/dzl0dbift9xdizyelkk4.svg",{"text":294,"config":295},"最新情報を読む",{"href":296,"dataGaName":297,"dataGaLocation":51},"/ja-jp/the-source/","the source",{"text":299,"config":300,"lists":302},"会社情報",{"dataNavLevelOne":301},"company",[303],{"items":304},[305,310,316,318,323,328,333,338,343,348,353],{"text":306,"config":307},"GitLabについて",{"href":308,"dataGaName":309,"dataGaLocation":51},"/ja-jp/company/","about",{"text":311,"config":312,"footerGa":315},"採用情報",{"href":313,"dataGaName":314,"dataGaLocation":51},"/jobs/","jobs",{"dataGaName":314},{"text":276,"config":317},{"href":278,"dataGaName":279,"dataGaLocation":51},{"text":319,"config":320},"経営陣",{"href":321,"dataGaName":322,"dataGaLocation":51},"/company/team/e-group/","leadership",{"text":324,"config":325},"チーム",{"href":326,"dataGaName":327,"dataGaLocation":51},"/company/team/","team",{"text":329,"config":330},"ハンドブック",{"href":331,"dataGaName":332,"dataGaLocation":51},"https://handbook.gitlab.com/","handbook",{"text":334,"config":335},"投資家向け情報",{"href":336,"dataGaName":337,"dataGaLocation":51},"https://ir.gitlab.com/","investor relations",{"text":339,"config":340},"トラストセンター",{"href":341,"dataGaName":342,"dataGaLocation":51},"/ja-jp/security/","trust center",{"text":344,"config":345},"AI Transparency Center",{"href":346,"dataGaName":347,"dataGaLocation":51},"/ja-jp/ai-transparency-center/","ai transparency center",{"text":349,"config":350},"ニュースレター",{"href":351,"dataGaName":352,"dataGaLocation":51},"/company/contact/#contact-forms","newsletter",{"text":354,"config":355},"プレス",{"href":356,"dataGaName":357,"dataGaLocation":51},"/press/","press",{"text":58,"config":359,"lists":360},{"dataNavLevelOne":301},[361],{"items":362},[363,366,371],{"text":58,"config":364},{"href":60,"dataGaName":365,"dataGaLocation":51},"talk to sales",{"text":367,"config":368},"サポートを受ける",{"href":369,"dataGaName":370,"dataGaLocation":51},"https://support.gitlab.com","support portal",{"text":372,"config":373},"カスタマーポータル",{"href":374,"dataGaName":375,"dataGaLocation":51},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"close":377,"login":378,"suggestions":385},"閉じる",{"text":379,"link":380},"リポジトリとプロジェクトを検索するには、次にログインします",{"text":381,"config":382},"GitLab.com",{"href":65,"dataGaName":383,"dataGaLocation":384},"search login","search",{"text":386,"default":387},"提案",[388,390,395,397,401,405],{"text":80,"config":389},{"href":85,"dataGaName":80,"dataGaLocation":384},{"text":391,"config":392},"コード提案（AI）",{"href":393,"dataGaName":394,"dataGaLocation":384},"/ja-jp/solutions/code-suggestions/","Code Suggestions (AI)",{"text":114,"config":396},{"href":116,"dataGaName":114,"dataGaLocation":384},{"text":398,"config":399},"GitLab on AWS",{"href":400,"dataGaName":398,"dataGaLocation":384},"/ja-jp/partners/technology-partners/aws/",{"text":402,"config":403},"GitLab on Google Cloud",{"href":404,"dataGaName":402,"dataGaLocation":384},"/ja-jp/partners/technology-partners/google-cloud-platform/",{"text":406,"config":407},"GitLabを選ぶ理由",{"href":93,"dataGaName":408,"dataGaLocation":384},"Why GitLab?",{"freeTrial":410,"mobileIcon":414,"desktopIcon":419,"secondaryButton":422},{"text":53,"config":411},{"href":412,"dataGaName":56,"dataGaLocation":413},"https://gitlab.com/-/trials/new/","nav",{"altText":415,"config":416},"GitLabアイコン",{"src":417,"dataGaName":418,"dataGaLocation":413},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203874/jypbw1jx72aexsoohd7x.svg","gitlab icon",{"altText":415,"config":420},{"src":421,"dataGaName":418,"dataGaLocation":413},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203875/gs4c8p8opsgvflgkswz9.svg",{"text":207,"config":423},{"href":424,"dataGaName":425,"dataGaLocation":413},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/ja-jp/get-started/","get started",{"freeTrial":427,"mobileIcon":431,"desktopIcon":433},{"text":428,"config":429},"GitLab Duoの詳細について",{"href":85,"dataGaName":430,"dataGaLocation":413},"gitlab