このガイドについて
このガイドでは、アカウントのセキュリティを強化するために行うことができる影響が最も大きい変更について説明します。 各セクションで、セキュリティを向上させるためにプロセスに対して行うことができる変更の概要を示します。 変更は影響が大きい順に示されます。
リスクとは
アカウントのセキュリティは、サプライ チェーンのセキュリティの基礎となります。 攻撃者が GitHub のアカウントを乗っ取ることができた場合、コードやビルド プロセスに悪意のある変更を加える可能性があります。 したがって、最初の目標としては インスタンス のお使いのアカウントと他の ユーザー に対する乗っ取りを困難にする必要があります。
認証の一元化
インスタンスのサイト管理者である場合、CAS、SAML、LDAP などの既存の ID プロバイダー (IdP) と接続する認証方法を選ぶことより、ユーザーのログイン エクスペリエンスを簡素化できます。 つまり、GitHub の追加のパスワードを記憶する必要はなくなります。
認証方法によっては、GitHub への追加情報 (たとえば、ユーザーがどのグループのメンバーであるかや、ユーザーの暗号化キーの同期など) の通信もサポートされます。 これは、組織の成長に合わせて管理を簡素化する優れた方法です。
GitHub で使用できる認証方法の詳細については、「ID とアクセス管理について」を参照してください。
2 要素認証の構成
個人用アカウントまたはインスタンス のセキュリティを向上させる最善の方法は、2 要素認証 (2FA) を構成することです。 パスワード自体は、推測しやすいこと、侵害された別のサイトでも利用されていたこと、またはフィッシングなどのソーシャル エンジニアリングによって侵害される可能性があります。 2FA を使用すると、攻撃者がパスワードを取得した場合でさえ、アカウントの侵害がはるかに困難になります。
ベスト プラクティスとして、セキュリティと、アカウントへの信頼できるアクセスを両方確保するため、第 2 認証要素の資格情報を常に 2 つはアカウントに登録してください。 資格情報を追加することで、1 つの資格情報が使えなくなったとしても、アカウントから閉め出されることがありません。
インスタンスのサイト管理者である場合、インスタンスのすべてのユーザー用に 2FA を構成できる場合があります。 2FA を使用できるかどうかは、使う認証方法によって異なります。 詳しくは、「認証の一元化」をご覧ください。
組織の所有者であれば、組織のすべてのメンバーが 2FA を有効化することを要求できる場合があります。
自分のアカウントで 2FA を有効にする方法について詳しくは、「2 要素認証を設定する」をご覧ください。 自分の organization で 2FA を要求する方法について詳しくは、「Organization で 2 要素認証を要求する」をご覧ください。
エンタープライズ アカウントの構成
エンタープライズの所有者は、インスタンスのすべてのユーザーに 2FA を要求できる場合があります。 GitHub 上で 2FA ポリシーを使用できるかどうかは、ユーザーがインスタンスにアクセスする際にどのように認証されるかによって異なります。
-
CAS または SAML SSO を使って外部 IdP 経由で GitHub Enterprise Server にサインインする場合、GitHub に 2FA を構成することはできません。 IdP の管理アクセス権を持つユーザーが、IdP に対して 2FA を構成する必要があります。
-
外部 LDAP ディレクトリを介して GitHub Enterprise Server にサインインする場合は、GitHub で Enterprise に 2FA を要求できます。 ディレクトリ外部のユーザーの組み込み認証を許可する場合、個々のユーザーは 2FA を有効にできますが、エンタープライズの 2FA を要求することはできません。
詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」をご覧ください。
個人アカウントの構成
Note
サイト管理者が構成した認証方法によっては、個人用アカウントで 2FA を有効にできない場合があります。
GitHub は 2FA のオプションをいくつかサポートしています。いずれも何もしないよりはましですが、最も安全なオプションは WebAuthn 資格情報です。 WebAuthn には、FIDO2 ハードウェア セキュリティ キー、Windows Hello などのプラットフォーム認証子、Apple の携帯または Google の携帯、パスワード マネージャーなどの認証子が必要です。 他の形式の 2FA であればフィッシングは困難とはいえ可能です (たとえば、6 桁のワンタイム パスワードを読み上げるように誰かに頼まれるなど)。 ただし、WebAuthn は、ドメイン スコープがプロトコルに組み込まれているため、フィッシングに対する耐性がはるかに高く、ログイン ページを偽装する Web サイトから資格情報が GitHub で使われるのを防ぐことができます。
2FA を設定するときは、必ず回復コードをダウンロードし、複数の 2FA 認証情報を設定する必要があります。 こうすることで、アカウントへのアクセスが 1 つのデバイスに依存しなくなります。 詳細については、「2 要素認証を設定する」および「2 要素認証リカバリ方法を設定する」を参照してください。
組織アカウントの構成
Note
サイト管理者が構成した認証方法によっては、organization で 2FA を必須にできない場合があります。
組織の所有者であれば、どのユーザーの 2FA が有効になっていないかを確認し、設定を支援してから、組織の 2FA を要求することができます。 そのプロセスの手順については、次を参照してください。
SSH キーを使って GitHub に接続する
Web サイトにサインインする以外にも、GitHub を操作する方法があります。 多くのユーザーは、SSH 秘密キーを使って、GitHub にプッシュするコードを認可します。 詳しくは、「SSH について」をご覧ください。
アカウントのパスワードと同様に、攻撃者が SSH 秘密キーを取得できた場合は、ユーザーを偽装し、ユーザーが書き込みアクセス権を持つ任意のリポジトリに悪意のあるコードをプッシュする可能性があります。 SSH 秘密キーをディスク ドライブに保存する場合は、パスフレーズで保護することをお勧めします。 詳しくは、「SSH キーのパスフレーズを使う」をご覧ください。
もう 1 つのオプションは、ハードウェア セキュリティ キーに SSH キーを生成することです。 2FA で使用しているのと同じキーを使用できます。 ハードウェア セキュリティ キーをリモートで侵害することは非常に困難です。SSH 秘密キーはハードウェア上に残っており、ソフトウェアから直接アクセスすることはできないためです。 詳しくは、「新しい SSH キーを生成して ssh-agent に追加する」をご覧ください。
ハードウェア対応の SSH キーは非常に安全ですが、組織によってはハードウェア要件が合わない場合があります。 代わりの方法は、短期間だけ有効な SSH キーを使用することです。そのため、秘密キーが侵害された場合でも、長い間悪用されることはありません。 これが、独自の SSH 証明機関を実行する背後にある概念です。 この方法によって、ユーザーの認証方法を細かく制御できるようになりますが、SSH 証明機関を自身で管理する責任を伴います。 詳しくは、「SSH認証局について」をご覧ください。