GitHubは、アカウントの侵害を防ぐために、SSH越しでのGitの操作にセキュリティキーによる認証を利用できるようにしたと発表した。
GitHubのセキュリティエンジニアであるKevin Jones氏は、米国時間5月10日に投稿したブログ投稿で、SSH越しでの操作の認証にセキュリティキーを使えば、自分のアカウントを意図しない漏えいや乗っ取り、マルウェアなどの危険から守ることができると述べている。
「YubiKey」「Thetis Fido U2F Security Key」「Google Titan Security Key」などのセキュリティキーは携帯できる物理的なドングルで、オンラインで利用するサービスやアカウントのセキュリティを強化するものだ。
強いパスワードも重要ではあるが、情報漏えいやサイバー攻撃が多発していることから、それだけではセキュリティを守る手段として十分ではなくなりつつある。このため、認証情報の流出状況を監視するパスワードマネージャーや生体認証、物理的なセキュリティキーが使われるようになってきている。
GitHubもパスワードの利用を廃止し、より安全な認証手段に移行しようとしている。現時点ではGitにアクセスする際の認証手段にパスワード、PAT(Personal Access Token)、SSHキーを利用できるが、同社は2021年中にパスワードのサポートを廃止する計画だ。
Jones氏は「パスワードが便利であることは理解しているが、パスワードはアカウントのセキュリティを保護する上で常に課題になっている」と述べている。「われわれは、パスワードは過去と現在ではあるが、未来ではないと考えている。(中略)既にAPIでは廃止済みだが、Gitでもパスワードのサポートを廃止することで、全てのユーザーと組織、そして結果的に生まれるソフトウェアサプライチェーンのセキュリティ衛生の最低基準を引き上げる」
セキュリティキーに移行するには、GitHubにログインし、ドキュメントの指示に従って新しいキーを作成して、そのキーをアカウントに登録する必要がある。作業手順は、アカウントにSSHキーを登録する手順と似たものになっている。同じセキュリティキーをウェブ認証とSSH認証の両方に使用することもできる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
