メモ
ファイアウォールの構成が [ Copilot クラウドエージェント 設定] ページに移動しました。 アクションの変数として保存された以前の構成は、そのページに保持されます。
Overview
既定では、 Copilotのインターネットへのアクセスはファイアウォールによって制限されます。
インターネット アクセスの制限は、データ流出リスクの管理に役立ちます。 Copilotや悪意のある命令による予期しない動作により、コードやその他の機密情報がリモートの場所に漏えいする可能性があります。
ファイアウォールは常に、CopilotがGitHubとの対話に用いる多数のホストへのアクセスを許可します。 エージェントが依存関係をダウンロードできるように、推奨される許可リストも既定で有効になります。
Copilotファイアウォールによってブロックされている要求を行おうとすると、pull request 本文 (新しいプル要求の場合) またはコメント (既存のプル要求の場合) に警告が追加されます。 警告には、ブロックされたアドレスと要求を行おうとしたコマンドが表示されます。
制限事項
エージェント ファイアウォールには、セキュリティのカバレッジに影響する重要な制限があります。
- エージェントによって開始されたプロセスにのみ適用される: ファイアウォールは、エージェントが Bash ツール経由で開始したプロセスにのみ適用されます。 構成された Copilot セットアップ手順で開始されたモデル コンテキスト プロトコル (MCP) サーバーまたはプロセスには適用されません。
GitHub Actions アプライアンス内でのみ適用されます**。ファイアウォールは、GitHub Actions アプライアンス環境内でのみ動作します。 この環境外で実行されているプロセスには適用されません。
- Bypass potential: 高度な攻撃によってファイアウォールがバイパスされ、許可されていないネットワークアクセスやデータ流出の可能性があります。
これらの制限は、ファイアウォールが一般的なシナリオに対する保護を提供することを意味しますが、包括的なセキュリティ ソリューションと見なすべきではありません。
推奨されるファイアウォール許可リストについて
既定で有効になっている推奨される許可リストでは、次のアクセスが可能です。
- 一般的なオペレーティング システムのパッケージ リポジトリ (Debian、Ubuntu、Red Hat など)。
- 一般的なコンテナー レジストリ (Docker Hub、Azure Container Registry、AWS Elastic Container Registry など)。
- 一般的なプログラミング言語 (C#、Dart、Go、Haskell、Java、JavaScript、Perl、PHP、Python、Ruby、Rust、Swift) で使われるパッケージ レジストリ。
- 一般的な証明機関 (SSL 証明書の検証を許可するため)。
- Playwright MCP サーバー用の Web ブラウザーのダウンロードに使われるホスト。
推奨される許可リストに含まれるホストの完全な一覧については、 Copilot 許可リスト リファレンス を参照してください。
組織レベルでのファイアウォールの構成
組織の所有者は、組織レベルですべてのファイアウォール設定を構成できます。 ファイアウォール設定にアクセスするには:
-
GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。
-
組織をクリックして選択します。
-
Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-49309/images/help/discussions/org-settings-global-nav-update.png)
-
サイドバーの [コード、計画、自動化] で、[ Copilot] をクリックし、[ クラウド エージェント] をクリックします。
![組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-49309/mw-1440/images/help/discussions/org-settings-global-nav-update.webp)
ファイアウォールの有効化または無効化
警告
ファイアウォールを無効にすると、 Copilot が任意のホストに接続でき、コードやその他の機密情報が流出するリスクが高まります。
- [インターネット アクセス] で、[ファイアウォールの 有効化 ] 設定を [有効]、[ 無効]、または [リポジトリが決定できるようにする ] (既定値) に設定します。
推奨される許可リストの有効化または無効化
- [インターネット アクセス] で、[ 推奨される許可リスト ] 設定を [有効]、[ 無効]、または [ リポジトリが決定できるようにする ] (既定値) に設定します。
リポジトリがカスタム許可リストルールを追加できるかどうかを制御する
デフォルトでは、リポジトリ管理者はファイアウォール許可リストに独自のエントリを追加できます。 組織の所有者は、これを無効にして、リポジトリがカスタム規則を追加できないようにすることができます。
- [インターネット アクセス] で、[リポジトリの カスタム規則を許可する ] 設定を [有効 ] (既定) または [無効] に設定します。
組織のカスタム許可リストの管理
組織のカスタム許可リストに追加された項目は、組織内のすべてのリポジトリに適用されます。 これらの項目は、リポジトリ レベルでは削除できません。 組織レベルの規則とリポジトリ レベルの規則が組み合わされています。
-
[インターネット アクセス] で、[ 組織のカスタム許可リスト] をクリックします。
