第3章：アカウントセキュリティの基本

学習目標

この章を読み終える頃には、GitHubアカウントを安全に運用するための基本的なセキュリティ設定を完了できるようになります。2段階認証、SSHキー、適切なパスワード管理を通じて、あなたの大切な作品とアカウントを守る方法を身につけます。

3.1 パスワード管理とセキュリティ設定

なぜセキュリティが重要なのか

GitHubアカウントには、あなたの学習成果、作品、そして将来的には仕事に関わる重要なコードが保存されます。これらの情報を守るためには、適切なセキュリティ対策が欠かせません。

GitHubアカウントが狙われる理由：

セキュリティ問題の対処

貴重な知的財産

あなたが時間をかけて作成したプログラム
独自のアイデアや設計思想
学習過程で蓄積された知識とノウハウ
将来的な転職・就職活動での重要な資産

他のサービスへの影響

同じメールアドレスやパスワードを使用している他のサービス
連携しているクラウドサービスやアプリケーション
個人情報や連絡先の漏洩リスク

信頼関係の破綻

チームメンバーや協力者への迷惑
オープンソースコミュニティでの信頼失墜
企業での情報セキュリティ事故

実際に起こりうる被害例：

ケース1: パスワード使い回しによる被害
- 別のサービスからパスワードが漏洩
- 同じパスワードでGitHubにログインされる
- プロジェクトが勝手に削除・改ざんされる
- 機密情報が第三者に閲覧される

ケース2: フィッシング攻撃による被害
- 偽のGitHubログイン画面でパスワード入力
- 認証情報が攻撃者に送信される
- アカウントを乗っ取られて悪用される
- 他のユーザーへのスパム送信に利用される

認証トラブルシューティング

ログインできない、アクセスが拒否されるなどの認証エラーは、適切な手順で解決できます。問題の種類を特定し、段階的に対処することが重要です。

強固なパスワードの作成

パスワードの基本要件：

文字数と複雑さ

最低12文字以上（推奨：16文字以上）
大文字・小文字・数字・記号を組み合わせ
辞書に載っている単語を避ける
個人情報（誕生日、名前等）を使用しない

良いパスワードの例：

悪い例：
- password123
- github2024
- tanaka1990
- 123456789

良い例：
- My$ecur3P@ssw0rd2024!
- C0ff33&C0d1ng#L1f3
- Tr@vel2Tok70*Sum2024
- L34rn1ng@GitHub$Fun

パスワード作成のコツ：

フレーズベース法 覚えやすい文章から作成する方法：

元の文章: "I love programming with JavaScript in 2024"
パスワード: "Il0v3Pr0gr@mm1ng_w1th_J@v@$cr1pt_1n_2024!"

手順:
1. 覚えやすい文章を考える
2. 一部の文字を数字や記号に置き換え
3. 大文字小文字を混在させる
4. 記号を追加して複雑化

単語組み合わせ法 関連性のない単語を組み合わせる方法：

単語: "Coffee" + "Mountain" + "Guitar" + "2024"
パスワード: "C0ff33_M0unt@1n_Gu1t@r_2024!"

パスワードマネージャーの活用

複数のサービスで異なる強固なパスワードを管理するには、パスワードマネージャーの使用が不可欠です。

パスワードマネージャーのメリット：

安全性の向上

各サービスで異なるパスワードを自動生成
マスターパスワード1つだけ覚えればよい
フィッシング攻撃からの保護
自動入力による入力ミス防止

利便性の向上

パスワードを覚える必要がない
自動ログイン機能
複数デバイス間での同期
セキュリティ違反の通知

推奨パスワードマネージャー：

無料版で十分利用可能：

Bitwarden：オープンソース、豊富な機能
1Password：高いセキュリティ、優れたUI
LastPass：無料版あり、広く利用されている

ブラウザ内蔵：

Chrome Password Manager：Googleアカウント連携
Safari Keychain：Apple製品間での同期
Firefox Lockwise：プライバシー重視

