無料で安全に使えるBitwarden｜スマホ・PC対応のパスワード管理

楽天市場やAmazon、ZOZOTOWNなどで買い物したり、銀行アプリへのログインなど様々な場面でログインが必要になることが多いです。

同じIDやパスワードを使いまわすのはセキュリティの観点からとても危険ですが、管理するのが大変なのも事実。

そんな時におすすめなのが、パスワード管理アプリの『Bitwarden』をご紹介します。

このBitwardenは無料で利用することができるのに、外部機関Cure53によって監査が行われているため安全性がある程度担保されています。

AndroidでもiPhoneでもパソコンでも利用できるので、ぜひおすすめしたいです。

ぜひ最後までご覧いただければ嬉しいです。

Bitwardenとは？

Bitwardenとはパスワードマネージャーの１つで、2016年に設立されたアメリカのカリフォルニア州にあるBitwarden.Incという会社が提供しています。

ただし、Bitwardenはアメリカの企業ですが、オープンソースの性質を生かして世界中の開発者が改良に関わっており、パスワードマネージャーのBitwardenの特徴を挙げると以下の通りです。

無料のパスワードマネージャーでは、安かろう悪かろうのものも少なくありません。

しかし、Bitwardenは無料で利用でき、セキュリティ的に問題があるかどうかのチェック体制がしっかりしているだけでなく、マルチデバイスにも対応しています。

と悩んでいる方へのおすすめパスワードマネージャーの１つと言えます。

パスワードマネージャーとは？

そもそもパスワードマネージャーとは何かというと、ログイン情報やカード情報といった重要な情報を管理するための仕組みで、有料・無料のサービスが多く存在します。

例えば、

• Googleパスワードマネージャー
• iCloudキーチェーン
• １Password

といったものがあります。

一昔前は、一定期間ごとにパスワードを変更することでセキュリティリスクを下げられると言われていました。

しかし、パスワード変更しても、変更後のパスワードが覚えやすいものに変更されたり、記号・英数字が組み合わされていなかったりと変更する方がセキュリティリスクが高まることが散見されました。

そのため、現在ではパスワードを一定期間で変更するよりも、連想されないように英数字（大文字と小文字）と記号をランダムに組み合わせたパスワードを長期間利用する方が良いとされています。

2024年5月にリニューアルされた、総務省の「国民のためのサイバーセキュリティサイト」というサイトでは、安全なパスワードの設定・管理に関する解説ページにて、明確に「パスワードの定期な変更は必要ない」ということが明記されました。

