編集部からのお知らせ
新着! 記事まとめ集「銀行のITビジネス」
EDRの記事まとめダウンロードはこちら

SSH越しでのGitHub操作にセキュリティキーが利用可能に--2021年中にパスワードを廃止へ

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2021-05-12 13:11

 GitHubは、アカウントの侵害を防ぐために、SSH越しでのGitの操作にセキュリティキーによる認証を利用できるようにしたと発表した。

 GitHubのセキュリティエンジニアであるKevin Jones氏は、米国時間5月10日に投稿したブログ投稿で、SSH越しでの操作の認証にセキュリティキーを使えば、自分のアカウントを意図しない漏えいや乗っ取り、マルウェアなどの危険から守ることができると述べている。

 「YubiKey」「Thetis Fido U2F Security Key」「Google Titan Security Key」などのセキュリティキーは携帯できる物理的なドングルで、オンラインで利用するサービスやアカウントのセキュリティを強化するものだ。

 強いパスワードも重要ではあるが、情報漏えいやサイバー攻撃が多発していることから、それだけではセキュリティを守る手段として十分ではなくなりつつある。このため、認証情報の流出状況を監視するパスワードマネージャーや生体認証、物理的なセキュリティキーが使われるようになってきている。

 GitHubもパスワードの利用を廃止し、より安全な認証手段に移行しようとしている。現時点ではGitにアクセスする際の認証手段にパスワード、PAT(Personal Access Token)、SSHキーを利用できるが、同社は2021年中にパスワードのサポートを廃止する計画だ。

 Jones氏は「パスワードが便利であることは理解しているが、パスワードはアカウントのセキュリティを保護する上で常に課題になっている」と述べている。「われわれは、パスワードは過去と現在ではあるが、未来ではないと考えている。(中略)既にAPIでは廃止済みだが、Gitでもパスワードのサポートを廃止することで、全てのユーザーと組織、そして結果的に生まれるソフトウェアサプライチェーンのセキュリティ衛生の最低基準を引き上げる」

 セキュリティキーに移行するには、GitHubにログインし、ドキュメントの指示に従って新しいキーを作成して、そのキーをアカウントに登録する必要がある。作業手順は、アカウントにSSHキーを登録する手順と似たものになっている。同じセキュリティキーをウェブ認証とSSH認証の両方に使用することもできる。

GitHub

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]