duo",{"altText":415,"config":432},{"src":417,"dataGaName":418,"dataGaLocation":413},{"altText":415,"config":434},{"src":421,"dataGaName":418,"dataGaLocation":413},{"button":436,"mobileIcon":441,"desktopIcon":443},{"text":437,"config":438},"/switch",{"href":439,"dataGaName":440,"dataGaLocation":413},"#contact","switch",{"altText":415,"config":442},{"src":417,"dataGaName":418,"dataGaLocation":413},{"altText":415,"config":444},{"src":445,"dataGaName":418,"dataGaLocation":413},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1773335277/ohhpiuoxoldryzrnhfrh.png",{"freeTrial":447,"mobileIcon":452,"desktopIcon":454},{"text":448,"config":449},"料金ページに戻る",{"href":195,"dataGaName":450,"dataGaLocation":413,"icon":451},"back to pricing","GoBack",{"altText":415,"config":453},{"src":417,"dataGaName":418,"dataGaLocation":413},{"altText":415,"config":455},{"src":421,"dataGaName":418,"dataGaLocation":413},{"title":457,"button":458,"config":463},"エージェント型AIがソフトウェア配信をどのように変革するかをご覧ください",{"text":459,"config":460},"GitLab Transcendを今すぐ視聴",{"href":461,"dataGaName":462,"dataGaLocation":51},"/ja-jp/events/transcend/virtual/","transcend event",{"layout":464,"icon":465,"disabled":14},"release","AiStar",{"data":467},{"text":468,"source":469,"edit":475,"contribute":480,"config":485,"items":490,"minimal":693},"GitはSoftware Freedom Conservancyの商標です。当社は「GitLab」をライセンスに基づいて使用しています",{"text":470,"config":471},"ページのソースを表示",{"href":472,"dataGaName":473,"dataGaLocation":474},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":476,"config":477},"このページを編集",{"href":478,"dataGaName":479,"dataGaLocation":474},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":481,"config":482},"ご協力をお願いします",{"href":483,"dataGaName":484,"dataGaLocation":474},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":486,"facebook":487,"youtube":488,"linkedin":489},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[491,536,589,632,659],{"title":193,"links":492,"subMenu":507},[493,497,502],{"text":494,"config":495},"プランの表示",{"href":195,"dataGaName":496,"dataGaLocation":474},"view plans",{"text":498,"config":499},"Premiumを選ぶ理由",{"href":500,"dataGaName":501,"dataGaLocation":474},"/ja-jp/pricing/premium/","why premium",{"text":503,"config":504},"Ultimateを選ぶ理由",{"href":505,"dataGaName":506,"dataGaLocation":474},"/ja-jp/pricing/ultimate/","why ultimate",[508],{"title":58,"links":509},[510,512,514,516,521,526,531],{"text":58,"config":511},{"href":60,"dataGaName":61,"dataGaLocation":474},{"text":367,"config":513},{"href":369,"dataGaName":370,"dataGaLocation":474},{"text":372,"config":515},{"href":374,"dataGaName":375,"dataGaLocation":474},{"text":517,"config":518},"ステータス",{"href":519,"dataGaName":520,"dataGaLocation":474},"https://status.gitlab.com/","status",{"text":522,"config":523},"利用規約",{"href":524,"dataGaName":525,"dataGaLocation":474},"/terms/","terms of use",{"text":527,"config":528},"プライバシーに関する声明",{"href":529,"dataGaName":530,"dataGaLocation":474},"/ja-jp/privacy/","privacy statement",{"text":532,"config":533},"Cookie 優先設定",{"dataGaName":534,"dataGaLocation":474,"id":535,"isOneTrustButton":14},"cookie preferences","ot-sdk-btn",{"title":96,"links":537,"subMenu":546},[538,542],{"text":539,"config":540},"DevSecOpsプラットフォーム",{"href":78,"dataGaName":541,"dataGaLocation":474},"devsecops platform",{"text":543,"config":544},"AI支援開発",{"href":85,"dataGaName":545,"dataGaLocation":474},"ai-assisted development",[547],{"title":548,"links":549},"トピック",[550,554,559,564,569,574,579,584],{"text":114,"config":551},{"href":552,"dataGaName":553,"dataGaLocation":474},"/ja-jp/topics/ci-cd/","cicd",{"text":555,"config":556},"GitOps",{"href":557,"dataGaName":558,"dataGaLocation":474},"/ja-jp/topics/gitops/","gitops",{"text":560,"config":561},"DevOps",{"href":562,"dataGaName":563,"dataGaLocation":474},"/ja-jp/topics/devops/","devops",{"text":565,"config":566},"バージョン管理",{"href":567,"dataGaName":568,"dataGaLocation":474},"/ja-jp/topics/version-control/","version control",{"text":570,"config":571},"DevSecOps",{"href":572,"dataGaName":573,"dataGaLocation":474},"/ja-jp/topics/devsecops/","devsecops",{"text":575,"config":576},"クラウドネイティブ",{"href":577,"dataGaName":578,"dataGaLocation":474},"/ja-jp/topics/cloud-native/","cloud native",{"text":580,"config":581},"コーディングのためのAI",{"href":582,"dataGaName":583,"dataGaLocation":474},"/ja-jp/topics/devops/ai-for-coding/","ai for coding",{"text":585,"config":586},"エージェント型AI",{"href":587,"dataGaName":588,"dataGaLocation":474},"/ja-jp/topics/agentic-ai/","agentic ai",{"title":590,"links":591},"ソリューション",[592,595,597,602,606,609,612,615,617,619,622,627],{"text":139,"config":593},{"href":134,"dataGaName":594,"dataGaLocation":474},"Application