先に結論
今回の更新で大きいのは、GHAS の予算管理が通知だけで終わらなくなったことです。
これまでは soft budget しかなく、75%、90%、100% の通知は出せても、license の増えすぎそのものは止められませんでした。今回からは hard budget limits を使い、上限に達した時点で新しい GHAS 利用を止められます。
特に影響が大きいのは、IdP group provisioning や organization 全体の自動 enablement を回している enterprise です。通知を見てから止める運用では遅い場面がありました。
何が変わったのか
GitHub は 2026 年 5 月 28 日、GitHub Advanced Security の SKU に hard budget limits を設定できるようになったと発表しました。
今回の差分はかなり明快です。
- soft budget は通知だけ
- hard budget は上限到達後の新規利用を止める
GitHub の changelog では、enterprise administrators と billing managers が GHAS の license budget を強制できるようになったと説明しています。設定時には license 数と概算コストを見ながら予算を置けます。
もうひとつ重要なのは、既存 repo の GHAS を突然止めないことです。GitHub Docs では、Advanced Security の hard budget は追加の repository で新規 enablement を防ぐ仕組みであり、すでに有効な repository までは無効化しないと明記されています。
soft budget と hard budget の違い
運用上の違いは、メール通知で済ませるか、増えすぎをその場で止めるかです。
soft budget
soft budget は、75%、90%、100% のしきい値で通知を出す運用です。
この方式でも usage の見える化には役立ちます。ただし、通知を見た時点で増加が続いていれば、その間の overspend は止まりません。
hard budget
hard budget は、設定した license count に達した時点で追加利用をブロックします。
GitHub Docs の表現に沿うと、Advanced Security の SKU-level budget では Stop usage when budget limit is reached を使えます。GHAS ではこの設定により、新しい repository への enablement や追加の license 利用が止まります。
要するに、今回の更新は「予算超過を知らせる」から 「予算超過を起こしにくくする」 への変化です。
どこで何を見直すべきか
最初に見る場所は Billing & Licensing > Budgets and alerts です。
ここで確認したいのは次の 3 点です。
- GHAS の budget が soft のままか hard まで入っているか
- budget の scope が enterprise 全体なのか、cost center や organization まで切れているか
- product-level と SKU-level が重なり、想定外の block を起こす設計になっていないか
GitHub Docs は、product と SKU、organization と repository の budget を重ねすぎないよう勧めています。どれか 1 つの budget が上限に達すると usage が止まるため、重複設計は混乱の原因になりやすいからです。
いま刺さるのはどんな組織か
今回の更新が一番効くのは、GHAS を広げる運用がすでに自動化されている組織です。
たとえば次のケースです。
- IdP group provisioning で license が自動付与される
- organization 単位で Secret Protection や Code Security を広げている
- 新規 repo へ GHAS を自動有効化する方針を取っている
- billing manager と security team が別で、通知だけでは調整が遅れやすい
この状態なら、soft budget のままでは「気づく」ことはできても「止める」ことはできません。hard budget に変わる価値はかなり大きいです。
今すぐやるべき確認事項
1. どの scope で止めたいか決める
enterprise 全体で止めるのか、cost center 単位で止めるのか、organization ごとに分けるのかで意味が変わります。
請求管理を central team が握っているなら enterprise 全体の予算が分かりやすいです。一方で、複数部門へ配賦している組織では cost center scope のほうが実務に合います。
2. 新規 repo の自動 enablement を棚卸しする
hard budget 到達後は、新しい repository で GHAS が自動有効にならない可能性があります。
つまり「security 標準を自動で守れる前提」が崩れる場面が出ます。repo 作成フローや onboarding フローに、予算上限到達時の例外対応を入れておくべきです。
3. overlapping budget を減らす
GitHub Docs でも、product と SKU、organization と repository の budget を重ねると、利用者が想定外にブロックされやすいと案内しています。
通知の細かさを増やしたくて budget を増やしすぎると、運用はむしろ読みにくくなります。まずは 誰の利用をどこで止めたいか を軸に整理したほうが安全です。
まだ誤解しやすい点
既存 repo の GHAS は止まらない
ここは安心材料です。hard budget に達しても、すでに GHAS が有効な repository がいきなり無効化されるわけではありません。
止まるのは、これから増える分です。だからこそ、既存の保護を崩さずに予算超過だけを抑えやすくなります。
public repo の無料機能とは別の話
GitHub Docs では、public repository で使える一部の Advanced Security 機能は無料だと説明しています。今回の hard budget は、private repository や enterprise 運用で license を使う GHAS 文脈の話です。
比較記事として広げる更新ではない
今回の主語は GHAS と競合製品の精度比較ではありません。GitHub 内で予算超過をどこまで制御できるようになったか が論点です。
AppSec ツール全体の選定を見直したいなら、Codex Security、Snyk、Semgrep、GitHub Advanced Security の比較 も別で読む価値があります。
関連記事とどうつながるか
GHAS をこれから試す段階なら、GitHub Advanced Security trial 開始導線の変更 も先に見ておくと流れがつながります。
CI/CD 全体の安全設計まで広げて考えるなら、GitHub Actions security roadmap 2026 も合わせて読むと、GHAS をどこに置くか整理しやすいです。
まとめ
GitHub Advanced Security の hard budget limits は、単なる billing UI の更新ではありません。
- soft budget では通知だけだった
- hard budget では新しい利用を止められる
- 既存 repo の GHAS は止めない
- enterprise、cost center、organization 単位で設計を見直せる
GHAS を段階展開している組織ほど、この更新は実務に効きます。まずは Budgets and alerts を開き、soft budget のまま放置している scope がないかを確認するのが最初の一歩です。