Bitwardenクラウド「セキュリティ」は大丈夫?安全性・脆弱性まとめ

パスワード管理を語る上で外せないのが「セキュリティ」です。

 

パスワード管理アプリ「Bitwarden(ビットウォーデン)」の安全性はどうなんでしょうか。

公開されている情報が英語なので、和訳&要約していきます。

Bitwardenって何?な方は、まずリンク先をお読みください。

無料パスワード管理「Bitwarden」使い方をIT管理プロが解説

続きを見る

Bitwardenが安全な3つの理由

  1. 技術情報の無料公開
  2. 外部セキュリティ会社の徹底した監査
  3. Bitwardenでパスワードを保存しない

なぜ安全といえるのか?順に説明していきます。

バグ懸賞金「バグバウンティ」制度

Apple社の「バグバウンティ制度」ご存知でしょうか?

セキュリティ上のバグ発見レポートに報奨金を出す制度です。

Bitwardenも報奨金プログラムを起用している情報があります。

 

世界中のエンジニアがやっきになって、

バグ探し〜検知・報告〜即座に修正

このような改善スキームが確立している事実があります。

 

外部セキュリティ監査

2018年11月に、ドイツのセキュリティ会社「Cure 53」による、第三者セキュリティ監査を行った結果です。

Cure 53社 → Bitwardenへの指摘対策
マスターパスワード長さが8文字以上は緩すぎる・マスターパスワードは複雑で長いものにする
・2段階認証でログイン強化する
侵害されたAPIサーバーから暗号化キー盗まれる・APIを使用しない
・暗号化の設定を使用しない
オートフィルデータを盗む可能性がある・2段階認証でログイン強化する
・ログインアラートのメール通知に気を配る

 

基本、個人でパスワード情報を登録して管理する使い方であれば、

”2段階認証でBitwardenのログインを強化する"

対策で問題ありません。

 

次に、2020年に監査会社「インサイトリスクコンサルティング(IRC)」によるセキュリティ評価を行った情報があります。

監査結果として、大きな問題は特定されなかったようです。

しかし「最新のBitwardenサーバーアップデートで、1 つの中程度の問題が修正された」情報がありました。

任意のオリジンでホストされているWebアプリケーションは、BitwardenサーバーAPIを呼び出すことができます。

悪意のあるWebサイト(フィッシング攻撃など)が、BitwardenサーバーのAPIを使用して表示されてしまう問題があったようです。

ですが、本件は解決となっています。

 

Bitwardenはパスワード保存しない

Bitwardenはパスワード情報を、クラウドサーバーに保存する前に暗号化(ハッシュ値)します。 つまりBitwardenは、「個人を識別できる情報は保存されない」ことを示します。

 

Bitwardenハッキングは実質「無意味」

上述の通り、Bitwardenは個人を識別できる情報がありません。

例え盗まれてたとしても、それは「意味を持たない情報」です。

 

Bitwardenのエンジニアはパスワード情報を見れない

Bitwardenアプリから離れるタイミングで、完全に暗号化(ハッシュ化)されます。

よって、Bitwardenのエンジニアでも登録したパスワード情報の中身を知る方法がありません。

 

Bitwardenのマスターパスワードの保存場所は?

アプリのロックが解除される間のみ、デバイスのメモリに保持されます。

これは、Bitwarden保管庫のパスワード情報を復号化するため必要です。

 

Bitwarden保管庫が再度ロックされると、デバイスからマスターパスワードを消去する仕組みとなっています。

 

Bitwardenのセキュリティ準拠

  • GDPR
  • CCPA
  • HIPAA
  • SOC2 type2
  • SOC3

…とにかく、セキュリティにはすごくこだわっています。

上記の解説はまた今度…

 

Bitwarden脆弱性は?過去インシデント履歴も調査

ここからは筆者独自の見解からのセキュリティ対策です。

  • 現在Bitwardenに脆弱性がないか?
  • 過去どのような脆弱性が発生したか?

脆弱性の情報は、「JVN iPedia - 脆弱性対策情報データベース」サイトで検索できますが、Bitwardenに関しては、過去に2件サーバを「自身で構築した場合に限り」脆弱性を指摘する情報がありましたが、修正済みとなっています。

また2021年12月現在で調べてみましたが、Bitwardenの脆弱性は検出されていません。

 

Bitwardenを安全に使うため個人のセキュリティ意識と対策

どんな優れたサービスだろうと、

100%はありません、必ずハッカーにつけこまれるスキがあります。

 

これはIT管理してきた15年の経験からの見解で、Bitwardenも同様です。

 

そのため、使う側もセキュリティ意識・および対策を考えなくてはいけませんが…

「セキュリティなんて、何をどう考えて、どのように対策すればいいのよ?」システムという類のものに疎い方であれば、なおさらそう思いますよね。

 

ではズバり、Bitwardenにおける個人でやるべき対策です。

それは、マスタパスワードを強化する ですね。

 

具体的には、次の対策は必須レベルです。

  • マスターパスワードは使いまわさない
  • 2段階認証を設定する

 

Bitwardenの2段階認証の設定はわかりづらいので、リンク先を参考にしてみてください。

Bitwarden 2段階認証の設定方法

続きを見る

 

まとめ

Bitwardenクラウドの安全性をヒモ解いてみました。

  1. 技術情報を無料公開している
  2. 外部セキュリティ会社の徹底した監査
  3. Bitwardenパスワード暗号化のこだわり
  4. 脆弱性も過去発生しているが爆速で修正
  5. 最低限、個人のセキュリティ対策も必要

本記事の内容は、Bitwarden公式情報「Security FAQs」を和訳&かいつまんで解説しています。

これからBitwardenを使ってみようかご検討されている方はもちろん、現在お使いの方もBitwarden安全性のポイントご理解の一助になれば幸いです。

 

-ICT管理, セキュリティ
-,