Security Testing",{"text":126,"config":596},{"href":110,"dataGaName":111,"dataGaLocation":474},{"text":598,"config":599},"アジャイル開発",{"href":600,"dataGaName":601,"dataGaLocation":474},"/ja-jp/solutions/agile-delivery/","agile delivery",{"text":603,"config":604},"SCM",{"href":123,"dataGaName":605,"dataGaLocation":474},"source code management",{"text":114,"config":607},{"href":116,"dataGaName":608,"dataGaLocation":474},"continuous integration & delivery",{"text":165,"config":610},{"href":167,"dataGaName":611,"dataGaLocation":474},"value stream management",{"text":555,"config":613},{"href":614,"dataGaName":558,"dataGaLocation":474},"/ja-jp/solutions/gitops/",{"text":178,"config":616},{"href":180,"dataGaName":181,"dataGaLocation":474},{"text":183,"config":618},{"href":185,"dataGaName":186,"dataGaLocation":474},{"text":620,"config":621},"公共機関",{"href":190,"dataGaName":191,"dataGaLocation":474},{"text":623,"config":624},"教育",{"href":625,"dataGaName":626,"dataGaLocation":474},"/ja-jp/solutions/education/","education",{"text":628,"config":629},"金融サービス",{"href":630,"dataGaName":631,"dataGaLocation":474},"/ja-jp/solutions/finance/","financial services",{"title":198,"links":633},[634,636,638,640,643,645,647,649,651,653,655,657],{"text":210,"config":635},{"href":212,"dataGaName":213,"dataGaLocation":474},{"text":215,"config":637},{"href":217,"dataGaName":218,"dataGaLocation":474},{"text":220,"config":639},{"href":222,"dataGaName":223,"dataGaLocation":474},{"text":225,"config":641},{"href":227,"dataGaName":642,"dataGaLocation":474},"docs",{"text":248,"config":644},{"href":250,"dataGaName":251,"dataGaLocation":474},{"text":243,"config":646},{"href":245,"dataGaName":246,"dataGaLocation":474},{"text":253,"config":648},{"href":255,"dataGaName":256,"dataGaLocation":474},{"text":261,"config":650},{"href":263,"dataGaName":264,"dataGaLocation":474},{"text":266,"config":652},{"href":268,"dataGaName":269,"dataGaLocation":474},{"text":271,"config":654},{"href":273,"dataGaName":274,"dataGaLocation":474},{"text":276,"config":656},{"href":278,"dataGaName":279,"dataGaLocation":474},{"text":281,"config":658},{"href":283,"dataGaName":284,"dataGaLocation":474},{"title":299,"links":660},[661,663,665,667,669,671,673,677,682,684,686,688],{"text":306,"config":662},{"href":308,"dataGaName":301,"dataGaLocation":474},{"text":311,"config":664},{"href":313,"dataGaName":314,"dataGaLocation":474},{"text":319,"config":666},{"href":321,"dataGaName":322,"dataGaLocation":474},{"text":324,"config":668},{"href":326,"dataGaName":327,"dataGaLocation":474},{"text":329,"config":670},{"href":331,"dataGaName":332,"dataGaLocation":474},{"text":334,"config":672},{"href":336,"dataGaName":337,"dataGaLocation":474},{"text":674,"config":675},"Sustainability",{"href":676,"dataGaName":674,"dataGaLocation":474},"/sustainability/",{"text":678,"config":679},"ダイバーシティ、インクルージョン、ビロンギング（DIB）",{"href":680,"dataGaName":681,"dataGaLocation":474},"/ja-jp/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":339,"config":683},{"href":341,"dataGaName":342,"dataGaLocation":474},{"text":349,"config":685},{"href":351,"dataGaName":352,"dataGaLocation":474},{"text":354,"config":687},{"href":356,"dataGaName":357,"dataGaLocation":474},{"text":689,"config":690},"現代奴隷制の透明性に関する声明",{"href":691,"dataGaName":692,"dataGaLocation":474},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"items":694},[695,697,700],{"text":522,"config":696},{"href":524,"dataGaName":525,"dataGaLocation":474},{"text":698,"config":699},"Cookieの設定",{"dataGaName":534,"dataGaLocation":474,"id":535,"isOneTrustButton":14},{"text":527,"config":701},{"href":529,"dataGaName":530,"dataGaLocation":474},[703],{"id":704,"title":9,"body":28,"config":705,"content":707,"description":28,"extension":27,"meta":711,"navigation":14,"path":712,"seo":713,"stem":714,"__hash__":715},"blogAuthors/en-us/blog/authors/fernando-diaz.yml",{"template":706},"BlogAuthor",{"name":9,"config":708},{"headshot":709,"ctfId":710},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1749659556/Blog/Author%20Headshots/fern_diaz.png","fjdiaz",{},"/en-us/blog/authors/fernando-diaz",{},"en-us/blog/authors/fernando-diaz","lxRJIOydP4_yzYZvsPcuQevP9AYAKREF7i8QmmdnOWc",[717,730,742],{"content":718,"config":728},{"heroImage":719,"body":720,"authors":721,"updatedDate":723,"date":724,"title":725,"tags":726,"description":727,"category":11},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1773843921/rm35fx4gylrsu9alf2fx.png","GitLab 18.10では、脆弱性管理の品質とスピードの向上に焦点を当て、AIを活用したさまざまな新しいセキュリティ機能が導入されました。