GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。
Git操作に対するパスワードベースの認証を廃止
2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になることをお知らせしました。これについては予定どおり、8月13日以降、Git操作に対するパスワード認証の受け入れを廃止しました。
GitHubアカウントでの2要素認証(2FA)の有効化
まだ設定されていない方は、ぜひこの機会にGitHubアカウントの2FAを有効化してください。多要素認証のメリットは広く文書化されており、フィッシングなどの多岐にわたる攻撃に対して効果的です。GitHubで2FAを使用する場合、さまざまなオプションが利用可能です。その一部をご紹介します。
- YubiKeyなどの物理的なセキュリティキー
- ノートPCやスマートフォンのようなパーソナルデバイスに組み込まれ、WebAuthn対応テクノロジー(Windows Hello、Face ID/Touch IDなど)をサポートする仮想セキュリティキー
- Time-based One-Time Password (TOTP)認証アプリ
- ショートメッセージサービス(SMS)
SMSはオプションとして利用できますが、可能な限りセキュリティキーまたはTOTPを使用することを強くおすすめします。SMSによる2FAでは同レベルの保護を提供できないため、NIST 800-63Bでは現在推奨されていません。幅広く利用できて最も強力な方法は、新たに登場したWebAuthnの安全な認証標準に対応した方法です。これには、物理的なセキュリティキー、およびWindows HelloやFace ID/Touch IDといったテクノロジーをサポートするパーソナルデバイスが含まれます。GitHubではWebAuthnに期待を寄せており、早い段階からWebAuthnへの投資を開始しました。さらに、今後も投資を継続していく予定です。
セキュリティキーを使用したコミット検証
アカウント保護に使用しているセキュリティキーを、他のことにも活用できます。セキュリティキーに格納されたGPGキーを使用して、Gitコミットにデジタル署名をすることができます。GitHubでYubiKeyをセットアップしてコミット検証やSSHベース認証を行う詳細な構成ガイドについては、こちらをご確認ください。さらに、GitHubではYubicoと連携して、SSHキーやコミット検証用にセキュリティキーを有効化する手順を分かりやすく説明したビデオガイドも作成しました。
セキュリティキーのご案内
最後になりますが、GitHubでは2015年にユニバーサル2要素認証のサポートを発表し、それを記念してGitHubブランドのYubiKeyを提供しました。そして、この機会にYubico社の協力を得て、YubiKeyを増産しました。GitHubとGitHubを利用する開発者コミュニティを保護する取り組みの一環として、再びGitHubブランドのYubiKey 5 NFCキーとYubiKey 5C NFCキーを販売いたします。在庫には限りがありますので、お早目にGitHubショップでお求めください。