-
許可リストに含めるアドレスを追加します。 以下を含めることができます。
-
ドメイン (たとえば、
packages.contoso.corp)。 指定したドメインと任意のサブドメインに許可するトラフィック。**Example**: `packages.contoso.corp` では、トラフィックは `packages.contoso.corp` と `prod.packages.contoso.corp` に許可されますが、`artifacts.contoso.corp`は許可されません。 -
URLs (例:
https://packages.contoso.corp/project-1/)。 トラフィックは指定されたスキーム (https) とホスト (packages.contoso.corp) にのみ許可され、指定されたパスと子孫パスに制限されます。**Example**: `https://packages.contoso.corp/project-1/` では、`https://packages.contoso.corp/project-1/` と `https://packages.contoso.corp/project-1/tags/latest` へのトラフィックは許可されますが、`https://packages.contoso.corp/project-2`、`ftp://packages.contoso.corp`、または `https://artifacts.contoso.corp` は許可されません。
-
-
**[ルールの追加]** をクリックします。 -
リストを検証後、[Save changes] をクリックします。
リポジトリ レベルでのファイアウォールの構成
リポジトリ管理者は、ファイアウォールの有効化または無効化、推奨される許可リストの有効化または無効化、カスタム許可リストの管理など、リポジトリ レベルでファイアウォール設定を構成できます。 組織レベルの構成によっては、これらの設定の一部がロックされている場合があります。
ファイアウォール設定にアクセスするには:
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/images/help/repository/repo-actions-settings.png)
-
サイドバーの「コード&オートメーション」セクションで、 Copilot クリックして クラウド エージェント します。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/mw-1440/images/help/repository/repo-actions-settings.webp)
ファイアウォールの有効化または無効化
メモ
この設定は、組織レベルの [ファイアウォールの有効化] 設定が [リポジトリで決定できるようにする] に設定されている場合にのみ 、リポジトリ レベルで変更できます。 組織レベルの設定が 有効 または 無効の場合、個々のリポジトリに対してこの設定を変更することはできません。
- [ ファイアウォールを有効にする] 設定のオンとオフを切り替えます。
推奨される許可リストの有効化または無効化
メモ
この設定は、組織レベルの [推奨される許可リスト ] 設定が [リポジトリで決定できるようにする] に設定されている場合にのみ 、リポジトリ レベルで変更できます。 組織レベルの設定が 有効 または 無効の場合、個々のリポジトリに対してこの設定を変更することはできません。
- 推奨される 許可リスト の設定をオンまたはオフに切り替えます。
カスタム許可リストの管理
メモ
カスタム許可リスト ルールは、組織レベルの [Allow repository custom rules](リポジトリの許可) カスタム ルール設定が [有効] に設定されている場合にのみ 、リポジトリ レベルで追加できます。 詳細については、 リポジトリーがカスタム許可リスト規則を追加できるかどうかを制御するを参照してください。
-
[ カスタム許可リスト] をクリックします。
-
許可リストに含めるアドレスを追加します。 以下を含めることができます。
-
ドメイン (たとえば、
packages.contoso.corp)。 指定したドメインと任意のサブドメインに許可するトラフィック。**Example**: `packages.contoso.corp` では、トラフィックは `packages.contoso.corp` と `prod.packages.contoso.corp` に許可されますが、`artifacts.contoso.corp`は許可されません。 -
URLs (例:
https://packages.contoso.corp/project-1/)。 トラフィックは指定されたスキーム (https) とホスト (packages.contoso.corp) にのみ許可され、指定されたパスと子孫パスに制限されます。**Example**: `https://packages.contoso.corp/project-1/` では、`https://packages.contoso.corp/project-1/` と `https://packages.contoso.corp/project-1/tags/latest` へのトラフィックは許可されますが、`https://packages.contoso.corp/project-2`、`ftp://packages.contoso.corp`、または `https://artifacts.contoso.corp` は許可されません。
-
-
**[ルールの追加]** をクリックします。 -
リストを検証後、[Save changes] をクリックします。