GitHub、3月13日から2要素認証の義務化を開始　2023年末までの間に順次適用

　GitHubは、すべての開発者に対して、3月13日から2要素認証（2FA）の義務化を開始するとアナウンスした。2023年末までの間に、2要素認証を設定していないユーザーに順次適用する。

　義務化は2022年5月に発表され、12月に詳細が発表されていた。今回は、開始直前にあらためてアナウンスして注意を呼び掛けた形となる。

　3月13日からは、2要素認証をまだ設定していないユーザーに対して、小さなグループから順に2要素認証義務化を展開する。順番が回ってきたアカウントにはメールで通知され、GitHub.comに登録を求めるバナーが表示される。通知が来てからは45日間の猶予がある。

　期限が過ぎてからは、毎日GitHub.comに初めてアクセスするときに、2要素認証の有効化を求められる。通知は1日1回、最大1週間スヌーズできるが、それが過ぎても2要素認証を設定しないとアカウントが制限される。

　なお、スヌーズ期間の1週間は、期限後に最初にログインしてアクセスしたときからスタートするため、例えばちょうど休暇のときだったとしても、アクセスしていなければロックアウトされることはない。

　もちろん、義務化の順番が来る以前から自分で2要素認証を設定してもよい。

　2要素認証を設定すると、アカウントは28日間の検査期間に入り、その28日以内に2要素認証を正常に実行すると検査期間を終了できる。

　GitHubの2要素認証では、2要素目の認証手段として、時間ベースのワンタイムパスワード（TOTP）アプリケーション、SMS、セキュリティキー、GitHub Mobileのいずれかが利用できる。

2要素認証の義務化と設定の流れ

　なお、GitHubではアナウンスの中で、パスワードレスを実現する規格「PassKey」についても、社内でテストしていることも明らかにしている。

　近年では、ソフトウェアが利用しているライブラリなどに脆弱性を仕込まれることで、間接的に脆弱性が組み込まれてしまうソフトウェアサプライチェーン攻撃が問題になっている。米国では国家サイバーセキュリティ戦略の中で、ソフトウェアサプライチェーンセキュリティの強化が明文化されている。GitHubはまさにソフトウェアサプライチェーンの中心にあることから、2要素認証の義務化に踏み切った。