これらの機能を組み合わせることで、デベロッパーが誤検出の調査に費やす時間を削減し、自動修正をワークフローに直接組み込めるようになるため、セキュリティの専門知識がなくても脆弱性を修正できる環境が実現します。\n\n新機能の概要は以下のとおりです。\n\n* **[静的アプリケーションセキュリティテスト（SAST）の誤検出判定](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/false_positive_detection/)** **の一般提供が開始されました。** このフローでは、LLMによるエージェント型推論を使用して、脆弱性が誤検出である可能性を判定できるため、セキュリティチームと開発チームは重大な脆弱性の修正に優先的に取り組めるようになります。\n* **[エージェント型SAST脆弱性の修正](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/agentic_vulnerability_resolution/)** **がベータ版として提供開始されました。** エージェント型SAST脆弱性解決は、検証済みのSAST脆弱性に対する修正案を含むマージリクエストを自動的に作成します。修正までの時間が短縮され、高度なセキュリティ専門知識の必要になるケースが少なくなります。\n* **[シークレットの誤検出判定機能](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/secret_false_positive_detection/)** **がベータ版として提供開始されました。** このフローは、AIを活用したノイズ削減をシークレット検出にも適用し、ダミーやテスト用のシークレットにフラグを付けてレビューの負担を軽減します。\n\nこれらのフローは、GitLab Duo Agent Platformを使用するGitLab Ultimateのお客様にご利用いただけます。\n\n## SASTの誤検出判定機能でトリアージ時間を短縮\n\n従来のSASTスキャナーは、コードパスが到達可能かどうかや、フレームワークが既にリスクを処理しているかどうかに関係なく、疑わしいコードパターンにすべてフラグ付けしていました。ランタイムコンテキストがなければ、実際の脆弱性と危険に見えるだけの安全なコードを区別できません。\n\nそのため、デベロッパーは誤検出と判明するまで、検出結果の調査に何時間も費やす可能性がありました。時間の経過とともにレポートへの信頼が低下し、実際のリスクの修正を担当するチームの作業が遅延する原因となっていたのです。\n\n各SASTスキャンの後、GitLab Duo Agent Platformは新しい「致命的」と「高」の重大度の検出結果を自動的に分析し、以下の情報を付加します。\n\n* 検出結果が誤検出である可能性を示す信頼度スコア\n* AI生成による判定理由の説明\n* UIにより「誤検出の可能性が高い」と「実際の脆弱性の可能性が高い」を簡単に目視で識別できるバッジ\n\nこれらの検出結果は、以下のように[脆弱性レポート](https://docs.gitlab.com/ja-jp/user/application_security/vulnerability_report/)に表示されます。レポートをフィルタリングして「誤検出ではない」とマークされた検出結果を絞り込むことで、チームはノイズの選別ではなく実際の脆弱性への対応に時間を使えるようになります。\n\n![脆弱性レポート](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773844787/i0eod01p7gawflllkgsr.png)\n\nGitLab Duo Agent Platformの評価はあくまで推奨事項です。すべての誤検出の判定はユーザーが管理でき、エージェントの推論をいつでも監査して信頼性の高いモデルを構築できます。\n\n## 脆弱性を自動修正に変換\n\n実際に脆弱性であると判明しても、まだ作業の半分が完了したにすぎません。修正には、コードパスの理解、安全なパッチの作成、他の部分への影響がないことの確認が必要です。\n\nSASTの誤検出判定フローによって脆弱性が誤検出ではない可能性が高いと判定された場合、エージェント型SAST脆弱性解決フローが自動的に以下を実行します。\n\n1. リポジトリから脆弱なコードとその周辺のコンテキストを読み取る\n2. 高品質な修正案を生成する\n3. 自動テストによって修正を検証する\n4. 以下を含む修正案のマージリクエストを作成する：\n\n   * 具体的なコード変更\n   * 信頼度スコア\n   * 変更内容とその理由の説明\n\nこのデモでは、GitLabがSAST脆弱性を検出からレビュー可能なマージリクエストまで自動的に処理する様子をご覧いただけます。エージェントがコードを読み取り、修正を生成・検証し、明確で説明可能な変更を含むMRを作成する流れをご確認ください。デベロッパーにセキュリティの専門知識がなくても、より迅速に修正を行えるようになります。\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1174573325?badge=0&amp;autopause=0&amp;player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"GitLab 18.10 AI SAST False Positive Auto Remediation\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\nAI生成の提案と同様に、マージを行う前に提案されたマージリクエストを慎重にレビューしてください。\n\n## 実際のシークレットを特定\n\nシークレット検出は、チームが結果を信頼できて初めて有用なものとなります。レポートにテスト用の認証情報やプレースホルダーの値、サンプルトークンが大量に含まれていると、デベロッパーは実際の漏洩を修正するよりも、ノイズのレビューに時間を浪費してしまう可能性があります。その結果、修正が遅延し、スキャンへの信頼が低下しかねません。\n\nシークレットの誤検出判定機能は、チームが重要なシークレットに集中し、より迅速にリスクを軽減できるよう支援します。この機能がデフォルトブランチで実行されると、自動的に以下が行われます。\n\n1. 各検出結果を分析し、テスト用の認証情報、サンプル値、ダミーシークレットの可能性を特定する\n2. 検出結果が実際のリスクか誤検出の可能性が高いかの信頼度スコアを付与する\n3. 実際のシークレット、ノイズのいずれかとして扱われる理由の説明を生成する\n4. 脆弱性レポートにバッジを追加し、デベロッパーがステータスを一目で確認できるようにする\n\nデベロッパーは、脆弱性レポートからシークレット検出の結果に対して「**誤検出を確認**」を選択することで、この分析を手動でトリガーすることもできます。リスクのない検出結果を除外し、実際のシークレットへの対応をより速やかに開始できます。\n\n## AIを活用したセキュリティ機能を今すぐお試しください\n\nGitLab 18.10では、SASTとシークレット検出における誤検出ノイズの削減から、修正案を含むマージリクエストの自動生成まで、脆弱性ワークフロー全体をカバーする機能が導入されました。\n\nAIを活用したセキュリティ機能がレビュー時間の短縮と検出結果のマージ可能な修正への変換にどのように役立つかをご確認いただくには、[GitLab Duo Agent Platformの無料トライアルを今すぐ開始](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/?utm_medium=blog&utm_source=blog&utm_campaign=eg_apac_brand_x_x_ja_gitlabjapanblogseo_gitlab-18-10-brings-ai-native-triage-and-remediation)してください。",[722],"Alisa Ho","2026-03-25","2026-03-19","GitLab 18.10がAIネイティブなトリアージと修正機能を導入",[42,11,41],"ノイズを排除して実際の脆弱性を特定し、修正案につなげるGitLab Duo Agent Platformの機能をご紹介します。",{"featured":33,"template":15,"slug":729},"gitlab-18-10-brings-ai-native-triage-and-remediation",{"content":731,"config":740},{"heroImage":732,"body":733,"authors":734,"updatedDate":735,"date":736,"title":737,"tags":738,"description":739,"category":11},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772721753/frfsm1qfscwrmsyzj1qn.png","コンテナの脆弱性は、次のデプロイメントを待ってくれるわけではありません。