パスワードの定期的な変更は不要！今年5月に刷新された総務省の指針を読み解く

パスワードを管理するパスワードマネージャーの脆弱性を突かれて情報が漏洩すれば、パスワードをまとめて管理している分被害が大きくなります。

便利なパスワードマネージャーである分、きちんと安全なものを使わないといけません。

その安全なパスワードマネージャーの１つとしてBitwardenをおすすめします。

Bitwardenの特徴とは

Bitwardenの特徴は先に紹介していますが、再掲すると以下の通りです。

Android、Windows、iOSで利用可能

Bitwardenは、Android、Windows、iOSで利用できます。

パソコンならChromeの拡張機能を導入することでサイトを表示したときに自動的にIDやパスワードを自動入力させることができます。

また、スマホやパソコンでBitwardenに登録情報を追加するとすぐに変更が反映されます。

そして、スマホであればBitwardenアプリが顔認証に対応してるので、スマホを見るだけでBitwardenのロックを解除することもできます。

Bitwardenは、万が一スマホを落としてしまった時でもBitwardenアプリを起動するとパスワードを入力するか、生体認証でロック解除する必要があります。

パスワードをアプリを開くたびに入力するのは不便なので、顔認証でロック解除ができるのは思った以上に便利でした。

ちなみに、パソコンでも生体認証でBitwardenにログイン可能ですが、カメラが搭載されていないと顔認証が使えません。

そのため、デスクトップではパスワードを入力になるのが多いですね。

無料で利用できる

Bitwardenは無料と有料と選ぶことができます。

個人で利用するなら無料版で全く問題がないです。

有料版を利用する場合は、法人で利用する場合だと思います。

パスワード情報を共有する、多要素認証（2FA）をより強力なものを利用したい、レポート機能が欲しいといった場合に有料プランを利用するイメージです。

基本的なセキュリティ機能は有料プランと同じとなっているので、個人で利用する際には無料プランで全く問題が無いです。

無料プランと有料プランとの違いを以下の表にまとめていますので、ご覧くださいね。

項目	無料プラン (Free)	有料プラン (Premium)
料金	無料	年間 US$10（＝月あたり約US$0.83）
対応ユーザー数	1ユーザー	1ユーザー
パスワード・ログイン保存数・デバイス	保存数・デバイス数ともに無制限	同じく無制限
パスワード同期／複数デバイス対応	対応	対応
安全機能・暗号化など基本機能	基本機能あり（ゼロ知識暗号化、マルチデバイス、ブラウザ拡張など）	無料プランに加えて拡張機能あり
多要素認証（2FA）・ハードウェアキー対応	2FA（認証アプリ、メール、ハードウェアキー）など一部対応	より高度な2FA対応（例：YubiKeyやDuoなど）
組織／共有機能	他ユーザー1人との共有が可能な「無料組織 （Free Organization）」あり	共有機能自体は有料プランで強化されており、ファイル添付やレポート機能などが追加
ファイル添付／暗号化ストレージ	ファイル添付機能なし（または制限あり）	ファイル添付・暗号化ストレージ（例：1 GB）あり
緊急アクセス機能	なし	あり（指定した他人がアクセスできるようにする機能）
パスワード健康レポート（弱いパスワード・流出チェック）	限定的またはなし	レポート機能あり（パスワードの脆弱性チェックなど）

エンドツーエンドの暗号化で安全

パスワードを暗号化するには２つの方法があります。

1. 使用している端末で暗号化して、暗号化した情報をサーバで保管
2. 暗号化前のパスワードをサーバに送信し、サーバで暗号化して保管

１つ目の方法だと端末で暗号化するので暗号化前のパスワードが流出する可能性はありません。

しかし、２つ目の方法だと暗号化前のパスワードがサーバに送信されますが、その送信されてる途中で盗聴されるリスクがあります。

盗聴されてしまえば、パスワードが丸見えなので非常に危険だといえます。

Bitwardenは１つ目の方法を採用しており、セキュリティ対策がしっかりされています。

Bitwardenの暗号化手法はAES-CBC-256

暗号化済みのパスワードをサーバに保管しているので、サーバがハッキングされても保管されたパスワードが解読される可能性は低いです。

Bitwardenが活用している暗号化技術はAES-CBC-256というものを採用しています。

AES-CBC-256を簡単に説明すると、世界中の政府機関でも利用されている暗号化手法を使っている、ということです。

もう少し詳しく説明すると以下のようになります。

• AES-CBC
  暗号化の標準であり、米国政府および世界中のその他の政府機関によって極秘データを保護するために利用されている
  ライブラリやハードウェアで幅広くサポートされており、暗号化の速度が高速
  改ざんを保証するHMAC-SHA256と組み合わせると、より強固な安全性を実現
• 256
  256ビット長の鍵を使ってパスワードを暗号化している
  128ビット長よりも安全性が高い

Bitwardenの採用しているAES-CBCは長年利用されてきた実績のある暗号化手法です。

しかし、現在ではAES-GCMという暗号化手法が主流です。

AES-GCM（Galois / Counter Mode）の特徴を挙げると以下の通りです。

• 暗号化と認証（改ざん検知）が一体化した暗号化手法
  ※AES-CBCを利用する場合は、別途認証機能を導入する必要あり
• 暗号化したものと認証タグが一緒に送信され、復号時（暗号化を元に戻す作業の時）に認証タグを再計算する
  送られた認証タグと再計算した認証タグが一致していれば、改ざんは無かったと判断できる
• AES-CBC + 認証機能に比べて、暗号化と認証を同時に処理できるから高速
• AES-CBC + 認証機能よりも簡単に実装ができる
• 1PasswordやGoogle Password Managerが採用している

ゼロナレッジ暗号化の採用によりデータ漏洩を無意味にしている

Bitwardenはゼロナレッジ暗号化を利用しているため、Bitwardenの関係者であっても利用者のデータを見ることはできません。

利用者のデバイスで暗号化したデータをBitwardenのサーバに保存するため、復号化（暗号化したデータを元に戻す作業）に必要なキーがBitwardenのサーバ内に無いためです。

