GitLab.comのセキュリティ強化:多要素認証の必須化

GitLab.comのすべてのユーザーアカウントのセキュリティ強化のため、GitLabでは、ユーザー名とパスワードを使用してサインインするすべてのユーザーとAPIエンドポイントに対して、多要素認証(MFA)を必須化します。

多要素認証必須化の理由

今回の変更は、GitLabのSecure by Designへのコミットメントにおける重要な取り組みの1つです。MFAは、ソフトウェア開発業界全体で継続的な脅威となっているクレデンシャルスタッフィング攻撃やアカウント乗っ取り攻撃に対する重要な防御手段となります。

知っておくべき重要な情報

何が変わるのか?

GitLabは、ユーザー名とパスワードで認証するサインインに対して、MFAを必須化します。これにより、パスワードだけでなく、重要な第2の認証レイヤーが追加されます。

適用されるケースとされないケース

1. 適用されるケース: ユーザー名とパスワードでGitLab.comにサインインする場合、またはパスワードを使用してAPIに認証する場合
2. 適用されないケース: アクセスにソーシャルサインオン(Googleなど)またはシングルサインオン(SSO)のみを使用している場合(注意:SSOを使用していても、直接ログイン用のパスワードを設定している場合は、SSO以外のパスワードベースのログインに対してMFAが必要になります)

ロールアウトのタイムライン

1. 実装は今後数か月にわたって段階的に行われます。これは、ユーザーの予期しない中断や生産性の低下を最小限に抑え、アカウントのロックアウトを防ぐことを目的としています。ユーザーグループによって時期は異なりますが、近日中にMFAの有効化を求められます。各グループは、実行したアクション、またはコントリビュートしたコードに基づいて選択されます。以下の方法で通知されます:
   • ✉️ メール通知 - 影響を受けるフェーズの前
   • 🔔 定期的な製品内リマインダー - 14日前
   • ⏱️ 一定期間後(メールで共有されます) - MFAを有効にするまでGitLabへのアクセスがブロックされます

必要な対応

1. ユーザー名とパスワードでGitLab.comにサインインする場合:
   • パスキー、認証アプリ、WebAuthnデバイス、またはメール認証など、利用可能なMFA方法の1つを今すぐ事前に設定することを強くおすすめします。これにより、最も安全でシームレスな移行が保証されます:
   • GitLab.comのユーザー設定にアクセスします。
   • アカウントセクションを選択します。
   • 2要素認証を有効にし、希望する方法(認証アプリやWebAuthnデバイスなど)を設定します。
   • 必要に応じてアクセスを回復できるよう、リカバリーコードを安全に保存してください。
2. パスワードを使用してAPIに認証する場合:
   • 個人アクセストークン(PAT)への切り替えを事前に行うことを強くおすすめします。詳細については、ドキュメントをご確認ください。

よくある質問

期限までにMFAを有効にしないとどうなりますか?

• サインインする前にMFAの設定が必要になります。

CI/CDパイプラインや自動化に影響はありますか?

• はい、パスワードの代わりにPATまたはデプロイトークンを使用していない場合は影響があります。

SSOを使用していますが、直接サインインすることもあります。その場合、MFAは必要ですか?

• はい、フォールバックシナリオを含む、パスワードベースの認証にはMFAが必要です。

どのようなMFAリカバリーオプションが利用できますか?

• トラブルシューティングドキュメントをご確認ください。*

具体的なタイムラインとその他のリソースについては、ロールアウト日までに段階的に共有される予定です。この重要な変更についてご覧いただき、ありがとうございます。