イメージのビルド時や、コンテナが本番環境で稼働している間など、あらゆるタイミングで発生する可能性があります。\nGitLab はこうした現実に対応するため、コンテナライフサイクルのさまざまな段階に対応した複数のコンテナスキャンアプローチを提供しています。\n\n本ガイドでは、GitLab が提供するコンテナスキャンの種類、各機能の有効化方法、および初期設定に役立つ一般的な構成についてご説明します。\n\n## コンテナスキャンが重要な理由\n\nコンテナイメージのセキュリティ脆弱性は、アプリケーションライフサイクル全体にわたってリスクをもたらします。ベースイメージ、OSパッケージ、アプリケーションの依存関係はいずれも、攻撃者が積極的に悪用する脆弱性を含んでいる可能性があります。コンテナスキャンはこれらのリスクを早期に、本番環境に到達する前に検出し、利用可能な場合は修正方法を提供します。\n\nコンテナスキャンはソフトウェアコンポジション分析（SCA）の重要なコンポーネントであり、コンテナ化されたアプリケーションが依存する外部依存関係を把握し、保護するために役立ちます。\n\n## GitLab コンテナスキャンの5つの種類\n\nGitLab は5つの異なるコンテナスキャンアプローチを提供しており、それぞれがセキュリティ戦略において固有の目的を果たします。\n\n### 1. パイプラインベースのコンテナスキャン\n\n* 機能：CI/CDパイプラインの実行中にコンテナイメージをスキャンし、デプロイ前に脆弱性を検出します。\n* 最適な用途：シフトレフトセキュリティ、脆弱性のあるイメージが本番環境に到達するのを防止\n* 利用可能なプラン：Free、Premium、Ultimate（Ultimateではより高度な機能を利用可能）\n* [ドキュメント](https://docs.gitlab.com/ja-jp/user/application_security/container_scanning/)\n\nGitLab は Trivy セキュリティスキャナーを使用してコンテナイメージの既知の脆弱性を分析します。パイプラインの実行時にスキャナーがイメージを検査し、詳細なレポートを生成します。\n\n#### パイプラインベースのコンテナスキャンを有効にする方法\n\n**オプション A：事前設定済みのマージリクエスト**\n\n* プロジェクトで **Secure > セキュリティ設定** に移動します。\n* 「コンテナスキャン」の行を見つけます。\n* **マージリクエストで設定** を選択します。\n* 必要な設定を含むマージリクエストが自動的に作成されます。\n\n**オプション B：手動設定**\n\n* `.gitlab-ci.yml` に以下を追加します。\n\n```yaml\ninclude:\n  - template: Jobs/Container-Scanning.gitlab-ci.yml\n```\n\n#### 一般的な設定\n\n**特定のイメージをスキャンする：**\n\n特定のイメージをスキャンするには、`container_scanning` ジョブの `CS_IMAGE` 変数を上書きします。\n\n```yaml\ninclude:\n  - template: Jobs/Container-Scanning.gitlab-ci.yml\n\ncontainer_scanning:\n  variables:\n    CS_IMAGE: myregistry.com/myapp:latest\n```\n\n**重大度のしきい値でフィルタリングする：**\n\n特定の重大度基準を持つ脆弱性のみを検出するには、`container_scanning` ジョブの `CS_SEVERITY_THRESHOLD` 変数を上書きします。以下の例では、重大度が **High** 以上の脆弱性のみが表示されます。\n\n```yaml\ninclude:\n  - template: Jobs/Container-Scanning.gitlab-ci.yml\n\ncontainer_scanning:\n  variables:\n    CS_SEVERITY_THRESHOLD: \"HIGH\"\n```\n\n#### マージリクエストでの脆弱性の確認\n\nマージリクエスト内でコンテナスキャンの脆弱性を直接確認することで、セキュリティレビューをシームレスかつ効率的に実施できます。CI/CDパイプラインにコンテナスキャンを設定すると、GitLab はマージリクエストの[セキュリティウィジェット](https://docs.gitlab.com/ja-jp/user/project/merge_requests/widgets/#application-security-scanning)に検出された脆弱性を自動的に表示します。\n\n![マージリクエストに表示されたコンテナスキャンの脆弱性](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547514/lt6elcq6jexdhqatdy8l.png \"マージリクエストに表示されたコンテナスキャンの脆弱性\")\n\n* マージリクエストの「セキュリティスキャン」セクションまでスクロールすると、コンテナイメージで新たに検出された脆弱性と既存の脆弱性の概要が確認できます。\n* **脆弱性** をクリックすると、重大度レベル、影響を受けるパッケージ、利用可能な修正ガイダンスなど、検出内容の詳細情報にアクセスできます。\n\n![GitLab セキュリティ - MRでの詳細表示](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547514/hplihdlekc11uvpfih1p.png)\n\n![GitLab セキュリティ - MRでの詳細表示](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547513/jnxbe7uld8wfeezboifs.png \"MRでのコンテナスキャン脆弱性の詳細\")\n\nこの可視性により、開発者とセキュリティチームはコンテナの脆弱性が本番環境に到達する前に発見・対処できるようになり、セキュリティがコードレビュープロセスに統合されます。\n\n#### 脆弱性レポートでの脆弱性の確認\n\nマージリクエストのレビューに加え、GitLab はプロジェクト内のすべてのコンテナスキャン結果を一元的に確認できる[脆弱性レポート](https://docs.gitlab.com/ja-jp/user/application_security/vulnerability_report/)を提供しており、セキュリティチームに包括的な可視性をもたらします。\n\n![コンテナスキャンでフィルタリングされた脆弱性レポート](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547524/gagau279fzfgjpnvipm5.png \"コンテナスキャンでフィルタリングされた脆弱性レポート\")\n\n* プロジェクトのサイドバーで **セキュリティとコンプライアンス > 脆弱性レポート** に移動してレポートにアクセスします。\n* ここでは、ブランチ全体で検出されたすべてのコンテナ脆弱性が集約されて表示され、重大度、ステータス、スキャナーの種類、特定のコンテナイメージでフィルタリングする強力なオプションが利用できます。\n* 脆弱性をクリックすると、脆弱性ページにアクセスできます。\n\n![脆弱性ページ - 1番目のビュー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547520/e1woxupyoajhrpzrlylj.png)\n\n![脆弱性ページ - 2番目のビュー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547521/idzcftcgjc8eryixnbjn.png)\n\n![脆弱性ページ - 3番目のビュー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547522/mbbwbbprtf9anqqola10.png \"コンテナスキャン脆弱性の詳細\")\n\n[脆弱性の詳細](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/)では、影響を受けるコンテナイメージとレイヤーが正確に示されるため、脆弱性の発生源を容易に追跡できます。脆弱性をチームメンバーに割り当て、ステータスを変更（検出済み、確認済み、解決済み、却下済み）し、コラボレーションのためのコメントを追加し、修正作業の追跡のために関連するイシューをリンクすることができます。\n\nこのワークフローにより、脆弱性管理がスプレッドシートによる管理から開発プロセスの一部へと変わり、コンテナセキュリティの検出結果が体系的に追跡・優先順位付け・解決されるようになります。