GitHubついに二要素認証を義務化へ

GitHubがサイバー攻撃対策に本腰を入れるようだ。

[後藤大地，有限会社オングス]

　GitHubは2022年12月14日（現地時間）、2023年末までに「GitHub.com」の全てのユーザーに二要素認証の有効化を義務付ける予定だと伝えた。

　GitHubは既に、毎週100万回以上のダウンロードまたは500以上の依存関係を持つパッケージのメンテナーに対して二要素認証の有効化を求めている。今後は二要素認証を要求するユーザーを増やし、最終的に全てのユーザーに対して、少なくとも1つ以上の二要素認証を要求すると説明している。

GitHubは「GitHub.com」の全てのユーザーに二要素認証の有効化を義務付ける予定だ（出典：GitHubのWebサイト）

どのようなユーザーから二要素認証の有効化が求められるのか

　GitHubはユーザーを幾つかのグループに分類し、順に二要素認証の有効化を求めると説明した。現状どのようなグループ分類になるかは明言されていないが、以下の条件が判断の指針にはなると伝えられている。

• GitHubまたはOAuthアプリやパッケージを公開している
• リリースを作成している
• 企業や組織の管理者をしている
• npm、OpenSSF、PyPI、RubyGemsなどの重要と考えられているリポジトリに対してコードを提供している
• 上位400万リポジトリ（パブリックおよびプライベート含む）にコードを提供している

　二要素認証の有効化要求が送られてくるタイミングはユーザーごとに異なるとされているが、その手順は以下のようなものになるとされている。

1. 二要素認証を有効にするための準備期間は45日間設けられる。その間にGitHub.comのトップにある告知バナーから二要素認証の有効化を促す通知が送られてきたり、メールでの通知が送られてきたりするようになる
2. 上記期間を超えても二要素認証が有効化されなかった場合、毎日GitHub.comにアクセスする最初のタイミングで二要素認証を有効化するようにプロンプトが表示される。表示されるプロンプトは1日1回まで、最長で1週間まで延期できるが、1週間を過ぎると二要素認証を有効にするまでGitHub.comの機能にアクセスできなくなる
3. 二要素認証を有効にしてから28日が経過すると、GitHub.comの使用中に二要素認証のチェックアップが表示され、二要素認証が適切に動作しているかどうかの検証が行われる

　近年、GitHub.comのようなソフトウェア開発に使われるサービスがサイバー攻撃に悪用されるケースが増えており、今回GitHubが発表したようなセキュリティ対策が必要な状況になってきている。