第三者機関によるセキュリティ監査を実施し安全性を担保

Bitwardenは、これまで紹介してきた機能などでセキュリティリスクが無いかを外部機関のCure53（ソースコードの監査とモバイルアプリSDKの侵入テスト等）を毎年監査が行われています。

2024 Bitwardenマーケティングウェブサイトセキュリティ評価

Bitwardenは、セキュリティ会社Paragon Initiative Enterprises（PIE）によるBitwardenマーケティングウェブサイトの専用監査を完了しました。

type: asset-hyperlink id: 3alBclinYuMVZ9erf1tuhM

2024 ビットワーデンモバイルアプリセキュリティ評価

Bitwardenは、セキュリティ会社MandiantによるBitwardenモバイルおよびモバイル認証アプリケーションの専用監査を完了しました。

type: asset-hyperlink id: 5xEFYurTu7zhrlKg8dM9Wr

2024 ウェブアプリとネットワークのセキュリティ評価

Bitwardenは、セキュリティ会社Fracture Labsによるウェブアプリと関連するネットワークコンポーネントの専用ソースコード監査と侵入テストを完了した。

type: asset-hyperlink id: 7MlQ3dJr20zEwA2FIDlPET

2024 モバイルアプリとSDKのセキュリティ評価

Bitwardenは、セキュリティ会社Cure53による専用のソースコード監査とモバイルアプリとSDKの侵入テストを完了しました。

type: asset-hyperlink id: bEfNZ6r3BJ9ehwNfAqw6C

Bitwarden：コンプライアンス、監査、および認証

Cure53はドイツのサイバーセキュリティ企業であり、セキュリティ研究者であるマリオ・ハイデリヒ博士によって設立されました。

Cure53の実績としては、ExpressVPN KeysやFireFoxアカウントの安全性の確認などしています。

また、2024年からはセキュリティ会社Fracture LabsとMandiant、Paragon Initiative Enterprises（PIE)の監査も完了しています。

Bitwardenは、Cure53をはじめとする複数の企業に毎年セキュリティ評価と侵入テストを依頼し、安全性を確保しています。

バグ報奨金制度を採用してバグの発見に努めている

バグ報奨金制度（バグバウンティングプログラム）は、報告されたセキュリティの脆弱性を報告する外部のセキュリティ研究者やハッカーに対して、金銭的な報酬を提供するシステムです。

バグバウンティプログラムは、セキュリティの脆弱性を発見し、これを報告する外部のセキュリティ研究者やハッカーに対して、金銭的な報酬を提供するシステムです。このような取り組みは、企業が自らの製品やサービスのセキュリティを強化し、同時にセキュリティコミュニティとの協力関係を構築する目的があります。

バグバウンティとは？ハッカーの力を借りて脆弱性対策！概要を解説！

このバグバウンティングプログラムを利用するメリットとして

• セキュリティの向上
• コスト削減
• コミュニティとの関係構築

といったことが挙げられます。

Bitwardenは、主にセキュリティ研究者と交流を目的としていると見ることもできますが、HackerOneには執筆時点で90日間で13件のレポートが集計されています。

バグ報奨金プログラム

Bitwardenはまた、HackerOneのプライベートバグバウンティプログラムを通じて、独立したセキュリティ研究者と交流しています。

コンプライアンス、監査、および認証

まとめ：無料で安全に使えるBitwarden｜スマホ・PC対応のパスワード管理

最後までご覧いただきありがとうございます。

今回はパスワードマネージャーのBitwardenをご紹介しました。

Bitwardenは無料で利用でき、パスワードの暗号化、管理方法が第三者によって監査されているため比較的安全に利用ができます。

また、Bitwardenはゼロナレッジ暗号化を採用しているためサービス提供者であるBitwardenも保存されたパスワードを見ることができません。

逆に言えば、何らかの方法でパスワードが漏洩した場合でもある程度は安全と言えます。

そういったことから、スマホやパソコンの複数のデバイスで利用するのならBitwardenは１つの選択肢になると思います。

Bitwarden以外にも１PasswordやGoogle パスワードマネージャーなどがありますが、Bitwardenに興味があればぜひ使ってみてください。

　
それでは、なぎ（@lifenagi）でした。