# プッシュ保護のコスト削減の計算

漏洩したシークレットを防ぐことで、回避できる修復時間と人件費を見積もります。

## コスト削減計算ツールとは

ROI 計算ツールを使用して、プッシュ保護によって漏洩したシークレットを防ぐことによって回避されるコストを見積もることができます。 この情報は次のような場合に役立ちます。

* 組織内の GitHub Secret Protection をどの程度広く有効にするかを決定します。
* さまざまなチームまたは環境におけるプッシュ保護の推定影響を比較します。
* ロールアウトの決定に伴う時間とコストの影響を関係者に伝えます。

プッシュ保護は有料機能であり、 GitHub Secret Protectionで利用できます。 詳細については、「[価格と有効化 GitHub Secret Protection](/ja/enterprise-server@3.21/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/choosing-github-secret-protection)」を参照してください。

## 前提条件

* organization (組織) のシークレット リスク評価を生成しておく必要があります。 「[セキュリティ リスク評価レポートの表示](/ja/enterprise-server@3.21/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization)」を参照してください。
* 次の点について現実的な値を用意します。
  * 漏えいしたシークレット 1 件あたりの平均修復時間 (時間)
  * 開発者の平均年収 (米国ドル)

## プッシュ保護によるコスト削減の見積もり

1. GitHub で、organization のメイン ページに移動します。
2. 組織名の下の \[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** ] タブをクリックします。
3. サイドバーの \[Security] で、**\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg> Assessments]** をクリックします。
4. バナーの右上隅の **\[概要]** をクリックします。
5. ドロップダウンから **\[プッシュ保護によるコスト削減の見積もり]** を選びます。
6. "防止可能な漏えい" (P) の編集できない値をレビューします。 0、モデリングの目的でベースライン値 (70 など) が表示されます。
7. 開発者の平均年収 (C) を米国ドル単位で入力または調整します。
   * 総額年収 (給与 + 福利厚生) を使います。
   * 過大評価を避けるために、見積りは控えめにします。
8. 1 件の漏えいしたシークレットを修復する時間 (T) を時間単位で入力または調整します。 シークレットの取り消し、ローテーション、検証、チームや顧客への通知のステップを反映した平均修復時間を使うことをお勧めします。
   * 単純なローテーション、最小限の調整の場合、T = 1 - 1.5 時間
   * 分散型チームや追加チェックを考慮した場合、T = 2 - 3 時間
   * 規制または監査対象の環境で作業する場合、T = 3 - 4 時間
9. **\[投資収益率]** パネルの出力をレビューします。
   * **防止されたシークレット**: 検出された防止可能なシークレット数。
   * **節約した時間**: 入力に基づいて、これらのシークレットを防ぐことで節約された合計時間数。
   * **プッシュ保護で可能な節約**: 回避された推定の合計人件費。

<div class="ghd-alert ghd-alert-accent ghd-spotlight-accent">

ROI 計算ツールを使用して、組織でのプッシュ保護のコスト削減を見積もりましたか?

<a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
<span>はい</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>いいえ</span></a>

</div>

## 結果を理解する

次は、結果をレビューしてその意味を理解し、組織内でプッシュ保護を導入する適切な範囲を決定します。 結果を解釈する際には、次の情報を念頭に置いてください。

計算ツールが**行うこと**:

* **プッシュ保護によってブロックされたシークレット**についてのみ、節約額を見積もる。
* ユーザーが指定したリスク評価と想定に基づいて結果を生成する。
* **人件費の回避**のみに基づいて見積もりを生成する。
* 現在のスキャン ウィンドウでシークレットが検出されなかった場合は、防止可能な漏えいのモデル化されたベースラインを提供する。

計算ツールが**行わないこと**:

* データ侵害や外部からの影響に関連するコストを含める。 参考までに、IBM によれば、2024 年のデータ侵害のコストは平均 488 万ドルでした。
* 他の GitHub Secret Protection 機能からの時間の節約を含めます。
* 米国ドル以外の通貨をサポートする。

## Troubleshooting

計算ツールの使用中に問題が発生した場合は、次の表を参考にしてトラブルシューティングしてください。

| 問題                                                                                              | アクション                                                                                                                                                   |
| ----------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **防止可能なシークレット = 0**                                                                             | 防止可能なシークレットが検出されない場合、計算ツールにはモデリングの目的で既定のベースライン値 (70 など) が表示されます。<br> ベースラインを実際のデータに置き換えるには、プッシュ保護を有効にするリポジトリを増やし、シークレット スキャンでより多くの情報を収集できるようにします。       |
| **"推定される節約額" が "$5M+"**                                                                         | 計算ツールの上限は 500 万ドルです。 モデル化された節約額がこのしきい値を超えると、UI には値が "$5M+" と表示されます。 正確な金額を取得するには、入力値 (防止可能なシークレット、修復にかかる時間、開発者の給与) をエクスポートし、スプレッドシートで数式をレプリケートします。</br> |
| `(Secrets prevented) × (Time to remediate) × (Hourly rate)`。この時間単位の料金は `Salary ÷ 2080` で算出されます。 |                                                                                                                                                         |
| **値が低いと感じる**                                                                                    | 修復にかかる時間と開発者の平均報酬について入力値をレビューします。 修復に必要なすべてのステップ (取り消し、ローテーション、検証、通知など) が含まれていること、給与に年間合計コストがすべて反映されていることを確認します。                                        |
| **値が高いと感じる**                                                                                    | 修復にかかる時間と平均報酬について入力値を見直し、それらが現実的であり誇張されていないことを確認します。 見積もりを歪めている可能性のある外れ値をすべて削除します。                                                                      |

## 詳細については、次を参照してください。

* [
  ](https://github.com/resources/whitepapers/secret-scanning-a-key-to-your-cybersecurity-strategy)のGitHub リポジトリ`resources`