Bitwardenを導入してパスワードなどの機密情報を本気で守る

この記事はこんな人にオススメ

情報セキュリティに興味のある人
セキュリティ性の高い高機能パスワードマネージャーを探している人
Bitwardenを導入しようとしている人
パスワードなどの機密情報を本気で守りたい人

どうも、Shinyaです。

この記事では、基本的に無料で利用できる世界最高水準のセキュリティ性能を誇るパスワードマネージャーのBitwardenの紹介と導入方法を書いていきます。

Bitwardenとは
なぜBitwardenを導入すべきなのか
Bitwardenの利用料金
Bitwardenを導入していく
Bitwardenのセキュリティを強化する
1. 2段階認証の設定
2. 一定時間の経過で自動でロック/ログアウトするように設定する
Bitwardenの保管庫にパスワードを登録してみる

Bitwardenとは

まずは、Bitwardenという名前を初めて聞く方も多いと思うので、Bitwardenとは何者なのかを手短に説明します。

Bitwarden（ビットウォーデン）は、スウェーデンのセキュリティ系スタートアップ組織（Passwordless.dev）に端を発する、GitHubを拠点にオープンソースとして開発されている高機能のパスワードマネージャーです。

Bitwardenは非常に活発に開発が行われており、パスワードマネージャーがオープンソースで開発されているということは、常に世界中の情報セキュリティ分野の専門家や企業から情報セキュリティ監査を受けている状態です。

その中で、Bitwardenは情報セキュリティ分野の専門家から世界最高水準の評価を受けていて、無料のパスワードマネージャーとしてはこれ以上ないほどの安全性とセキュリティ性能を誇っています。

なぜBitwardenを導入すべきなのか

Bitwardenは非常に高機能なパスワードマネージャーで、パスワード管理以外にも多くの機能が提供されています。しかし、単に高機能なだけでは同じような機能を持つパスワードマネージャーは世の中にいくらでもあります。その中で、Bitwardenが他のパスワードマネージャーと一線を画すポイントは次の通りです。

サーバー管理者でさえ覗き見が不可能な徹底したエンドツーエンド暗号化（E2EE）
強力なAES-256を使用した徹底した暗号化処理
オープンソースによる実装の透明性の高さ
GDPR、CCPA等のユーザー保護のための高度な基準に準拠したプライバシー性の高さ

この中でも、とりわけ素晴らしいのは徹底したエンドツーエンド暗号化を行っている点でしょう。

エンドツーエンド暗号化（E2EE）は、通信の両端（送信者と受信者）で暗号化を行う技術です。

例えば、エンドツーエンド暗号化が適切に実装されたアプリを使うと、あなたがスマートホンから特定の受信者（サーバー等）に向けて送信した通信データは、あなたとその特定の受信者しか中身を見ることはできません。

つまり、エンドツーエンド暗号化が適切に実装されたアプリでは、あなたが送信したデータが悪意のある不特定の第三者によって傍受される可能性は限りなく低くなります。

さらにBitwardenは、より強固なセキュリティを実現するために、Bitwardenに登録されたユーザーのパスワードなどの機密情報はBitwardenのサーバーで暗号化/復号化するのではなく、ユーザーのクライアント端末で暗号化/復号化を行うように実装されています。

言い換えると、Bitwardenのサーバーにユーザーが登録したパスワードなどの機密情報が届いた時点で既に強力な暗号化が行われているため、Bitwardenのサーバー管理者でさえユーザーの機密情報を見ることはできません。また、Bitwardenのサーバーではユーザーの機密情報を復号化するためのマスターパスワードを一切保持しないため、Bitwardenに登録したパスワードなどの機密情報を復号化して中身を見ることができるのは実質的にマスターパスワードを知るユーザーだけです。

Bitwardenのサーバーでユーザーのマスターパスワードを管理せず、Bitwardenのサーバー管理者でさえユーザーが保存したデータの復号化ができないということは、仮にハッキングなどでBitwardenのサーバーから管理情報が漏洩したとしてもあなたの機密情報が第三者に知られる可能性は限りなく低いことを意味しています。

