Authenticate 2023から、GitHubがパスキーを導入した経緯を解説するセッションを紹介

FIDO Alliance主催のAuthenticate 2023から、ソースコードリポジトリのGitHubのエンジニアがユーザー認証にパスキー（2要素認証）を導入した経緯を解説したセッションを紹介する。セッションのタイトルは「Project Bulwark ? How passkeys helped enable 2FA for millions of developers」、プレゼンテーションを行ったのは、Hirsch Singhal氏（Staff Product Manager）とHannah Gould氏（Senior Software Engineer）の2名のエンジニアだ。

GitHubが、よりセキュアな認証システムに移行することは2023年7月12日に公開された以下のブログでも解説されている通りで、現在はパブリックベータという状態だ。このブログを書いたのが、他ならぬ今回のセッションを担ったうちのSinghal氏である。

●ブログ：Introducing passwordless authentication on GitHub.com

セッションを行うSinghal氏（左）とGould氏（右）

まずどうして2要素認証が必要だとGitHubが考えるようになったかという背景を解説。

GitHub.comにおける2要素認証の必要性を解説

ここではデベロッパーを守るためことを目標として掲げているが、ソフトウェア開発のライフサイクルにおいてデベロッパーがコードを書き、それをセキュアに保護することが必要であると説明している。そしてその出発点はユーザーアカウントが認証されていることであると説明。何よりもここが壊れると、それ以降のプロセスをどれだけセキュアに保っても意味がないことを示している。最近のハッカーは、システムに侵入するためにさまざまな手法でログインのためのクレデンシャルを盗もうと試みている。ユーザーとして正しくログインを行うという傾向からも、ログインのためのクレデンシャルとしてパスワードだけでは危険であるというのが共通認識だろう。

ログインを正しくセキュアに行うことがデベロッパー保護の出発点

そのためにGitHub.comにおける2要素認証を2023年の末までにすべてのユーザーに必須とするというのが計画だと説明。

2023年末までに2要素認証を必須にすると説明

ただし2要素認証には大きな問題があると説明。ここでは2点に絞って説明している。

GitHub.comにおける2要素認証導入の問題点を解説

従来の2要素認証ではユーザーに大きな負担を強いることになる点とGitHub.comを利用するに当たって2要素認証がサービスの使い勝手を悪くする可能性があることを指摘。

その問題点を裏付けるデータを見せて、2要素認証が利用する側にも導入する側にも大きな負担になると説明し、その救済としてパスキーを検討したという流れだ。

2要素認証によって問い合わせが急増したことを示すグラフを紹介

パスキーによって多くの問題が解決すると想定したが、復旧方法やサポートなどについては多少の不安はあったことを解説した。

解決策となるはずのパスキーだが不安も残る

ただしパスキー自体の普及は順調に伸びており、使い勝手などの面の不安は解消されたと言うことだろう。

GitHub.comにおけるパスキー登録数は順調に伸びている

そして今後の予定としてパスキーによる登録方法のさらなる告知、パスキーのみのユーザー登録のサポート強化などを挙げて、ソースコードリポジトリでありCI/CDのプラットフォームとしても機能を拡充されているGitHubがパスキーをメインの認証手段として強化していく予定であることを示した。

GitHub.comの今後の計画を紹介

セッションの後には、セッションの内容について質問を行う参加者もあり、インターネット上のサービスのエントリーポイントとしてパスキーを必須とすることでユーザーにもサービス提供者にも大きな利益があることを示したセッションとなった。

プレゼンターに質問を行う参加者たち

デベロッパーが開発に使うプラットフォーム自体にパスキーが導入されることで、そのデベロッパーが開発するサービスやプロダクトにおいてもパスキーが利用されることが拡がる可能性が高くなるのは、IT業界においては良い傾向と言えるだろう。米国政府からも強く支持されているパスキーが、日本のエンタープライスにおいても広く採用されることを祈りたい。