オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.（本社：米国サンフランシスコ）は、2023年3月9日(米国時間)に3月13日から、2023年末までにGitHub.comでコードを投稿するすべての開発者に2要素認証（2FA）の有効化を義務付ける取り組みを正式に展開すると発表しました。

2022年、GitHubではGitHub.com上のコードに貢献するすべての開発者に対し、2023年末までに2要素認証(2FA)を有効化するよう求める取り組み（https://github.blog/jp/2022-05-13-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/）を発表しました。

GitHubはソフトウェアサプライチェーンの中核を担っており、ソフトウェアサプライチェーンの安全性を確保する上で起点となるのは開発者だと考えています。この2FAに関する取り組みは、プラットフォーム全体を横断する取り組みの一環として、アカウントのセキュリティ向上によりソフトウェア開発の安全性を確保することを目的としています。開発者のアカウントはソーシャルエンジニアリングやアカウントの乗っ取り(ATO)の標的になることが多く、このような攻撃からオープンソースエコシステムの開発者と消費者を保護することは、サプライチェーンの安全性を確保（https://github.blog/2022-03-28-how-to-secure-your-end-to-end-supply-chain-on-github/）する上で第一歩であり、最も重要なステップです。

3月13日から2FA要件の展開を開始

3月13日より1年かけて、開発者と管理者のグループ（https://github.blog/2022-12-14-raising-the-bar-for-software-security-next-steps-for-github-com-2fa/）を対象に、2FA登録要件の通知を予定しています。小規模のグループから通知を開始し、段階的に展開していくことで、開発者の登録を滞りなく進めるとともに、年内に大規模なグループへと移行する前に必要に応じて調整を行うことができます。

ご利用のアカウントが登録の対象として選ばれると、通知メールが届き、GitHub.com上では登録を促すバナーが表示されます。2FAの設定は45日以内に実施してください。この期間中はリマインダーが表示されますが、それ以外は通常どおりにGitHubを使用できます。期限が過ぎるとGitHub.comへの初回アクセス時に2FAの有効化を求められるようになります。期限後も、登録の催促通知を最長で1週間、スヌーズ機能で繰り返し再表示させることができますが、それ以降はアカウントへのアクセスが制限されます。このスヌーズ期間は、設定期限を過ぎてサインインした時点から始まるため、休暇中または不在で対応できない場合でも業務に戻ってから1週間の猶予があります。

早期登録の対象グループに入っていない場合でもこちら（https://docs.github.com/ja/authentication/securing-your-account-with-two-factor-authentication-2fa）から簡易なステップで、2FAを設定できます。

2FAでGitHubアカウントの安全性確保がより簡単に

GitHubは、アカウントの所有者のみがいつでもアカウントにアクセスできるよう、信頼性と安全性に優れた手法を採用して、2FA登録をできる限り簡単に行えるようにしました。このプログラムの準備にあたり、GitHubは2FAエクスペリエンスの強化（https://github.blog/changelog/label/authentication/）に取り組んできました。

下記にて、主なポイントをご紹介します。

• 2FA設定後に2番目の要素を検証：GitHub.comユーザーが2FAを設定すると、28日後にプロンプトが表示され、2FAを実行して2番目の要素の設定を確認（https://github.blog/changelog/2023-01-11-second-factor-validation-after-2fa-setup/）するよう求められます。このプロンプトにより、認証アプリケーション(TOTPアプリ)の設定ミスによるアカウントのロックアウトを回避できます。2FAを実行できない場合は、アカウントからロックアウトされることなく、2FA設定をリセットできるショートカットが表示されます。
• 2番目の要素を複数登録：ユーザーがいつでもアカウントにアクセスできるようにするには、使いやすい2FA方式を採用することが重要であるため、認証アプリケーション(TOTP)とSMS番号の両方（https://github.blog/changelog/2023-03-02-sms-and-totp-can-now-both-be-registered-2fa-methods/）を同時に登録できるようにしました。GitHubが推奨する（https://github.blog/changelog/2022-11-21-updates-to-the-two-factor-authentication-setup-flow/）のは、SMSよりもセキュリティキーやTOTPアプリケーションの利用ですが、両方を同時に設定できるようにすることで、開発者が有効化でき、アクセスしやすく、わかりやすい別の2FAオプションを提供することにより、ロックアウトを減らすことができます。
• 優先する2FA方式を選択：新しい優先オプション（https://github.blog/changelog/2023-02-22-preferred-2fa-methods-and-settings-improvements/）によって、アカウントへのログイン時やsudoプロンプトの使用時に優先的に使用する2FA方式を設定することができ、サインイン時に常にお気に入りの方式が最初に表示されます。優先する2FA方式としてTOTP、SMS、セキュリティキー、GitHub Mobileを選択できます。GitHubでは、可能な限りセキュリティキーとTOTPを使用することを強く推奨（https://github.blog/changelog/2022-11-21-updates-to-the-two-factor-authentication-setup-flow/）します。SMSによる2FAは、同レベルの保護を提供できないため、NIST 800-63Bでは現在推奨されていません。特に強力な方式として広く活用されているのは、WebAuthnのセキュアな認証標準に対応する方式であり、物理的なセキュリティキー、およびWindows HelloやFace ID/Touch IDといったテクノロジーをサポートするパーソナルデバイスが含まれます。
• 2FAによるロックアウトに備えてメールのリンクを解除：GitHubのアカウントでは固有のメールアドレスが必要です。そのため、ロックアウトされたユーザーがアカウントを新たに作ろうとしても、いつも優先的に使い、あらゆる大事な場面で指定しているメールアドレスを使うことができません。今回、この機能を利用することで、2FAを有効化したGitHubアカウントへのサインインや復旧ができなくなった場合も、メールアドレスのリンクを解除（https://github.blog/changelog/2023-02-21-unlink-your-email-in-case-of-2fa-lockout/）できるようになりました。SSHキーやPAT、過去にGitHubにサインインしたデバイスがなくてアカウントを復旧できなくても、新しいGitHub.comアカウントを簡単に作り直して、コントリビューショングラフを本来あるべきとおり緑色に保てます。

使いやすさとフィッシングに対抗できる強力な認証機能を兼ね備えているパスキー（https://fidoalliance.org/passkeys/）については、既にGitHub社内でテストを実施しており、パスキーの提供時期については、後日アップデートいたします。

≪リマインダー≫2FAの有効化が必要になった場合の流れ

GitHubは、ユーザー側の予期しない作業の中断や生産性の損失を最小限におさえ、アカウントのロックアウトを防ぐために、2FAの取り組みを展開していくプロセスを設計（https://github.blog/2022-12-14-raising-the-bar-for-software-security-next-steps-for-github-com-2fa/）しました。これから段階的に、複数のユーザーグループに2FA有効化の依頼をお送りします。対象のグループは、過去に実行したアクションや貢献したコードに基づき選出されます。