誰かにBitwardenを勧められたり、最高のパスワードマネージャーを探している時に見かけたりしたことはありませんか?もしそうなら、無料で広く利用できることを考えると、どれほど安全に使えるのか疑問に思うかもしれません。
Bitwarden が採用している安全性、コンプライアンス、セキュリティ機能、そして考慮すべき点についてご説明します。Bitwarden があなたにとって安全で安心な選択肢であるかどうかは、ご自身で判断してください。
おすすめ動画
Bitwarden とは何ですか?
Bitwardenは、デスクトップ、モバイルデバイス、そしてウェブブラウザの拡張機能として利用できる、手頃な価格のパスワードマネージャーです。無制限のパスワードとデバイス、自動入力、パスキー管理、パスワードジェネレーター、デバイス同期、ボルトストレージ、1対1のデータ共有などの機能を提供します。
企業は、シングル サインオン (SSO) と API 統合、ユーザー アカウント管理、ヘルス レポート、アカウント回復、パスワード共有も利用できるようになります。
さて、大きな疑問は、Bitwarden は安全に使えるのかということです。セキュリティ機能について見ていきましょう。
Bitwardenのセキュリティ機能
GitHubにコードベースを公開するオープンソースモデルで知られるBitwardenは、類似ツールのようなセキュリティ侵害に巻き込まれたことはありません。これは、セキュリティへの取り組みと以下の安全対策のおかげです。
ゼロ知識暗号化:Bitwardenは、ゼロ知識ベースシステムにおいてAES 256ビットのエンドツーエンド暗号化を採用しています。業界標準の暗号化を採用しているだけでなく、ユーザーのパスワードを見ることはできません。
マスターパスワードハッシュ:Bitwardenは、マスターパスワードをサーバーに送信する前にソルト化してハッシュ化し、PBKDF2 SHA-256またはArgon2をキーとしてVaultデータを暗号化します。クライアント側の反復回数は2023年に600,001回に増加し、サーバーの反復回数は100,000回に設定されているため、デフォルトでは合計700,001回となります。また、これらのハッシュは一方向ハッシュであるため、逆引きしてマスターパスワードを盗み見ることはできません。
金庫のセキュリティ: Bitwarden は、金庫のエンドツーエンドの暗号化だけでなく、2 段階ログイン、金庫タイムアウト機能、PIN コードまたは生体認証によるロック解除、10 秒から 5 分まで設定できるクリップボードのクリアも提供します。
サードパーティによるセキュリティ監査:Bitwardenは、Cure53やInsight Risk Consultingなどのセキュリティ企業と共同で、サーバーとアプリケーションのソースコード評価と侵入テストに加え、年次監査を実施しています。セキュリティ監査レポートとSOC 3レポートはBitwardenのウェブサイトでご確認いただけます。また、ご興味があればSOC 2レポートもご請求いただけます。
バグバウンティプログラム: Bitwarden は HackerOne と連携し、ハッカーがシステムの弱点や脆弱性を探して報告するプログラムを実施しています。
コンプライアンス: Bitwarden は、GDPR、プライバシー シールド フレームワーク、HIPAA、CCPA に準拠しており、FIDO アライアンスのメンバーです。
Bitwardenのセキュリティ上の懸念
Bitwarden は全体的に安全なパスワード マネージャーであると考えられていますが、2023 年に Web ブラウザー拡張機能に関連するセキュリティ上の側面が 1 つ懸念されました。
自動入力のページ読み込み機能に潜在的なリスクが存在します。このツールはウェブページとiframe内の両方でログイン認証情報を入力するため、iframe(インラインフレーム)がログイン認証情報にアクセスする可能性があることが判明しました。これは、ハッカーによるパスワード窃盗の脅威となる可能性があります。
ページ読み込み時の自動入力機能はデフォルトで無効になっており、有効にすると潜在的なリスクについてユーザーに警告が表示されることに注意することが重要です。
この特定の懸念事項の詳細については、Bitwarden の自動入力リスクに関する記事をご覧ください。
ビットワーデンの計画
Bitwarden は、個人と企業の両方向けの有料オプションを備えた無料のパスワード マネージャーです。
個人使用の場合、ファイル添付、緊急アクセス、統合認証システムなどの機能を利用するために、年間 10 ドルで無料プランからアップグレードできます。
企業向けには、安全なデータ共有、イベントログ監視、ディレクトリ統合など、Teamsプラン(ユーザーあたり月額4ドル)をご利用いただけます。Enterpriseプランはユーザーあたり月額4ドルで、Teamsプランの機能に加え、パスワードレスSSO、アカウント復旧、エンタープライズポリシーなどをご利用いただけます。
Bitwarden を使うべきでしょうか?
Bitwardenは豊富な機能を備えた無料のパスワードマネージャーなので、このようなツールを探している人にとって魅力的です。クロスプラットフォーム対応、パスワードとデバイスの無制限管理、生体認証ログイン、そして保護された金庫により、どこからでも簡単にログイン情報にアクセスし、安全なデータを管理できます。
Bitwardenは、安全性とコンプライアンス機能において業界標準を満たし、さらにはそれを上回っています。また、Bitwardenが採用しているセキュリティ対策を考慮すると、ブラウザ拡張機能の潜在的なリスクを無視できるかもしれません。あるいは、その機能や拡張機能を一切使用しないという選択肢もあります。
最高の LastPass 代替品として、また総合的に最高のパスワード マネージャーの 1 つとして挙げられる Bitwarden は、安全で信頼できるツールを探している場合は検討する価値があります。
個人的な観点から言えば、私は長年 Bitwarden を使ってきましたが、これは優れたパスワード マネージャーであり、使用してもまったく安全だと感じています。
