パスワード管理

Bitwardenの【安全性・危険性】IT管理プロが解説

2021年2月2日

パスワード管理アプリを使うのであれば、アプリの「安全性・セキュリティ」は気になりますよね?

今回、パスワード管理アプリ「Bitwarden(ビットウォーデン)」の安全性について、公開情報の要約から、情報セキュリティの知見で解説していきます。

Bitwarden パスワードマネージャー

Bitwarden パスワードマネージャー

8bit Solutions LLC無料posted withアプリーチ

Bitwardenって何?という方は、まずリンク先をお読みください。

無料パスワード管理アプリ「Bitwarden」の使い方をIT管理プロが解説

続きを見る

Bitwardenが安全な3つの理由

  1. 「バグバウンティ制度」でバグの修正がはやい
  2. 外部セキュリティ監査による徹底した安全性チェック
  3. Bitwardenは「パスワードを保存しない」?

以下順に説明していきます。

1.バグ「懸賞金」制度でバグ検出・修正が爆速

Bitwardenのバグ発見者へ報奨金を出す制度ですね。

あのApple社も同じ制度を起用しています。

つまり、世界中のエンジニア総動員でBitwardenの「バグ探し〜検知・報告〜即座に修正」このような改善スキームが確立している事実があります。

2.外部セキュリティ監査の厳しい安全性チェック

2018年11月に、ドイツのセキュリティ会社「Cure 53」による、第三者セキュリティ監査を行った結果です。

Cure 53社 → Bitwardenへの指摘対策
マスターパスワード長さが8文字以上は緩すぎる・マスターパスワードは複雑で長いものにする
・2段階認証でログイン強化する
侵害されたAPIサーバーから暗号化キー盗まれる・APIを使用しない ・暗号化の設定を使用しない
オートフィルデータを盗む可能性がある・2段階認証でログイン強化する
・ログインアラートのメール通知に気を配る

基本、個人でパスワード情報を登録して管理する使い方であれば、”2段階認証でBitwardenのログインを強化する"対策で問題ないでしょう。

次に、2020年に監査会社「インサイトリスクコンサルティング(IRC)」によるセキュリティ評価を行った情報がありますが、 「大きな問題は特定されなかった」結論です。

しかし「最新のBitwardenサーバーアップデートで、1 つの中程度の問題が修正された」情報がありました。

任意のオリジンでホストされているWebアプリケーションは、BitwardenサーバーAPIを呼び出すことができます。

悪意のあるWebサイト(フィッシング攻撃など)が、BitwardenサーバーのAPIを使用して表示されてしまう問題があったようですが、本件は「修正・解決済み」となっています。

3.Bitwardenには「パスワードを保存していない」

Bitwardenはパスワード情報を、クラウドサーバーに保存する前に暗号化(ハッシュ値)します。

つまり、「パスワード文字列を識別できる情報では保存されていない」ことを示します。

Bitwardenハッキングは実質「無意味」

上述の通り、Bitwardenはパスワードを特定できる情報を保存していません。

例え盗まれてたとしても、それは「意味を持たない文字列」です。

Bitwardenエンジニアでもパスワード解析は不可能

Bitwardenに保存したパスワードは、アプリから離れるタイミングで、完全に暗号化(ハッシュ化)されます。

よって、Bitwardenのエンジニアでも登録したパスワード情報の中身を知る方法がありません。

Bitwardenマスターパスワードの保存場所は?

アプリのロックが解除される間のみ、デバイスのメモリに保持されます。

これは、Bitwarden保管庫のパスワード情報を復号化するため必要です。 Bitwarden保管庫が再度ロックされると、デバイスからマスターパスワードを消去する仕組みとなっています。

Bitwardenのセキュリティ準拠

  • GDPR
  • CCPA
  • HIPAA
  • SOC2 type2
  • SOC3

などなど、詳しく書きだしていくと枚挙にいとまがないので割愛しますが…

とにかく、セキュリティにはすごくこだわっています。

Bitwarden脆弱性は?過去のインシデント履歴も調査

ここからは筆者独自の見解からのセキュリティ対策です。

  • 現在Bitwardenに脆弱性がないか?
  • 過去どのような脆弱性が発生したか?

脆弱性の情報は、「JVN iPedia - 脆弱性対策情報データベース」サイトで調べた結果、

2020年以降、一回も脆弱性は発生していません(2022年5月時点)。

因みに、2020年以前で発生した2件は、「自分でBitwardenサーバを構築した場合に限り」です。

つまり、「なんのこっちゃわからん」といった方には無縁な脆弱性です。

Bitwardenを安全に使うための個人のセキュリティ対策

さて、セキュリティ対策から脆弱性までチェックした結果、Bitwardenが堅牢であることは実証されました。

しかしながら、どれだけセキュリティが強固なシステムであっても、

100%はありません。

必ずハッカーにつけこまれるスキがあります。

これは世のセキュリティ専門家、何方に聞いても同じ見識であり、セキュリティの真理ですね。

Bitwardenも同様ですので、使う側もセキュリティの意識と対策を考えなくてはいけません。

ですが、

「セキュリティなんて、どう考えて、どのように対策すればいいのよ?」

システムという類のものが苦手な方は、そう思いますよね?

Bitwardenにおける個人でやるべき対策はズバり

「マスターパスワードを強化する」です。

具体的には個人でも次の対策は必須レベルです。

  • マスターパスワードを使いまわさない
  • 2段階認証を設定する

Bitwardenの2段階認証の設定はわかりづらいので、別記事で説明しています。

Bitwarden 2段階認証の設定方法

続きを見る

まとめ

Bitwardenの安全性・脆弱性から、安全に使うための個人による対策でした。

  1. 技術情報を無料公開している
  2. 外部セキュリティ会社の徹底した監査
  3. Bitwardenパスワード暗号化のこだわり
  4. 脆弱性も過去発生しているが爆速で修正
  5. 最低限、個人のセキュリティ対策も必要
Bitwarden パスワードマネージャー

Bitwarden パスワードマネージャー

8bit Solutions LLC無料posted withアプリーチ

Bitwardenが堅牢なシステム・サービスであることは実証されましたね。

ただし、使う側のセキュリティ意識、対策は必要です。

「使いまわしではないマスターパスワード」および「2段階認証」を設定し、不正アクセスされないようセキュリティ強化しましょう。

本記事の内容は、Bitwarden公式情報「Security FAQs」の和訳を超咀嚼して解説しました。

  • この記事を書いた人

どうなの@ITのかけ算

ITの「わかりにくい」をズバり!わかりやすく。
デジタルを便利に&安全に使うノウハウ発信中🚀
中の人は、情報セキュリティ資格を有するITのプロです。

-パスワード管理
-