IT管理術

Bitwardenクラウド安全性・脆弱性の情報まとめ

2021年2月2日

パスワード管理を語る上で外せないのが「セキュリティ」です。

 

パスワード管理アプリ「Bitwarden(ビットウォーデン)」の安全性はどうなんでしょうか。

公開されている情報が英語なので、和訳&要約していきます。

Bitwardenって何?な方は、まずリンク先をお読みください。

無料パスワード管理アプリ「Bitwarden」の使い方|IT管理プロが徹底解説

続きを見る

なぜBitwardenが安全なのか?3つの理由

  1. 技術情報の無料公開
  2. 外部セキュリティ会社の徹底した監査
  3. Bitwardenでパスワードを保存しない

なぜ安全といえるのか?順に説明していきます。

安全性①全世界のエンジニアでバグ探しの事実

Apple社の「バグバウンティ制度」ご存知でしょうか?

セキュリティ上のバグ発見レポートに報奨金を出す制度です。

Bitwardenも報奨金プログラムを起用している情報があります。

 

世界中のエンジニアがやっきになって、

バグ探し→検知・報告→Bitwardenは即座に修正

繰り返しているわけですね。

 

安全性②外部セキュリティ会社「爪の先まで」な監査

2018年11月に、ドイツのセキュリティ会社「Cure 53」による、第三者セキュリティ監査を行った結果です。

Cure 53社 → Bitwardenへの指摘対策
マスターパスワード長さが8文字以上は緩すぎる・マスターパスワードは複雑で長いものにする
・2段階認証でログイン強化する
侵害されたAPIサーバーから暗号化キー盗まれる・APIを使用しない
・暗号化の設定を使用しない
オートフィルデータを盗む可能性がある・2段階認証でログイン強化する
・ログインアラートのメール通知に気を配る

 

基本、個人でパスワード情報を登録して管理する使い方であれば、

”2段階認証でBitwardenのログインを強化する"

対策で問題ありません。

 

次に、2020年に監査会社「インサイトリスクコンサルティング(IRC)」によるセキュリティ評価を行った情報があります。

監査結果として、大きな問題は特定されなかったようです。

しかし「最新のBitwardenサーバーアップデートで、1 つの中程度の問題が修正された」情報がありました。

任意のオリジンでホストされているWebアプリケーションは、BitwardenサーバーAPIを呼び出すことができます。

悪意のあるWebサイト(フィッシング攻撃など)が、BitwardenサーバーのAPIを使用して表示されてしまう問題があったようです。

ですが、本件は解決となっています。

安全性③Bitwardenはパスワードを保存しない

Bitwardenはパスワード情報を、クラウドサーバーに保存する前に暗号化(ハッシュ値)します。 つまりBitwardenは、「個人を識別できる情報は保存されない」ことを示します。

 

Bitwardenをハッキングしても、実質「無意味」

上述の通り、Bitwardenは個人を識別できる情報がありません。

例え盗まれてたとしても、それは「意味を持たない情報」です。

 

Bitwardenのエンジニアはパスワード情報を見れない

Bitwardenアプリから離れるタイミングで、完全に暗号化(ハッシュ化)されます。

よって、Bitwardenのエンジニアでも登録したパスワード情報の中身を知る方法がありません。

 

Bitwardenのマスターパスワードの保存場所は?

アプリのロックが解除される間のみ、デバイスのメモリに保持されます。

これは、Bitwarden保管庫のパスワード情報を復号化するため必要です。

 

Bitwarden保管庫が再度ロックされると、デバイスからマスターパスワードを消去する仕組みとなっています。

 

Bitwardenのセキュリティ準拠

  • GDPR
  • CCPA
  • HIPAA
  • SOC2 type2
  • SOC3

…とにかく、セキュリティにはすごくこだわっています。

上記の解説はまた今度…

 

Bitwardenの脆弱性は?過去インシデント履歴も調査

ここからは筆者独自の見解からのセキュリティ対策です。

  • 現在Bitwardenに脆弱性がないか?
  • 過去にどのような脆弱性が発生しているのか?

 

脆弱性の情報は、情報処理推進機構(IPA)の「JVN iPedia - 脆弱性対策情報データベース」で検索できます。

過去に2件、Bitwardenサーバを自前で構築した場合、脆弱性である情報がありましたが、修正済みとなっています。

また2021年1月現在、Bitwardenで脆弱性は発生していません。

Bitwardenを安全に使うため個人のセキュリティ意識と対策

どんな優れたサービスだろうと、

100%はありません、ハッカーにつけこまれるスキは必ずあります。

これはIT管理してきた15年の経験からの見解で、Bitwardenも同様です。

 

そのため、使う側もセキュリティ意識・および対策を考えなくてはいけません。

ただ、IT苦手な方だと「何をどう考え、どのような対策すればいいの?」わかりませんよね?

 

そこで、Bitwardenにおける個人でやるべき対策はズバリ

”マスタパスワードの認証を強化する”ですね。

 

具体的には、次の対策は必須レベルです。

  • マスターパスワードは使いまわさない
  • 2段階認証を設定する

 

Bitwardenの2段階認証の設定はわかりづらいので、リンク先を参考にしてみてください。

Bitwarden 2段階認証の設定方法

続きを見る

まとめ

Bitwardenクラウドの安全性をヒモ解いてみました。

  1. 技術情報を無料公開している
  2. 外部セキュリティ会社の徹底した監査
  3. Bitwardenパスワード暗号化のこだわり
  4. 脆弱性も過去発生しているが爆速で修正される
  5. 個人でできる最低限のセキュリティ対策も必要

本記事の内容は、Bitwarden公式情報「Security FAQs」を和訳&かいつまんで解説しています。

これからBitwardenを使ってみようかご検討されている方はもちろん、現在お使いの方もBitwarden安全性のポイントご理解の一助になれば幸いです。

 

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-IT管理術
-