つまり、Bitwardenで管理しているユーザーの機密情報が奪われたとしても、それらの機密情報はユーザーだけが知るマスターパスワードでしかデータを復号化できないので、漏洩したデータは実質的に解読が不可能な無意味なデータにしか見えないでしょう。

また、こうした強力な暗号化技術がオープンソースとして全面的に公開されていることも、ユーザーがBitwardenを安心して使用できる理由の一つになります。

想像してみてください、もし普段使用しているアプリにバックドアやユーザーの情報を抜き取るような悪意のあるコードが仕込まれていたらどうでしょうか…？

オープンソースではないソフトウェアにこうした悪意のあるコードが仕込まれている場合は、ユーザーはその事実に全く気が付かないか、発覚までにかなりの時間を要することでしょう。

オープンソースが必ずしも正義とは言えませんが、こうしたことから自分の大切な情報を任せるソフトウェアだからこそ、実際に実装されているソースコードの透明性が重要になると私は考えます。

Bitwardenの利用料金

Bitwardenは基本的に無料で利用できます。

また、Bitwardenには「プレミアム」という$1/月のサブスクリプションがあり、このサブスクリプションに加入すると次の特典を使用できるようになります。

1GBの暗号化されたファイルストレージ
YubiKey、Duoなどのプロプライエタリな2段階認証オプション
緊急アクセス
保管庫を安全に保つための、パスワードやアカウントの健全性、データ侵害に関するレポート
保管庫内での2段階認証コード生成
優先カスタマーサポート
将来のプレミアム機能すべて

「ファミリー」向けのサブスクリプションもあり、こちらはプレミアムより少し高めの$3.33/月で加入できます。

サブスクリプションの詳細は公式サイトを確認してください。

Bitwardenを導入していく

それでは、早速Bitwardenを導入していきたいと思います。

Bitwardenのアカウントを作成する

まず、Bitwardenのサービスを利用するためにはアカウントを作成する必要があります。Bitwardenのアカウントは簡単に作成できますので、次の手順で気楽に画面を操作してください。

公式サイトのトップ画面の右上にある「ログイン」ボタンを押してください。

次に、Bitwardenのログイン画面に遷移しますので、画面の下部にある「アカウントの作成」を押してください。

そうすると、次の画像のようなアカウントの作成画面に遷移します。

各項目の入力内容は任意ですが、なにを入力すべきかわからない人は次のようにするといいでしょう。

アカウント作成: bitwarden.com (プライバシー重視の場合はbitwarden.euでもOK）
メールアドレス: ログイン時に使用するため、確実に使用できるメインメールアドレス
名前: 本名じゃなくてニックネームなどの匿名でOK
Bitwardenからのお知らせ: メールを受け取りたくない場合はチェックを外す

入力が完了したら「続ける」のボタンを押してください。

そうすると、次の画像のような画面に遷移します。

先ほどの画面で入力したメールアドレスにBitwardenから認証用のメールが届くので、入力したメールアドレスのメールボックスを確認してください。

Bitwardenから送られてきた認証メールを確認する

先の画面で入力したメールアドレスに次の画像のような認証用のメールが「no-reply@bitwarden.com」（またはno-reply@bitwarden.eu）というメールアドレスから届いていると思うので、認証を行うために「Verify email」のボタンを押してください。

Bitwardenから送られてきた認証メールの英文には次のようなことが書かれています。

アカウントの作成を完了するには、以下のEメールアドレスを確認してください。
BitwardenからこのEメールをリクエストしていない場合は、無視してかまいません。
Bitwardenから送られてきた認証メールの英文を翻訳

Bitwardenで使用するマスターパスワードを設定する

先にBitwardenから送られてき認証メールのボタンを押すと、Bitwardenのログインと機密情報の暗号化/復号化に使用するマスターパスワードを設定する画面に遷移します。