ネットワーク接続のトラブルシューティング

ネットワーク接続問題

GitHubへのアクセスに問題がある場合、ネットワーク設定、ファイアウォール、プロキシ設定などが原因の可能性があります。上記のフローチャートに従って問題を特定しましょう。

GitHubセキュリティ設定の確認

基本セキュリティ設定の確認手順：

Step 1: セキュリティ設定画面へアクセス

GitHubにログイン
右上のプロフィールアイコンをクリック
「Settings」を選択
左サイドバーの「Password and authentication」をクリック

Step 2: パスワード強度の確認

現在のパスワードが十分に強固か確認
必要に応じて新しいパスワードに変更
パスワード変更時は全デバイスで再ログインが必要

Step 3: セッション管理

「Sessions」で現在のログインセッションを確認
不審なアクセスがないかチェック
不要なセッションは「Revoke」で削除

Step 4: セキュリティログの確認

「Security log」で最近のアクティビティを確認
ログイン履歴、設定変更、権限変更を監視
身に覚えのない活動がないかチェック

セキュリティに関する通知設定

重要な通知の有効化：

セキュリティアラート

不審なログイン試行の通知
パスワード変更時の確認メール
新しいデバイスからのアクセス通知
権限変更時のアラート

アカウント活動通知

新しいSSHキーの追加
Personal Access Tokenの作成・削除
重要な設定変更
セキュリティ設定の変更

通知設定の変更手順：

Settings → Notifications
「Security alerts」セクションを確認
重要な項目にチェック
通知方法（メール、Web、モバイル）を選択

3.2 2段階認証の設定と重要性

2段階認証とは何か

2段階認証（Two-Factor Authentication, 2FA）は、パスワードに加えて第2の認証要素を要求するセキュリティ機能です。これにより、パスワードが漏洩しても第三者による不正アクセスを防ぐことができます。

2段階認証の仕組み：

第1要素：知識認証（Something you know）

ユーザー名とパスワード
従来からの基本的な認証方法
記憶に基づく認証

第2要素：所有認証（Something you have）

スマートフォンアプリで生成されるコード
SMS で送信される認証コード
ハードウェアトークン

認証フロー：

ユーザー名・パスワード入力
GitHubが認証情報を確認
2段階認証コードの入力を要求
スマートフォンアプリで6桁コードを確認
コードを入力
両方の認証が成功した場合のみログイン許可

設定・環境問題のトラブルシューティング

設定・環境問題

GitHubの各種設定やローカル環境の問題は、作業効率に大きな影響を与えます。上記のチェックリストを使って、段階的に問題を特定・解決していきましょう。

2段階認証が防げる攻撃

パスワード漏洩からの保護

他のサービスからのパスワード流出
フィッシング攻撃による認証情報窃取
ブルートフォース攻撃（総当たり攻撃）
ソーシャルエンジニアリング攻撃

実際の保護例：

攻撃シナリオ: フィッシング攻撃
攻撃者が偽のGitHubログイン画面を作成
ユーザーがパスワードを入力
攻撃者がパスワードを取得
攻撃者が本物のGitHubでログイン試行
2段階認証により、6桁コードが要求される
攻撃者はスマートフォンを持たないため認証失敗
不正アクセスが阻止される

診断ツールの使用方法

診断ツール使用

GitHubやGitに関連する問題を解決するためには、適切な診断ツールを使用することが重要です。上記のフローチャートに従って、状況に応じたツールを選択しましょう。

認証アプリの設定手順

推奨認証アプリ：

Google Authenticator：無料、シンプル、広く対応
Microsoft Authenticator：Microsoft製品との連携
Authy：クラウド同期、複数デバイス対応
1Password：パスワードマネージャーと統合

設定手順（Google Authenticator の例）：

Step 1: 認証アプリのインストール

App Store（iOS）または Google Play（Android）を開く
「Google Authenticator」を検索
アプリをダウンロード・インストール
アプリを起動して初期設定を完了

Step 2: GitHubでの2段階認証有効化

GitHub Settings → Password and authentication
「Two-factor authentication」セクションを見つける
「Enable two-factor authentication」をクリック
「Set up using an app」を選択