\n\n#### 依存関係リストの確認\n\nGitLab の[依存関係リスト](https://docs.gitlab.com/ja-jp/user/application_security/dependency_list/)は、コンテナイメージ内のすべてのコンポーネントをカタログ化した包括的なソフトウェア部品表（SBOM）を提供し、ソフトウェアサプライチェーンの完全な透明性をもたらします。\n\n* **セキュリティとコンプライアンス > 依存関係リスト** に移動すると、プロジェクト全体でコンテナスキャンが検出したすべてのパッケージ、ライブラリ、依存関係のインベントリにアクセスできます。\n* このビューは、ベースOSパッケージからアプリケーションレベルの依存関係まで、コンテナ内で実際に稼働しているものを把握するために非常に役立ちます。\n\n![GitLab 依存関係リスト](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547513/vjg6dk3nhajqamplroji.png \"GitLab 依存関係リスト（SBOM）\")\n\nパッケージマネージャー、ライセンスの種類、または脆弱性のステータスでリストをフィルタリングすることで、セキュリティリスクやコンプライアンス上の問題をもたらすコンポーネントを素早く特定できます。各依存関係エントリには関連する脆弱性が表示されるため、単独の検出結果としてではなく、実際のソフトウェアコンポーネントのコンテキストでセキュリティの問題を把握できます。\n\n### 2. レジストリ向けコンテナスキャン\n\n* 機能：`latest` タグで GitLab コンテナレジストリにプッシュされたイメージを自動的にスキャンします。\n* 最適な用途：手動のパイプラインを実行することなく、レジストリイメージの継続的なモニタリングを実施\n* 利用可能なプラン：Ultimate のみ\n* [ドキュメント](https://docs.gitlab.com/ja-jp/user/application_security/container_scanning/#container-scanning-for-registry)\n\n`latest` タグが付いたコンテナイメージをプッシュすると、GitLab のセキュリティポリシーボットがデフォルトブランチに対してスキャンを自動的にトリガーします。パイプラインベースのスキャンとは異なり、このアプローチは継続的脆弱性スキャンと連携して、新たに公開されたアドバイザリーを監視します。\n\n#### レジストリ向けコンテナスキャンを有効にする方法\n\n1. **Secure > セキュリティ設定** に移動します。\n2. **レジストリ向けコンテナスキャン** セクションまでスクロールします。\n3. 機能をオンに切り替えます。\n\n![レジストリ向けコンテナスキャン](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547512/vntrlhtmsh1ecnwni5ji.png \"レジストリ向けコンテナスキャンの切り替えスイッチ\")\n\n#### 前提条件\n\n* プロジェクトのメンテナーロール以上\n* プロジェクトが空でないこと（デフォルトブランチに少なくとも1つのコミットが必要）\n* コンテナレジストリの通知が設定済みであること\n* パッケージメタデータデータベースが設定済みであること（GitLab.com ではデフォルトで有効）\n\n脆弱性は脆弱性レポートの **コンテナレジストリの脆弱性** タブに表示されます。\n\n### 3. マルチコンテナスキャン\n\n* 機能：単一のパイプライン内で複数のコンテナイメージを並行してスキャンします。\n* 最適な用途：マイクロサービスアーキテクチャや複数のコンテナイメージを持つプロジェクト\n* 利用可能なプラン：Free、Premium、Ultimate（現在ベータ版）\n* [ドキュメント](https://docs.gitlab.com/ja-jp/user/application_security/container_scanning/multi_container_scanning/)\n\nマルチコンテナスキャンは動的な子パイプラインを使用してスキャンを並行実行するため、複数のイメージをスキャンする際のパイプライン全体の実行時間を大幅に短縮できます。\n\n#### マルチコンテナスキャンを有効にする方法\n\n1. リポジトリのルートに `.gitlab-multi-image.yml` ファイルを作成します。\n\n```yaml\nscanTargets:\n  - name: alpine\n    tag: \"3.19\"\n  - name: python\n    tag: \"3.9-slim\"\n  - name: nginx\n    tag: \"1.25\"\n```\n\n2. `.gitlab-ci.yml` にテンプレートを追加します。\n\n```yaml\ninclude:\n  - template: Jobs/Multi-Container-Scanning.latest.gitlab-ci.yml\n```\n\n#### 詳細設定\n\n**プライベートレジストリからイメージをスキャンする：**\n\n```yaml\nauths:\n  registry.gitlab.com:\n    username: ${CI_REGISTRY_USER}\n    password: ${CI_REGISTRY_PASSWORD}\n\nscanTargets:\n  - name: registry.gitlab.com/private/image\n    tag: latest\n```\n\n**ライセンス情報を含める：**\n\n```yaml\nincludeLicenses: true\n\nscanTargets:\n  - name: postgres\n    tag: \"15-alpine\"\n```\n\n### 4. 継続的脆弱性スキャン\n\n* 機能：パイプラインを実行することなく、新しいセキュリティアドバイザリーが公開された際に自動的に脆弱性を作成します。\n* 最適な用途：デプロイ間のプロアクティブなセキュリティモニタリング\n* 利用可能なプラン：Ultimate のみ\n* [ドキュメント](https://docs.gitlab.com/ja-jp/user/application_security/continuous_vulnerability_scanning/)\n\n従来のスキャンは、スキャン実行時の脆弱性しか検出できません。しかし、昨日スキャンしたパッケージに対して、明日新しい CVE が公開された場合はどうなるでしょうか。継続的脆弱性スキャンは、GitLab アドバイザリーデータベースを監視し、新しいアドバイザリーがコンポーネントに影響を与える際に自動的に脆弱性レコードを作成することでこの課題を解決します。\n\n#### 仕組み\n\n1. コンテナスキャンまたは依存関係スキャンジョブが CycloneDX SBOM を生成します。\n2. GitLab はこの SBOM からプロジェクトのコンポーネントを登録します。\n3. 新しいアドバイザリーが公開されると、GitLab はコンポーネントが影響を受けるかどうかを確認します。\n4. 脆弱性レポートに脆弱性が自動的に作成されます。\n\n#### 重要な考慮事項\n\n* スキャンは CI パイプラインではなく、バックグラウンドジョブ（Sidekiq）経由で実行されます。\n* 新しいコンポーネント検出には、過去14日以内に公開されたアドバイザリーのみが対象となります。\n* 脆弱性では「GitLab SBoM Vulnerability Scanner」がスキャナー名として使用されます。\n* 脆弱性を解決済みとしてマークするには、引き続きパイプラインベースのスキャンを実行する必要があります。\n\n### 5. 運用コンテナスキャン\n\n* 機能：スケジュールされた間隔で Kubernetes クラスター内の稼働中のコンテナをスキャンします。\n* 最適な用途：デプロイ後のセキュリティモニタリングとランタイム脆弱性の検出\n* 利用可能なプラン：Ultimate のみ\n* [ドキュメント](https://docs.gitlab.com/ja-jp/user/clusters/agent/vulnerabilities/)\n\n運用コンテナスキャンは、ビルド時のセキュリティとランタイムセキュリティの間のギャップを埋めます。GitLab Agent for Kubernetes を使用して、クラスター内で実際に稼働しているコンテナをスキャンし、デプロイ後に発生する脆弱性を検出します。\n\n#### 運用コンテナスキャンを有効にする方法\n\n[GitLab Kubernetes Agent](https://docs.gitlab.com/ja-jp/user/clusters/agent/install/) を使用している場合、エージェント設定ファイルに以下を追加できます。\n\n```yaml\ncontainer_scanning:\n  cadence: '0 0 * * *'  # 毎日深夜0時\n  vulnerability_report:\n    namespaces:\n      include:\n        - production\n        - staging\n```\n\nまた、GitLab Kubernetes Agent によるスケジュールスキャンを強制する[スキャン実行ポリシー](https://docs.gitlab.com/ja-jp/user/clusters/agent/vulnerabilities/#enable-via-scan-execution-policies)を作成することもできます。