GitHub Copilot クラウド エージェントのファイアウォールのカスタマイズまたは無効化

概要

既定では、 Copilotのインターネットへのアクセスはファイアウォールによって制限されます。

インターネットへのアクセスを制限すると、データ流出のリスクを管理するのに役立ちます。 Copilotからの驚くべき動作や悪意のある指示によって、コードやその他の機密情報がリモートの場所に漏えいする可能性があります。

ファイアウォールは常に、CopilotがGitHubとの対話に用いる多数のホストへのアクセスを許可します。 エージェントが依存関係をダウンロードできるように、推奨される許可リストも既定で有効になります。

          Copilotがファイアウォールによってブロックされている要求を行おうとすると、pull request 本文 (Copilotが初めて pull request を作成している場合) またはコメント (pull request コメントに応答Copilot場合) に警告が追加されます。 警告には、ブロックされたアドレスと要求を行おうとしたコマンドが表示されます。

制限事項

エージェント ファイアウォールには、セキュリティのカバレッジに影響する重要な制限があります。

•         **エージェントによって開始されたプロセスにのみ適用される**: ファイアウォールは、エージェントが Bash ツール経由で開始したプロセスにのみ適用されます。 構成された Copilot セットアップ手順で開始されたモデル コンテキスト プロトコル (MCP) サーバーまたはプロセスには適用されません。
  

•         **
          GitHub Actions アプライアンス内でのみ適用されます**。ファイアウォールは、GitHub Actions アプライアンス環境内でのみ動作します。 この環境外で実行されているプロセスには適用されません。
  

•         **Bypass potential**: 高度な攻撃によってファイアウォールがバイパスされ、許可されていないネットワークアクセスやデータ流出の可能性があります。
  

このような制限事項があるため、ファイアウォールは一般的なシナリオに対する保護レイヤーとして機能しますが、包括的なセキュリティ ソリューションと見なすべきではありません。

推奨されるファイアウォール許可リストについて

既定で有効になっている推奨される許可リストでは、次のアクセスが可能です。

• 一般的なオペレーティング システムのパッケージ リポジトリ (Debian、Ubuntu、Red Hat など)。
• 一般的なコンテナー レジストリ (たとえば、Docker Hub、Azure Container Registry、AWS Elastic Container Registry)。
• 一般的なプログラミング言語 (C#、Dart、Go、Haskell、Java、JavaScript、Perl、PHP、Python、Ruby、Rust、Swift) で使用されるレジストリをパッケージ化します。
• 一般的な証明機関 (SSL 証明書の検証を許可するため)。
• Playwright MCP サーバー用の Web ブラウザーのダウンロードに使われるホスト。

推奨される許可リストに含まれるホストの完全な一覧については、 Copilot 許可リスト リファレンス を参照してください。

組織レベルでのファイアウォールの構成

組織の所有者は、組織レベルですべてのファイアウォール設定を構成できます。 ファイアウォール設定にアクセスするには:

1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

2. 組織をクリックして選択します。

3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

4. サイドバーの [コード、計画、自動化] で、[ Copilot] をクリックし、[ クラウド エージェント] をクリックします。

ファイアウォールの有効化または無効化

1. [インターネット アクセス] で、[ファイアウォールの 有効化 ] 設定を [有効]、[ 無効]、または [リポジトリが決定できるようにする ] (既定値) に設定します。

推奨される許可リストの有効化または無効化

1. [インターネット アクセス] で、[ 推奨される許可リスト ] 設定を [有効]、[ 無効]、または [ リポジトリが決定できるようにする ] (既定値) に設定します。

リポジトリがカスタム許可リストルールを追加できるかどうかを制御する

デフォルトでは、リポジトリ管理者はファイアウォール許可リストに独自のエントリを追加できます。 組織の所有者は、これを無効にして、リポジトリがカスタム規則を追加できないようにすることができます。