注意事項はあるものの、基本的に次の手順で入力すれば大丈夫です。各項目の入力が完了したら「アカウントの作成」のボタンを押してください。

新しいマスターパスワード
- 任意のマスターパスワードを入力
- このマスターパスワードが機密情報の暗号化/復号化に使用されます
- 第三者が予測が困難な形式にして、絶対に第三者と共有しないでください
新しいマスターパスワードの確認
- ①で入力したマスターパスワードを再入力
マスターパスワードのヒント
- もしマスターパスワードを紛失した場合のヒント
- マスターパスワード自体を入力するのは絶対に止めてください
- もしヒントが必要ない場合は空白でOK
このパスワードの既知のデータ流出を確認
- マスターパスワードが過去に漏洩した値かどうかを確認してくれます
- 過去に漏洩したパスワードを使いたくはないのでチェックしたままでOK

再三書きますが、この画面で決定したマスターパスワードがBitwardenのログインに加えて、これからBitwardenに登録するパスワードなどの機密情報の暗号化/復号化に使用されます。そのため、第三者が予測することが容易なマスターパスワードを絶対に設定しないでください。

もし、このマスターパスワードが何かしらの方法で第三者に漏洩した場合は、あなたのBitwardenアカウントにログインできるだけではなく、あなたがBitwardenに登録したパスワードなどの機密情報の全てを復号化して閲覧することができてしまいます。

そのため、Bitwardenのマスターパスワードはできるだけ予測が困難な形式で設定し、可能であればそれをどこかにメモせずに自分の記憶だけで入力できればベストです。しかし、自分の記憶だけでは忘れてしまうという方は、自分だけがアクセスできる任意のプライベートな領域にメモして残しておくと良いでしょう。

Bitwardenアカウントの作成完了

先の画面で入力したマスターパスワードに問題がなければ、「アカウントの作成」ボタンを押すと次の画像のような画面に遷移します。

これでBitwardenアカウントの作成は完了になります。

Bitwardenでは、ユーザーが登録したパスワードなどの機密情報を保存する領域を「Vault（保管庫）」と呼びます。

Bitwardenのセキュリティを強化する

Bitwardenは初期設定の状態でも十分セキュリティ性は高いのですが、Bitwardenから提供されている機能を必要に応じて有効化することでさらにセキュリティ性を高めることができます。

ここからはBitwardenを使用する上で必要最低限設定しておいた方が良いセキュリティ項目を見ていこうと思います。

2段階認証の設定

2段階認証を有効化することで、Bitwardenにログインする際に追加の認証を行うようにできます。

次の手順で2段階認証を設定できる画面に遷移できます。

左のサイドメニューから「設定」を開き、「セキュリティ」をクリック
セキュリティ設定画面で「2段階認証」のタブをクリック

そうすると、次の画像のようにいくつかの2段階認証の選択肢が表示されることを確認できます。YubicoやDuoを使用した2段階認証の有効化はBitwardenのサブスクリプション契約が必要ですが、その他は無料で利用することができます。

必要に応じて任意の2段階認証を有効化するようにしてください。

日本の多くのサービスで提供されている一般的な2段階認証だとメールアドレスか認証アプリを使用した形式が主流ですが、より強固で安全な認証方法を求めてYubicoが提供しているYubiKeyやFIDO2 WebAuthn対応の物理的なセキュリティキーを使用したパスワードレス認証も普及し始めています。

一定時間の経過で自動でロック/ログアウトするように設定する

Bitwarden以外のサービスでログインしたまま長時間画面を放置している人は多いのではないかと思います。しかし、特定のサービスにログインしたまま長時間放置することは情報セキュリティ上非常に危険な行為です。なぜなら、一度ログインしたままで特定のサービスを放置すると、例えばあなたのPCやスマートホンが盗難などで第三者に奪われた場合に、その特定のサービスで何の認証をすることなく中身を閲覧されたり操作される可能性があるからです。

Bitwardenでは、一定時間の経過後に自動的にログアウト、または保管庫をロックする機能が提供されています。この機能のおかげで、一定時間が経過すればマスターパスワードなどを使用した再認証が必要になるので、ログアウトを忘れがちな人でも安心です。

Bitwardenではデフォルトではログインから15分で保管庫がロックされるように設定されています。

次の手順でBitwardenで任意のタイムアウト時間を設定できます。