Step 3: QRコードの読み取り

Google Authenticator で「+」ボタンをタップ
「QRコードをスキャン」を選択
GitHub画面のQRコードにスマートフォンを向ける
正常に読み取られると6桁のコードが表示される

Step 4: 初回認証とバックアップコード

アプリに表示された6桁のコードをGitHubに入力
「Enable」をクリック
バックアップコードが表示される
バックアップコードを安全な場所に保存

バックアップコードの重要性

バックアップコードは、スマートフォンを紛失した場合やアプリが動作しない場合のための緊急用コードです。

バックアップコードの特徴：

各コードは1回のみ使用可能
通常8-10個のコードが提供される
使用後は新しいコードが生成される
安全な場所への保管が必要

安全な保管方法：

デジタル保管

パスワードマネージャーでの保管（推奨）
暗号化されたファイルでの保存
セキュアなクラウドストレージ
複数の場所での分散保管

物理的保管

紙に印刷して金庫保管
複数の場所での分散保管
家族など信頼できる人への共有
銀行の貸金庫での保管

避けるべき保管方法：

デスクトップの見えるところにテキストファイル保存
メモアプリでの平文保存
メールでの送信・保存
SNSやチャットでの共有

リポジトリ破損の復旧方法

リポジトリ破損復旧

万が一リポジトリのデータが破損した場合でも、適切な手順で復旧できる可能性があります。GitHubはクラウドベースのサービスなので、ローカルの問題とリモートの問題を分けて考えることが重要です。

スマートフォン紛失時の対処

事前準備：

バックアップコードの安全な保管
複数の認証方法の設定
緊急連絡先の登録
デバイス管理の有効化

紛失時の対処手順：

Step 1: 緊急ログイン

GitHubログイン画面で「Having problems?」をクリック
「Use a recovery code」を選択
保管していたバックアップコードを1つ使用
ログイン完了

Step 2: 2段階認証の再設定

Settings → Password and authentication
既存の2段階認証を無効化
新しいデバイスで再度設定
新しいバックアップコードを生成・保管

Step 3: セキュリティ強化

パスワードの変更（念のため）
セキュリティログの確認
不審なアクティビティのチェック
関連するセッションの無効化

データ復旧・バックアップ戦略

データ復旧バックアップ戦略

重要なコードとデータを守るためには、適切なバックアップ戦略が不可欠です。GitHubはクラウドベースのサービスですが、ローカルバックアップや複数のリモートリポジトリを組み合わせた包括的な戦略が推奨されます。

パフォーマンス最適化の方法

パフォーマンス最適化

GitHubやGitのパフォーマンスを向上させるための様々な手法があります。リポジトリのサイズ管理、ネットワーク設定の最適化、効率的なワークフローの構築などを組み合わせて、快適な開発環境を実現しましょう。

3.3 SSHキーの基本概念と設定

パスワード認証とSSHキー認証の違い

SSH（Secure Shell）キー認証は、パスワードの代わりに暗号化キーを使用する認証方法です。特に、GitHub Desktop やコマンドラインでGitを使用する際に推奨される方法です。

パスワード認証の課題：

毎回パスワードの入力が必要
ネットワーク経由でのパスワード送信リスク
ブルートフォース攻撃への脆弱性
パスワード忘れによるアクセス不能

チームコラボレーションのトラブルシューティング

チームコラボレーショントラブルシューティング

チームでの開発では、個人での作業とは異なる種類の問題が発生します。権限管理、ブランチ管理、マージ競合などの問題を事前に理解し、適切な対処手順を知っておくことが重要です。

SSHキー認証のメリット：

一度設定すれば自動認証
より高いセキュリティレベル
総当たり攻撃に対する耐性
パスワード入力の手間を省略

予防ベストプラクティス

問題が発生してから対処するよりも、事前に適切な予防策を講じておくことがはるかに効率的です。上記のベストプラクティスを日常的に実践することで、多くのトラブルを未然に防ぐことができます。

ファイル権限アクセス問題

ファイルやディレクトリの権限問題は、特にLinuxやmacOS環境でよく発生します。適切な権限設定とアクセス管理を行うことで、セキュリティと使いやすさを両立できます。

