4. セキュリティ設定(2要素認証の有効化)

GitHubを安全に利用するために、セキュリティ設定、特に2要素認証(2FA)の設定は非常に重要です。
ビジネスで使う場合はもちろん、個人利用でも必ず設定しておきましょう。

2要素認証(2FA)とは

2要素認証とは、「パスワード」だけでなく、「モバイルアプリや電話などの別の認証手段」も組み合わせてログインする方法です。
これにより、万が一パスワードが漏洩しても、第三者があなたのアカウントに不正アクセスするリスクを大幅に減らせます。
パスワードが盗まれるリスクは思っているより高いため、2FAは現代のインターネットサービス利用における基本的な安全対策です。

2FAは必須になります

GitHubは2023年からすべてのコードをプッシュするユーザーに対して、2要素認証の利用を義務付けています。
つまり、GitHubでコードを共有・管理する予定があるなら、いずれにせよ設定が必要です。
この機会に今すぐ設定しておくことをお勧めします。

2要素認証の設定方法

GitHubでの2要素認証の設定は、以下の簡単なステップで完了します。

設定画面へアクセス

GitHubにログインした状態で、画面右上のプロフィールアイコンをクリックし、
ドロップダウンメニューから「Settings」(設定)を選択します。

設定メニューへのアクセス

図2-8: 設定メニューへのアクセス方法。右上のプロフィールアイコンから「Settings」を選択。

認証設定を開く

左側のサイドメニューで「Password and authentication」をクリックします。
すると認証設定セクションが表示されます。

認証設定画面へのアクセス

図2-9: 左側メニューから認証設定にアクセス。

2要素認証をオンにする

「Two-factor authentication」セクションで「Enable two-factor authentication」ボタンをクリックします。
2要素認証の設定ウィザードが始まります。

認証方法の選択

主に以下の方法から選択できます:

  • 認証アプリケーション(推奨):Google AuthenticatorやMicrosoft Authenticatorなどのアプリを使用
  • セキュリティキー:物理的なセキュリティキーデバイスを使用
  • SMS認証:携帯電話のSMSメッセージで認証コードを受け取る(セキュリティレベルは他に比べて低め)

最もポピュラーで使いやすいのは「認証アプリケーション」です。ここでは認証アプリを使った設定方法を説明します。

認証アプリのセットアップ

「Set up using an app」を選択すると、QRコードが表示されます。
スマートフォンに認証アプリ(Google AuthenticatorやMicrosoft Authenticatorなど)をインストールし、
アプリでQRコードをスキャンします。

認証アプリの導入方法

1. スマートフォンのアプリストアから「Google Authenticator」または「Microsoft Authenticator」をインストール
2. アプリを起動し、「+」や「アカウントを追加」などのボタンをタップ
3. 「QRコードをスキャン」を選択し、GitHubに表示されているQRコードをスキャン
4. アプリに6桁の認証コードが表示されることを確認

QRコードのスキャン

図2-10: GitHubに表示されたQRコードを認証アプリでスキャンします。

認証コードの確認

認証アプリにGitHubアカウントが追加されると、6桁の認証コードが表示されます。
GitHubの画面に戻り、表示されたコードを入力して「Verify」をクリックします。
コードが正しければ、2要素認証の初期設定は完了です。

リカバリーコードを保存

設定が完了すると、GitHubはリカバリーコード(バックアップコード)を表示します。
これは、スマートフォンを紛失したなど認証アプリが使えなくなった場合の緊急用コードです。
必ずこれらのコードをコピーして安全な場所に保存してください。
印刷したり、パスワード管理ツールなどに保存しておくことをお勧めします。

リカバリーコード

図2-11: リカバリーコードは必ず安全な場所に保存しておきます。

2要素認証を有効化した後の動作

2要素認証を設定した後、GitHubにログインすると以下のような流れになります:

  1. まず通常のパスワードでログインします
  2. 次に認証コードの入力画面になります
  3. 認証アプリに表示されている6桁のコードを入力します
  4. コードが正しければログインが完了します

信頼できるデバイスでは30日間認証を省略する設定も可能です。詳しくはGitHubの設定画面で確認してください。

チーム全員の設定が重要

企業やチームでGitHubを使用する場合、全メンバーが2要素認証を設定することが重要です。
セキュリティはチーム内で最も弱い部分が全体の強度を決めてしまいます。
管理者は全メンバーが2要素認証を設定するよう、定期的に確認しましょう。
組織アカウントでは、メンバー全員に2要素認証を強制する設定も可能です。