GitHub、2要素認証（2FA）によるアカウント保護を強化

ギットハブ・ジャパン合同会社
2021年08月24日
13：17

・YubiKeyなどの物理的なセキュリティキー
・WebAuthn対応テクノロジーをサポートする仮想セキュリティキー
・Time-based One-Time Password (TOTP)認証アプリ
・ショートメッセージサービス(SMS)

オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.（本社：米国サンフランシスコ）は、8月16日（米国現地時間）にGitHubアカウントの保護強化への取り組みとして、2要素認証（2FA）を有効化したことを発表しました。

GitHubはソフトウェア開発におけるセキュリティ強化への多面的かつ継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用できる環境の提供と同時に、悪意のある攻撃者によるセキュリティ侵害からGitHubアカウントを確実に保護できるよう、多額の投資を行ってきました

この取り組みの一環として、デバイスの検証(https://github.blog/changelog/2019-07-01-verified-devices/ )、不正アクセスを受けたパスワードの使用防止(https://github.blog/changelog/2018-07-31-new-improvements-and-best-practices-for-account-security-and-recoverability/ )、WebAuthnのサポート(https://github.blog/2019-08-21-github-supports-webauthn-for-security-keys/ )、SSH Git操作時のセキュリティキーのサポート(https://github.blog/2021-05-10-security-keys-supported-ssh-git-operations/ )などを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証を可能にしています。本日、セキュリティ強化に関する最新情報として、以下をお知らせいたします。

Git操作に対するパスワードベースの認証を廃止
2020年12月の発表(https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ )において、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になることを事前告知しました。本件ついては予定通り、8月13日以降、Git操作に対するパスワード認証の受け入れを廃止しました。

GitHubアカウントでの2要素認証(2FA)の有効化
多要素認証のメリットは広く文書化(https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html )されており、フィッシングなどの多岐にわたる攻撃に対して効果が示されています。未設定の方は、ぜひこの機会にGitHubアカウントの2FAを有効化(https://docs.github.com/ja/github/authenticating-to-github/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication )されることを推奨いたします。

GitHubで2FAを使用する場合、さまざまなオプションが利用可能です。その一部をご紹介します。

YubiKey(http://yubico.com/github)などの物理的なセキュリティキー
ノートPCやスマートフォンのようなパーソナルデバイスに組み込まれ、WebAuthn対応テクノロジー(Windows Hello、Face ID/Touch IDなど)をサポートする仮想セキュリティキー

Time-based One-Time Password (TOTP)認証アプリ
ショートメッセージサービス(SMS)

SMSはオプションとして利用できますが、可能な限りセキュリティキーまたはTOTPを使用することを強く推奨いたします。SMSによる2FAでは同レベルの保護を提供できないため、NIST 800-63B(https://pages.nist.gov/800-63-3/sp800-63b.html )では現在推奨されていません。幅広く利用できて最も強力な方法は、新たに登場したWebAuthnの安全な認証標準に対応した方法です。これには、物理的なセキュリティキー、およびWindows HelloやFace ID/Touch IDといったテクノロジーをサポートするパーソナルデバイスが含まれます。GitHubではWebAuthn(https://webauthn.guide/ )に期待を寄せており、早い段階からWebAuthnへの投資を開始しました。さらに、今後も投資を継続していく予定です。

セキュリティキーを使用したコミット検証
GitHubアカウントの保護に使用しているセキュリティキーを、他のことにも活用できます。セキュリティキーに格納されたGPGキーを使用して、Gitコミットにデジタル署名(https://docs.github.com/ja/github/authenticating-to-github/managing-commit-signature-verification/signing-commits )をすることができます。GitHubでYubiKeyをセットアップ後のコミット検証やSSHベース認証を行う詳細な構成ガイドについては、こちら(https://resources.github.com/whitepapers/GitHub-guide-to-commit-signing/ )をご確認ください。さらに、GitHubではYubicoと連携して、SSHキーやコミット検証用にセキュリティキーを有効化する手順を分かりやすく説明したビデオガイド(https://www.youtube.com/watch?v=Y3mLBTCiccs )も公開しています。

セキュリティキーのご案内
GitHubは2015年(https://github.blog/2015-10-01-github-supports-universal-2nd-factor-authentication/ )にユニバーサル2要素認証のサポートを発表し、それを記念してGitHubブランドのYubiKeyを提供しました。このたびの2FA有効化機に、Yubico社の協力を得て、YubiKeyを増産しました。GitHubとGitHubを利用する開発者コミュニティを保護する取り組みの一環として、再びGitHubブランドのYubiKey 5 NFCキーとYubiKey 5C NFCキーをGitHubショップ(https://thegithubshop.com/products/github-branded-yubikey )にて販売を開始しました。在庫には限りがありますので、お早目にお求めください。

GitHub Blog
英語
https://github.blog/2021-08-16-securing-your-github-account-two-factor-authentication/
日本語
https://github.blog/jp/2021-08-24-securing-your-github-account-two-factor-authentication/

GitHubに関する情報は、こちらからもご覧いただけます。
Blog： (英語) https://github.blog (日本語) https://github.blog/jp
Twitter： (英語) @github( https://twitter.com/github )　　　
(日本語) @GitHubJapan( https://twitter.com/githubjapan )

【GitHub について】https://github.co.jp
GitHub（ギットハブ）は世界で6,500万人にのぼる開発者および300万以上の組織に利用されるソフトウェア開発プラットフォームです。プログラミング環境にオープンな会話と協調を重んじるコミュニケーションによって、コラボレーションを促進する開発環境を提供しています。これらの開発を実現するワークフローで必要となるコードレビュー、プロジェクトおよびチームマネージメント、ソーシャルコーディング、ドキュメント管理などに、これまで以上の効率性と透明性をもたらし、より高速かつ品質の高いソフトウェア開発を支援しています。
GitHubは多様なユースケースに適した開発プラットフォームを用意しており、オープンソースジェクトから企業における機密性の高いソフトウェア開発までに対応できます。無料で利用できるパブリックリポジトリは、オープンソースプロジェクトにて多く利用されています。プライベートリポジトリが利用できる有償サービスとして GitHub Enterprise や GitHub One などのプランも提供しています。2008年に米国サンフランシスコで創業したGitHub, Inc.は、初の海外支社として、2015年に日本支社を開設しました。

【製品／サービスに関するお問い合わせ先】
ギットハブ・ジャパン営業およびサポート窓口　
Email: jp-sales@github.com