# 有効性チェック 有効性チェックと拡張メタデータ チェックは、即時のセキュリティ リスクをもたらす公開された資格情報の修復に優先順位を付けるのに役立ちます。 ## 有効性チェックについて secret scanningの機能である有効性チェックでは、検出されたシークレットがまだアクティブであり、悪用される可能性があるかどうかを確認します。 これにより、最初にアクティブであることが確認されたシークレットに焦点を当てることで、修復の優先順位を付けるのに役立ちます。 検出されたシークレットの自動有効性チェックを有効にすることができます。 有効にすると、 GitHub は、発行者にシークレットを送信し、そのサービスによって提供される API に対してテストすることで、検出された資格情報の有効性を定期的に確認します。 有効性チェックは、多くのサービスプロバイダーのシークレットで利用でき、GitHub がさらに多くのサービスと提携するにつれて、サポートは引き続き拡大しています。 GitHub は、資格情報の有効性を確認するときにプライバシーに優先順位を付けます。 通常、GET 要求を行い、最も侵入の少ないエンドポイントを選択し、個人情報を返さないエンドポイントを選択します。 GitHub では、シークレットの検証状態がアラート ビューに表示されるため、シークレットが `active`、 `inactive`、または検証状態が `unknown`かどうかを確認できます。 必要に応じて、アラート ビューでシークレットの "オンデマンド" 有効性チェックを実行できます。 ## 拡張メタデータ チェックについて > \[!NOTE] セキュリティ構成の拡張メタデータ チェックは現在パブリック プレビュー段階であり、変更される可能性があります。 拡張メタデータ チェックでは、検出されたシークレットに関する **追加のコンテキスト情報** が提供されます。 多くの場合、他のツールでは **アナライザー** と呼ばれます。 有効性チェックが有効になっている場合は、拡張メタデータ チェックを有効にすることができます。 次に、次のことに役立つ情報を取得します。 * **検出されたシークレットに関するより深い洞察を得る: シークレット**を所有しているユーザーを把握します。 * **修復に優先順位を付ける**: 公開されている各シークレットのスコープと影響を理解します。 * **インシデント対応の改善**: シークレットが漏洩したときに、責任あるチームまたは個人をすばやく特定します。 * **コンプライアンスの強化**: シークレットが組織のガバナンスとセキュリティ ポリシーと一致していることを確認します。 * **誤検知を減らす**: 追加のコンテキストを使用して、検出にアクションが必要かどうかを判断します。 使用できる特定のメタデータは、サービス プロバイダーが GitHubと共有する内容によって異なります。 すべてのシークレットの種類で拡張メタデータ チェックがサポートされているわけではありません。 詳細については、「[シークレット スキャンからのアラートの評価](/ja/enterprise-server@3.20/code-security/secret-scanning/managing-alerts-from-secret-scanning/evaluating-alerts#verifying-token-metadata)」を参照してください。 ## 有効性と拡張メタデータ チェックのはじめに リポジトリ、組織、またはエンタープライズ レベルで有効性と拡張メタデータ チェックを有効にして、公開されている資格情報が最も早いセキュリティ リスクをもたらす優先順位を付けることができます。 大規模な組織では、 **セキュリティ構成** を使用して、組織レベルまたはエンタープライズ レベルでこれらの機能を有効にすることをお勧めします。 セキュリティ構成を使用すると、 secret scanning 設定を一元的に管理し、多くのリポジトリに一貫して適用できます。 作業を開始するには: * リポジトリについては、[リポジトリの有効性チェックの有効化](/ja/enterprise-server@3.20/code-security/how-tos/secure-your-secrets/customize-leak-detection/enabling-validity-checks-for-your-repository) を参照してください。 * 組織については、[カスタム セキュリティ構成を作成する](/ja/enterprise-server@3.20/code-security/how-tos/secure-at-scale/configure-organization-security/establish-complete-coverage/creating-a-custom-security-configuration) を参照してください * 企業については、[Enterprise 用のカスタム セキュリティ構成の作成](/ja/enterprise-server@3.20/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage/creating-a-custom-security-configuration-for-your-enterprise) を参照してください。