公開鍵・秘密鍵の概念

SSHキー認証では、数学的に関連した2つのキー（鍵）を使用します：

公開鍵（Public Key）

GitHubに登録するキー
誰に見られても安全
暗号化や署名の検証に使用
「鍵穴」のような役割

秘密鍵（Private Key）

あなたのPC内に保管するキー
絶対に他人に見せてはいけない
復号化や署名の作成に使用
「鍵」のような役割

認証の仕組み：

あなたのPCが秘密鍵で「デジタル署名」を作成
GitHubが公開鍵でその署名を検証
署名が正しければ、秘密鍵の所有者だと認証
アクセスが許可される

日常生活での例：

郵便ポストの例:
- 公開鍵 = ポストの投入口（誰でも見える、郵便物を入れられる）
- 秘密鍵 = ポストの鍵（郵便局員だけが持つ、取り出し可能）
- 他人が投入口を見ても、中身は取り出せない
- 正しい鍵を持つ人だけが郵便物を取り出せる

GitHub Desktop でのSSHキー自動設定

最も簡単な方法は、GitHub Desktop にSSHキー管理を任せることです。

GitHub Desktop での自動設定：

初回設定時の自動生成：

GitHub Desktop をインストール
GitHubアカウントでログイン
「Create SSH key」が表示されたら「Yes」をクリック
パスフレーズを設定（推奨）
自動的にSSHキーが生成・登録される

既存アカウントでの設定：

GitHub Desktop → Preferences（設定）
「Accounts」タブを選択
「Create SSH Key」をクリック
パスフレーズを設定
「Save SSH Key」で保存

設定確認：

GitHub Web サイト → Settings
「SSH and GPG keys」をクリック
新しいSSHキーが登録されていることを確認
キー名に「GitHub Desktop」と表示される

手動でのSSHキー作成と登録

高度なユーザー向けの手動設定：

SSH キーの生成（ターミナル/コマンドプロンプト）：

# RSA キーの生成（2048ビット以上推奨）
ssh-keygen -t rsa -b 4096 -C "your.email@example.com"

# ED25519 キーの生成（より新しい暗号化方式）
ssh-keygen -t ed25519 -C "your.email@example.com"

生成プロセス：

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): [Enter]
Enter passphrase (empty for no passphrase): [強固なパスフレーズを入力]
Enter same passphrase again: [再度入力]
Your identification has been saved in /Users/username/.ssh/id_rsa
Your public key has been saved in /Users/username/.ssh/id_rsa.pub

公開鍵の内容確認：

# macOS/Linux
cat ~/.ssh/id_rsa.pub

# Windows (Git Bash)
cat ~/.ssh/id_rsa.pub

# Windows (PowerShell)
Get-Content ~/.ssh/id_rsa.pub

GitHubへの登録：

公開鍵の内容をクリップボードにコピー
GitHub → Settings → SSH and GPG keys
「New SSH key」をクリック
Title に分かりやすい名前を入力
Key フィールドに公開鍵を貼り付け
「Add SSH key」をクリック