\n\n![スキャン実行ポリシー - 運用コンテナスキャン](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547515/gsgvjcq4sas4dfc8ciqk.png \"運用コンテナスキャンのスキャン実行ポリシー条件\")\n\n#### 結果の確認\n\n* **運用 > Kubernetes クラスター** に移動します。\n* **エージェント** タブを選択し、エージェントを選択します。\n* **セキュリティ** タブを選択してクラスターの脆弱性を確認します。\n* 結果は **脆弱性レポート** の **運用上の脆弱性** タブにも表示されます。\n\n## GitLab セキュリティポリシーによるセキュリティ態勢の強化\n\nGitLab セキュリティポリシーを使用すると、自動化されたポリシー駆動型のコントロールを通じて、コンテナワークフロー全体で一貫したセキュリティ標準を適用できます。これらのポリシーは、要件を開発パイプラインに直接組み込むことでセキュリティをシフトレフトし、コードが本番環境に到達する前に脆弱性を検出・対処できるようにします。\n\n#### スキャン実行ポリシーとパイプラインポリシー\n\n[スキャン実行ポリシー](https://docs.gitlab.com/ja-jp/user/application_security/policies/scan_execution_policies/)は、プロジェクト全体でコンテナスキャンがいつ・どのように実行されるかを自動化します。すべてのマージリクエストでコンテナスキャンをトリガーし、メインブランチの定期的なスキャンをスケジュールするポリシーなどを定義できます。これらのポリシーにより、各プロジェクトの CI/CD パイプラインで手動でスキャンを設定することなく、包括的なカバレッジが確保されます。\n\n使用するスキャナーのバージョンを指定し、スキャンパラメーターを一元的に設定することで、新しいコンテナセキュリティの脅威に対応しながら組織全体の一貫性を維持できます。\n\n![スキャン実行ポリシーの設定](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547517/z36dntxslqem9udrynvx.png \"スキャン実行ポリシーの設定\")\n\n[パイプライン実行ポリシー](https://docs.gitlab.com/ja-jp/user/application_security/policies/pipeline_execution_policies/)は、コンプライアンス要件に基づいてパイプラインにカスタムジョブを注入（または上書き）するための柔軟なコントロールを提供します。\n\nこれらのポリシーを使用して、コンテナスキャンジョブをパイプラインに自動的に注入したり、コンテナの脆弱性がリスク許容度を超えた場合にビルドを失敗させたり、特定のブランチやタグに対して追加のセキュリティチェックをトリガーしたり、本番環境向けコンテナイメージのコンプライアンス要件を適用したりすることができます。パイプライン実行ポリシーは自動化されたガードレールとして機能し、手動操作なしですべてのコンテナデプロイメントにセキュリティ標準が一貫して適用されるようにします。\n\n![パイプライン実行ポリシー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547517/ddhhugzcr2swptgodof2.png \"パイプライン実行ポリシーのアクション\")\n\n#### マージリクエスト承認ポリシー\n\n[マージリクエスト承認ポリシー](https://docs.gitlab.com/ja-jp/user/application_security/policies/merge_request_approval_policies/)は、コンテナの脆弱性を含むマージリクエストを指定された承認者がレビューし、承認することを要求することでセキュリティゲートを適用します。\n\n重大度の高い脆弱性が検出された場合にマージをブロックするポリシーや、新しいコンテナの検出結果を導入するマージリクエストにセキュリティチームの承認を要求するポリシーを設定できます。これらのポリシーにより、低リスクな変更の開発速度を維持しながら、脆弱性のあるコンテナイメージがパイプラインを通じて進むことを防ぎます。\n\n![MRでブロックを実行するマージリクエスト承認ポリシー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772547513/hgnbc1vl4ssqafqcyuzg.png \"MRでブロックを実行するマージリクエスト承認ポリシー\")\n\n## 適切なアプローチの選択\n\n| スキャンの種類   | 使用するタイミング   | 主なメリット                   |\n| --------- | ----------- | ------------------------ |\n| パイプラインベース | すべてのビルド時    | シフトレフトセキュリティ、脆弱なビルドをブロック |\n| レジストリスキャン | 継続的なモニタリング  | 保存されたイメージの新しい CVE を検出    |\n| マルチコンテナ   | マイクロサービス    | 並行スキャン、パイプラインの高速化        |\n| 継続的脆弱性    | デプロイ間       | プロアクティブなアドバイザリーモニタリング    |\n| 運用        | 本番環境のモニタリング | ランタイム脆弱性の検出              |\n\n包括的なセキュリティのためには、複数のアプローチを組み合わせることをお勧めします。開発中の問題を検出するためのパイプラインベースのスキャン、継続的なモニタリングのためのレジストリ向けコンテナスキャン、そして本番環境の可視性のための運用スキャンを組み合わせてご活用ください。\n\n## 今すぐ始める\n\nコンテナセキュリティへの最短ルートは、パイプラインベースのスキャンを有効にすることです。\n\n1. プロジェクトの **Secure > セキュリティ設定** に移動します。\n2. コンテナスキャンの **マージリクエストで設定** をクリックします。\n3. 作成されたマージリクエストをマージします。\n4. 次のパイプラインに脆弱性スキャンが含まれるようになります。\n\nその後、セキュリティ要件と GitLab のプランに応じて、追加のスキャンの種類を段階的に導入してください。\n\nコンテナセキュリティは一度実施すれば完了するものではなく、継続的なプロセスです。\nGitLab の包括的なコンテナスキャン機能を活用することで、ビルドからランタイムまでコンテナライフサイクルのあらゆる段階で脆弱性を検出できます。\n\n> GitLab がセキュリティ態勢の強化にどのように役立つかについての詳細は、[GitLab セキュリティ & ガバナンス ソリューションページ](https://about.gitlab.com/solutions/application-security-testing/)をご覧ください。",[9],"2026-03-09","2026-03-05","GitLab コンテナスキャン完全ガイド：SBOM生成から運用監視まで5つのスキャン手法",[11,39],"GitLab のさまざまなコンテナスキャン方法を詳しく解説し、コンテナライフサイクルの各段階でセキュリティを確保する方法をご紹介します。",{"slug":741,"featured":14,"template":15},"complete-guide-to-gitlab-container-scanning",{"content":743,"config":752},{"title":744,"description":745,"authors":746,"heroImage":748,"date":749,"body":750,"category":11,"tags":751},"GitLab.comのセキュリティ強化：多要素認証の必須化","Secure by Designへのコミットメントの一環として、GitLabが多要素認証（MFA）を必須化する方法と、それがユーザーに与える影響について解説します。",[747],"Kim Waters","https://res.cloudinary.com/about-gitlab-com/image/upload/v1749664923/Blog/Hero%20Images/security-checklist.png","2026-01-09","GitLab.comのすべてのユーザーアカウントのセキュリティ強化のため、GitLabでは、ユーザー名とパスワードを使用してサインインするすべてのユーザーとAPIエンドポイントに対して、多要素認証（MFA）を必須化します。\n\n## 多要素認証必須化の理由\n\n今回の変更は、GitLabの[Secure by Designへのコミットメント](https://about.gitlab.com/blog/last-year-we-signed-the-secure-by-design-pledge-heres-our-progress/)における重要な取り組みの1つです。MFAは、ソフトウェア開発業界全体で継続的な脅威となっているクレデンシャルスタッフィング攻撃やアカウント乗っ取り攻撃に対する重要な防御手段となります。\n\n## 知っておくべき重要な情報\n\n### 何が変わるのか？