GitHubは2022年12月14日(現地時間)、2023年末までに「GitHub.com」の全てのユーザーに二要素認証の有効化を義務付ける予定だと伝えた。
GitHubは既に、毎週100万回以上のダウンロードまたは500以上の依存関係を持つパッケージのメンテナーに対して二要素認証の有効化を求めている。今後は二要素認証を要求するユーザーを増やし、最終的に全てのユーザーに対して、少なくとも1つ以上の二要素認証を要求すると説明している。
どのようなユーザーから二要素認証の有効化が求められるのか
GitHubはユーザーを幾つかのグループに分類し、順に二要素認証の有効化を求めると説明した。現状どのようなグループ分類になるかは明言されていないが、以下の条件が判断の指針にはなると伝えられている。
- GitHubまたはOAuthアプリやパッケージを公開している
- リリースを作成している
- 企業や組織の管理者をしている
- npm、OpenSSF、PyPI、RubyGemsなどの重要と考えられているリポジトリに対してコードを提供している
- 上位400万リポジトリ(パブリックおよびプライベート含む)にコードを提供している
二要素認証の有効化要求が送られてくるタイミングはユーザーごとに異なるとされているが、その手順は以下のようなものになるとされている。
- 二要素認証を有効にするための準備期間は45日間設けられる。その間にGitHub.comのトップにある告知バナーから二要素認証の有効化を促す通知が送られてきたり、メールでの通知が送られてきたりするようになる
- 上記期間を超えても二要素認証が有効化されなかった場合、毎日GitHub.comにアクセスする最初のタイミングで二要素認証を有効化するようにプロンプトが表示される。表示されるプロンプトは1日1回まで、最長で1週間まで延期できるが、1週間を過ぎると二要素認証を有効にするまでGitHub.comの機能にアクセスできなくなる
- 二要素認証を有効にしてから28日が経過すると、GitHub.comの使用中に二要素認証のチェックアップが表示され、二要素認証が適切に動作しているかどうかの検証が行われる
近年、GitHub.comのようなソフトウェア開発に使われるサービスがサイバー攻撃に悪用されるケースが増えており、今回GitHubが発表したようなセキュリティ対策が必要な状況になってきている。
関連記事
- 2022年を騒がせたセキュリティ事件トップ10は? Trellixが調査を発表
Trellixは「2022年の10大セキュリティ事件」を発表した。国内のビジネスパーソンを対象に2021年12月〜2022年11月に報道された事件の認知度を調査した。 - 迫る長期休暇、休み前のIT管理者がやっておくべき3つのこと
IPAは、年末年始の長期休暇を迎えるに当たり注意すべきセキュリティのポイントを紹介した。長期休暇前と長期休暇後でそれぞれ取るべき対策が異なるため確認の上、準備を始めてほしい。 - 脅威ハンティングのプロが語る、6つの“残念な”セキュリティ事例
2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。 - OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開
GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.