SSHキーのセキュリティベストプラクティス

強固なパスフレーズの設定：

12文字以上の複雑なパスフレーズ
パスワードマネージャーでの管理
定期的な変更（年1回程度）

キーの適切な管理：

秘密鍵のバックアップ（暗号化して保管）
使用しないキーの削除
デバイス別のキー管理
定期的なキーローテーション

セキュリティ監視：

GitHubでのSSHキー使用ログ確認
不審なアクセスパターンの監視
未知のキーが登録されていないかチェック

3.4 アカウント保護のベストプラクティス

定期的なセキュリティ確認

月次セキュリティチェックリスト：

アクセスログの確認

不審なログイン履歴がないか
知らないデバイスからのアクセスがないか
異常な時間帯のアクティビティがないか
地理的に異常な場所からのアクセスがないか

権限とアクセスの確認

認証済みアプリケーションの見直し
不要な権限の削除
組織メンバーシップの確認
協力者権限の適切性確認

設定の確認

2段階認証が有効になっているか
SSHキーが最新状態か
通知設定が適切か
プライバシー設定の確認

不審なアクティビティの見分け方

警戒すべきサイン：

ログイン関連

身に覚えのない場所からのログイン
深夜や早朝など普段使わない時間帯のアクセス
複数回の失敗ログイン試行
新しいデバイスからの突然のアクセス

アカウント変更

勝手にパスワードが変更された
知らないSSHキーが追加されている
メールアドレスが変更されている
プロフィール情報の不正変更

リポジトリ活動

身に覚えのないcommit
ファイルの無断削除や改ざん
不審なPull Requestやissue作成
協力者の勝手な追加

不審な通知

GitHub からの警告メール
パスワードリセット要求通知
新しいセッション開始通知
セキュリティ設定変更通知

緊急時の対応手順

アカウント侵害が疑われる場合：

即座に実行すべき対応：

Step 1: アクセス状況の確認

現在ログインできるかを確認
Settings → Security log で最近のアクティビティ確認
不審な活動の記録とスクリーンショット

Step 2: パスワードの緊急変更

まだログインできる場合、即座にパスワード変更
他のサービスでも同じパスワードを使用している場合、それらも変更
パスワードマネージャーの情報更新

Step 3: 認証情報の再設定

全ての既存セッションを無効化
2段階認証の再設定
SSHキーの確認と必要に応じて削除・再生成
認証済みアプリケーションの権限見直し

Step 4: 被害状況の確認

全リポジトリの状態確認
不正な変更やファイル削除の確認
協力者権限の不正変更確認
機密情報の漏洩可能性評価

ログインできない場合：

Step 1: GitHubサポートへの連絡

https://support.github.com から連絡
アカウント侵害の疑いを報告
本人確認のための情報提供
復旧までの指示を受ける

Step 2: 関連アカウントの保護

同じメールアドレスを使用している他のサービスのパスワード変更
関連するクラウドサービスのセキュリティ確認
チームメンバーへの侵害報告（必要に応じて）

予防的セキュリティ対策

日常的な習慣：

定期的な更新

パスワードの定期変更（年1-2回）
セキュリティ設定の見直し（月1回）
不要なアクセス権限の削除
バックアップコードの更新

安全な作業環境

信頼できるネットワークでの作業
公共Wi-Fiでの重要作業の回避
ウイルス対策ソフトの最新化
OSとブラウザの定期更新

情報の適切な管理

機密情報のリポジトリへの保存禁止
作業内容の定期的なバックアップ
重要なプロジェクトの複数箇所保管
ドキュメントでのセキュリティポリシー明記

教育と意識向上

最新のセキュリティ脅威の学習
フィッシング攻撃の手口理解
セキュリティコミュニティでの情報収集
同僚・チームでのセキュリティ知識共有

まとめ

この章では、GitHubアカウントの安全な運用について学習しました：

パスワード管理の基本

強固なパスワードの作成方法
パスワードマネージャーの活用
GitHubセキュリティ設定の確認
定期的な見直しの重要性

2段階認証の実装

2段階認証の仕組みと重要性
認証アプリの設定手順
バックアップコードの適切な管理
緊急時の対応方法

SSHキー認証の基礎

公開鍵・秘密鍵の概念理解
GitHub Desktop での自動設定
手動設定の方法
セキュリティベストプラクティス

包括的なアカウント保護

定期的なセキュリティ確認
不審なアクティビティの検知
緊急時の対応手順
予防的セキュリティ対策

これらのセキュリティ設定により、あなたの大切な作品とアカウントを様々な脅威から守ることができます。次の章では、実際にファイルをアップロードし、GitHubでの基本的な作業を開始します。

理解度確認： □ 強固なパスワードを作成し、パスワードマネージャーで管理できる
□ 2段階認証を設定し、バックアップコードを安全に保管できる
□ SSHキーの概念を理解し、適切に設定できる
□ 定期的なセキュリティ確認を実行できる
□ 緊急時に適切な対応手順を実行できる