GitHubに機密情報を誤って公開した時の完全対処ガイド¶

# APIキーの場合
# 🔥 該当サービスの管理画面で即座にAPIキーを無効化・削除
# 例：AWS、OpenAI、GitHub Personal Access Token等

# データベース認証情報の場合
# 🔥 データベースのパスワードを即座に変更
# 🔥 該当ユーザーのアクセス権限を一時停止

# パブリックリポジトリの場合は即座にプライベートに変更
# GitHub上でRepository Settings → Change repository visibility

# チーム、セキュリティ担当者に即座に通知
# 影響範囲の特定と拡散防止の協力を要請

# ファイルをGitの追跡から除外（ローカルファイルは保持）
git rm --cached path/to/secret-file.json

# ディレクトリ全体を除外
git rm -r --cached path/to/secret-directory/

# .gitignoreに追加
echo "path/to/secret-file.json" >> .gitignore
echo "path/to/secret-directory/" >> .gitignore

# 変更をコミット
git add .gitignore
git commit -m "Remove sensitive files from tracking and add to .gitignore"
git push origin main

# 特定ファイルを全履歴から削除
git filter-branch --force --index-filter \
  'git rm --cached --ignore-unmatch path/to/secret-file.json' \
  --prune-empty --tag-name-filter cat -- --all

# 複数ファイルを削除
git filter-branch --force --index-filter \
  'git rm --cached --ignore-unmatch path/to/secret-file.json path/to/config.yml' \
  --prune-empty --tag-name-filter cat -- --all

# リモートに強制プッシュ（⚠️ 危険操作）
git push origin --force --all
git push origin --force --tags

# BFG Repo-Cleanerのダウンロード
wget https://repo1.maven.org/maven2/com/madgag/bfg/1.14.0/bfg-1.14.0.jar

# 特定ファイルを全履歴から削除
java -jar bfg-1.14.0.jar --delete-files secret-file.json .git

# 特定のフォルダを削除
java -jar bfg-1.14.0.jar --delete-folders secret-folder .git

# パスワードやAPIキーのテキストを置換
java -jar bfg-1.14.0.jar --replace-text passwords.txt .git

# クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# リモートに強制プッシュ
git push origin --force --all

# Git内部のキャッシュを完全クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# 未追跡ファイルも完全削除
git clean -fdx

// 誤ってプッシュしてしまったconfig.json
{
  "openai_api_key": "sk-abcd1234...",
  "database_url": "postgresql://user:password@localhost/db"
}

# 1. OpenAI管理画面でAPIキーを即座に削除
# 2. データベースパスワードを変更
# 3. チームに通知

# ファイルを追跡対象から除外
git rm --cached config.json

# .gitignoreに追加
echo "config.json" >> .gitignore
echo "*.secret" >> .gitignore
echo ".env" >> .gitignore

# コミット・プッシュ
git add .gitignore
git commit -m "Remove config.json from tracking and improve .gitignore"
git push origin main

# BFG Repo-Cleanerを使用（推奨）
java -jar bfg-1.14.0.jar --delete-files config.json .git

# クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# 強制プッシュ（⚠️ チーム全体に事前通知必要）
git push origin --force --all

# 新しいAPIキーを取得してローカル設定
# config.json.example を作成（機密情報を除外したテンプレート）
cat > config.json.example << 'EOF'
{
  "openai_api_key": "YOUR_API_KEY_HERE",
  "database_url": "YOUR_DATABASE_URL_HERE"
}
EOF

git add config.json.example
git commit -m "Add config template for new developers"
git push origin main