\n\nGitLabは、ユーザー名とパスワードで認証するサインインに対して、MFAを必須化します。これにより、パスワードだけでなく、重要な第2の認証レイヤーが追加されます。\n\n### 適用されるケースとされないケース\n\n1. ***適用されるケース：*** ユーザー名とパスワードでGitLab.comにサインインする場合、またはパスワードを使用してAPIに認証する場合\n2. ***適用されないケース：*** アクセスにソーシャルサインオン（Googleなど）またはシングルサインオン（SSO）のみを使用している場合（*注意：SSOを使用していても、直接ログイン用のパスワードを設定している場合は、SSO以外のパスワードベースのログインに対してMFAが必要になります）*\n\n### ロールアウトのタイムライン\n\n1. 実装は今後数か月にわたって段階的に行われます。これは、ユーザーの予期しない中断や生産性の低下を最小限に抑え、アカウントのロックアウトを防ぐことを目的としています。ユーザーグループによって時期は異なりますが、近日中にMFAの有効化を求められます。各グループは、実行したアクション、またはコントリビュートしたコードに基づいて選択されます。以下の方法で通知されます。\n\n   * ✉️ メール通知 - 影響を受けるフェーズの前\n   * 🔔 定期的な製品内リマインダー - 14日前\n   * ⏱️ 一定期間後（メールが届きます） - MFAを有効にするまでGitLabへのアクセスがブロックされます\n\n### 必要な対応\n\n1. ユーザー名とパスワードでGitLab.comにサインインする場合：\n\n   * パスキー、認証アプリ、WebAuthnデバイス、またはメール認証など、利用可能なMFA方法の1つを今すぐ事前に設定することを強くおすすめします。これにより、最も安全でシームレスな移行が保証されます。\n   * GitLab.comの**ユーザー設定**にアクセスします。\n   * **アカウント**セクションを選択します。\n   * **2要素認証**を有効にし、希望する方法（認証アプリやWebAuthnデバイスなど）を設定します。\n   * 必要に応じてアクセスを回復できるよう、**リカバリーコードを安全に保存**してください。\n2. パスワードを使用してAPIに認証する場合：\n\n   * 個人アクセストークン（PAT）への切り替えを事前に行うことを強くおすすめします。詳細については、[ドキュメント](https://docs.gitlab.com/ja-jp/user/profile/account/two_factor_authentication_troubleshooting/#error-http-basic-access-denied-if-a-password-was-provided-for-git-authentication-)をご確認ください。\n\n## よくある質問\n\n*期限までにMFAを有効にしないとどうなりますか？*\n\n* サインインする前にMFAの設定が必要になります。\n\n*CI/CDパイプラインや自動化に影響はありますか？*\n\n* はい、パスワードの代わりにPATまたはデプロイトークンを使用していない場合は影響があります。\n\n*SSOを使用していますが、直接サインインすることもあります。その場合、MFAは必要ですか？*\n\n* はい、フォールバックシナリオを含む、パスワードベースの認証にはMFAが必要です。\n\n*どのようなMFAリカバリーオプションが利用できますか？*\n\n* [トラブルシューティングドキュメント](https://docs.gitlab.com/ja-jp/user/profile/account/two_factor_authentication_troubleshooting/#recovery-options-and-2fa-reset)をご確認ください。*\n\n具体的なタイムラインとその他のリソースについては、ロールアウト日までに段階的に共有される予定です。この重要な変更についてご覧いただき、ありがとうございます。",[11,42],{"featured":33,"template":15,"slug":753},"strengthening-gitlab-com-security-mandatory-multi-factor-authentication",{"promotions":755},[756,770,781,792],{"id":757,"categories":758,"header":760,"text":761,"button":762,"image":767},"ai-modernization",[759],"ai-ml","Is AI achieving its promise at scale?","Quiz will take 5 minutes or less",{"text":763,"config":764},"Get your AI maturity score",{"href":765,"dataGaName":766,"dataGaLocation":251},"/assessments/ai-modernization-assessment/","modernization assessment",{"config":768},{"src":769},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/qix0m7kwnd8x2fh1zq49.png",{"id":771,"categories":772,"header":773,"text":761,"button":774,"image":778},"devops-modernization",[42,573],"Are you just managing tools or shipping innovation?",{"text":775,"config":776},"Get your DevOps maturity score",{"href":777,"dataGaName":766,"dataGaLocation":251},"/assessments/devops-modernization-assessment/",{"config":779},{"src":780},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138785/eg818fmakweyuznttgid.png",{"id":782,"categories":783,"header":784,"text":761,"button":785,"image":789},"security-modernization",[11],"Are you trading speed for security?",{"text":786,"config":787},"Get your security maturity score",{"href":788,"dataGaName":766,"dataGaLocation":251},"/assessments/security-modernization-assessment/",{"config":790},{"src":791},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/p4pbqd9nnjejg5ds6mdk.png",{"id":793,"paths":794,"header":797,"text":798,"button":799,"image":804},"github-azure-migration",[795,796],"migration-from-azure-devops-to-gitlab","integrating-azure-devops-scm-and-gitlab","Is your team ready for GitHub's Azure move?","GitHub is already rebuilding around Azure. Find out what it means for you.",{"text":800,"config":801},"See how GitLab compares to GitHub",{"href":802,"dataGaName":803,"dataGaLocation":251},"/compare/gitlab-vs-github/github-azure-migration/","github azure migration",{"config":805},{"src":780},{"header":807,"blurb":808,"button":809,"secondaryButton":813},"今すぐ開発をスピードアップ","DevSecOpsに特化したインテリジェントオーケストレーションプラットフォームで実現できることをご確認ください。\n",{"text":53,"config":810},{"href":811,"dataGaName":56,"dataGaLocation":812},"https://gitlab.com/-/trial_registrations/new?glm_content=default-saas-trial&glm_source=about.gitlab.com/ja-jp/","feature",{"text":58,"config":814},{"href":60,"dataGaName":61,"dataGaLocation":812},1777493681115]