1. [インターネット アクセス] で、[リポジトリの カスタム規則を許可する ] 設定を [有効 ] (既定) または [無効] に設定します。

組織のカスタム許可リストの管理

組織のカスタム許可リストに追加された項目は、組織内のすべてのリポジトリに適用されます。 これらの項目は、リポジトリ レベルでは削除できません。 組織レベルの規則とリポジトリ レベルの規則が組み合わされています。

1. [インターネット アクセス] で、[ 組織のカスタム許可リスト] をクリックします。

2. 許可リストに含めるアドレスを追加します。 以下を含めることができます。

   •      **ドメイン** (たとえば、`packages.contoso.corp`)。 指定したドメインと任意のサブドメインに許可するトラフィック。
     
     
          **Example**: `packages.contoso.corp` では、トラフィックは `packages.contoso.corp` と `prod.packages.contoso.corp` に許可されますが、`artifacts.contoso.corp`は許可されません。
     

   •      **URLs** (例: `https://packages.contoso.corp/project-1/`)。 トラフィックは指定されたスキーム (`https`) とホスト (`packages.contoso.corp`) にのみ許可され、指定されたパスと子孫パスに制限されます。
     
     
          **Example**: `https://packages.contoso.corp/project-1/` では、`https://packages.contoso.corp/project-1/` と `https://packages.contoso.corp/project-1/tags/latest` へのトラフィックは許可されますが、`https://packages.contoso.corp/project-2`、`ftp://packages.contoso.corp`、または `https://artifacts.contoso.corp` は許可されません。
     

3.        **[ルールの追加]** をクリックします。
   

4. リストを検証後、[Save changes] をクリックします。

リポジトリ レベルでのファイアウォールの構成

リポジトリ管理者は、ファイアウォールの有効化または無効化、推奨される許可リストの有効化または無効化、カスタム許可リストの管理など、リポジトリ レベルでファイアウォール設定を構成できます。 組織レベルの構成によっては、これらの設定の一部がロックされている場合があります。

ファイアウォール設定にアクセスするには:

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの「コード&オートメーション」セクションで、 Copilot クリックして クラウド エージェント します。

ファイアウォールの有効化または無効化

1. [ ファイアウォールを有効にする] 設定のオンとオフを切り替えます。

推奨される許可リストの有効化または無効化

1. 推奨される 許可リスト の設定をオンまたはオフに切り替えます。

カスタム許可リストの管理

1. [ カスタム許可リスト] をクリックします。

2. 許可リストに含めるアドレスを追加します。 以下を含めることができます。

   •      **ドメイン** (たとえば、`packages.contoso.corp`)。 指定したドメインと任意のサブドメインに許可するトラフィック。
     
     
          **Example**: `packages.contoso.corp` では、トラフィックは `packages.contoso.corp` と `prod.packages.contoso.corp` に許可されますが、`artifacts.contoso.corp`は許可されません。
     

   •      **URLs** (例: `https://packages.contoso.corp/project-1/`)。 トラフィックは指定されたスキーム (`https`) とホスト (`packages.contoso.corp`) にのみ許可され、指定されたパスと子孫パスに制限されます。
     
     
          **Example**: `https://packages.contoso.corp/project-1/` では、`https://packages.contoso.corp/project-1/` と `https://packages.contoso.corp/project-1/tags/latest` へのトラフィックは許可されますが、`https://packages.contoso.corp/project-2`、`ftp://packages.contoso.corp`、または `https://artifacts.contoso.corp` は許可されません。
     

3.        **[ルールの追加]** をクリックします。
   

4. リストを検証後、[Save changes] をクリックします。

詳細については、次を参照してください。

•         [AUTOTITLE](/actions/writing-workflows/choosing-what-your-workflow-does/store-information-in-variables#creating-configuration-variables-for-a-repository)
  

•         [AUTOTITLE](/copilot/how-tos/use-copilot-agents/cloud-agent/customize-the-agent-environment)