# GitHub Securityタブで検出されたSecret scanning alertsを確認
# 1. 該当の機密情報を即座に無効化
# 2. "Mark as resolved" で解決をマーク
# 3. 履歴からの削除を実行

# 1. チーム全体への事前通知
# 2. 作業中のブランチの退避指示
# 3. 強制プッシュ後のリポジトリ再取得指示

# チームメンバーの対応（強制プッシュ後）
git fetch origin
git reset --hard origin/main  # ⚠️ ローカル変更は失われます

# 開発者各自が実行する復旧コマンド
git stash  # 作業中の変更を退避
git fetch origin
git reset --hard origin/main
git stash pop  # 必要に応じて作業を復元

# 機密情報ファイル
*.secret
*.key
*.pem
.env
.env.local
.env.production
config.json
secrets.yml
credentials.json

# IDE・エディタ設定
.vscode/settings.json
.idea/
*.swp
*.swo

# OS生成ファイル
.DS_Store
Thumbs.db
desktop.ini

# 一時ファイル
*.tmp
*.bak
*~

# ログファイル
*.log
logs/

# パッケージマネージャー
node_modules/
vendor/
.cache/

# クラウド認証情報
aws/
.aws/
gcp/
.gcp/
azure/

# 開発ツール設定
.env.*
!.env.example

#!/bin/sh
# .git/hooks/pre-commit

# 機密情報パターンの検出
SENSITIVE_PATTERNS=(
    "api_key.*=.*['\"][a-zA-Z0-9]{20,}['\"]"
    "password.*=.*['\"][^'\"]{8,}['\"]"
    "sk-[a-zA-Z0-9]{20,}"
    "AKIA[0-9A-Z]{16}"
    "glpat-[a-zA-Z0-9]{20}"
)

for pattern in "${SENSITIVE_PATTERNS[@]}"; do
    if git diff --cached --name-only | xargs grep -l -E "$pattern" 2>/dev/null; then
        echo "❌ 機密情報の可能性がある文字列が検出されました"
        echo "パターン: $pattern"
        echo "コミット前に確認してください"
        exit 1
    fi
done

echo "✅ 機密情報チェック完了"

# .github/workflows/deploy.yml
name: Deploy
on:
  push:
    branches: [main]

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3

      - name: Deploy with secrets
        env:
          API_KEY: ${{ secrets.API_KEY }}
          DATABASE_URL: ${{ secrets.DATABASE_URL }}
        run: |
          # 環境変数として機密情報を使用
          echo "Deploying with API_KEY: ${API_KEY:0:8}..."

# git-secretsのインストール（macOS）
brew install git-secrets

# リポジトリでの設定
git secrets --install
git secrets --register-aws

# カスタムパターンの追加
git secrets --add 'sk-[a-zA-Z0-9]{20,}'
git secrets --add 'glpat-[a-zA-Z0-9]{20}'

# スキャン実行
git secrets --scan

# GitHub Secret Scanning APIを使用した監視
curl -H "Authorization: token $GITHUB_TOKEN" \
     -H "Accept: application/vnd.github.v3+json" \
     https://api.github.com/repos/owner/repo/secret-scanning/alerts

# エラー: Cannot create a new backup
git filter-branch -f --index-filter \
  'git rm --cached --ignore-unmatch secret-file.json' HEAD

# または既存のバックアップを削除
rm -rf .git/refs/original/
git filter-branch --index-filter \
  'git rm --cached --ignore-unmatch secret-file.json' HEAD

# プロテクトブランチの場合は一時的に保護を解除
# GitHub Settings → Branches → Edit protection rule
# 完了後は必ず保護を再有効化

# 大きなファイルの場合はGit LFSを使用
git lfs track "*.zip"
git lfs track "*.tar.gz"
git add .gitattributes

## セキュリティインシデント報告書

**発生日時**: 2025-XX-XX XX:XX
**発見者**: [名前]
**影響範囲**: [詳細]
**対処状況**: 
- [ ] 機密情報の無効化完了
- [ ] Git履歴からの削除完了  
- [ ] 関係者への通知完了
- [ ] 予防策の実装完了

**根本原因**: [分析結果]
**再発防止策**: [具体的施策]

# 個人情報が含まれる場合の特別な配慮
# 1. データ保護責任者（DPO）への報告
# 2. 72時間以内の当局報告（必要に応じて）
# 3. データ主体への通知
# 4. 影響評価の実施