Bitwarden
オープンソースのパスワードマネージャー
From Wikipedia, the free encyclopedia
Bitwarden(ビットウォーデン)は、暗号化された保管庫にウェブサイトのログイン資格情報などの機密情報を保存する、自由かつオープンソースのパスワードマネージャーである。Bitwarden, Inc.によって所有および開発されている[7]。
| Android | 2024.6.0 / 2024年6月13日[1] |
|---|---|
| iOS | 2024.6.0 / 2024年6月13日[2] |
| Desktop | 2024.6.2 / 2024年6月19日[3] |
| CLI | 2024.6.0 / 2024年6月12日[4] |
| Browser | 2024.6.3 / 2024年6月22日[5] |
| Server | 2024.6.1 / 2024年6月14日[6] |
|
| |||||||||||||
 Bitwarden Desktop 2025.7.0 | |||||||||||||
| 開発元 | Bitwarden Inc. | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 初版 | 2016年8月10日 | ||||||||||||
| 最新版 |
| ||||||||||||
| リポジトリ |
github | ||||||||||||
| プログラミング 言語 | TypeScript, C#, Rust | ||||||||||||
| 対応OS | Linux, macOS, Windows, Android, iOS, iPadOS, WatchOS | ||||||||||||
| 対応言語 | 多言語対応 | ||||||||||||
| サポート状況 | 開発中 | ||||||||||||
| 種別 | パスワードマネージャー | ||||||||||||
| ライセンス | GNU Affero General Public License, version 3.0、GPL 3.0かそれ以降 | ||||||||||||
| 公式サイト |
bitwarden | ||||||||||||
Bitwardenでは、クラウドでホストされるサービスと、オンプレミスでセルフホストする機能が提供されている[8]。 また、Webインターフェイス、デスクトップアプリ、ブラウザ拡張機能、モバイルアプリ、CLIなど、さまざまなクライアントアプリケーションがある[9]。
日本語表記は「ビットワルデン」や「ビットワーデン」などが公式サイトにおいて混在しており、統一されていない[10]。
機能
Bitwardenはゼロ知識暗号化を採用しており、運営企業がユーザーのデータを見ることはできない。これは、データをAES-CBC 256ビットでエンドツーエンド暗号化し、PBKDF2、SHA-256、またはArgon2idを使用して暗号化キーを生成することで実現されている[11][12]。
ログインには、メールアドレスとパスワードの組み合わせ、生体認証、二要素認証(2FA)、パスキー、シングルサインオン、またはモバイル・デスクトップデバイスへの通知承認によるパスワードレスログインが利用可能である。[13][14][15]
その他のクライアント機能には、50種類以上のパスワードマネージャー(LastPass、1Password、Keeperなど)からのデータインポート、パスキー管理、JSON、暗号化JSON、CSV形式へのエクスポート[16]、ランダムパスワード生成、ログイン・その他フォームのオートフィル、メールエイリアスサービスとの連携、無制限のプラットフォームおよびデバイス間での同期、無制限のアイテム保存が含まれる。また、ユーザー名とパスワードのペア以外にも、パスキー、TOTPシード、デビットカードやクレジットカードの番号、請求データなどの身元情報、セキュアノート(自由形式のテキスト)など、多様な情報を保存できる。各アイテムタイプはカスタムフィールドやファイル添付で拡張できるが、これらは購読プランに応じたファイルサイズ制限がある[13][17]。「Send(送信)」と呼ばれる機能では、エンドツーエンドで暗号化されたテキストメッセージ(無料版)やファイル(有料版)の共有が可能である。送信されるアイテムには、有効期限、最大アクセス回数、パスワードを任意で設定できる[18][19][20][21]。パスワード照合ツールはzxcvbnを使用してパスワードの強度を評価する[22]。また、Have I Been Pwned?データベースを照会することで、資格情報の漏洩を検知する。[22]
Bitwardenは、組織内の「コレクション」を通じて資格情報の共有を実装している。2024年現在、特定の組織内のコレクションは同じ組織秘密鍵を使用して暗号化されている。これは、権限分離が個別の暗号化キーではなく、認可レイヤーによって強制されていることを意味する[23]。
利用環境
このプラットフォームは、Webインターフェース、デスクトップアプリケーション、ブラウザ拡張機能、モバイルアプリ、CLIなど、複数のクライアントアプリケーションを提供している[24]。Bitwardenは、Webインターフェース、デスクトップアプリ(Windows、MacOS、Linux)、ブラウザ拡張機能(Chrome、Firefox、Safari、Edge、Opera、Vivaldi、Arc、Brave、Tor Browser)、またはモバイルアプリ(Android、iOS、iPadOS、watchOS)で動作する。[13] 50の言語と方言がサポートされているが、すべての言語がすべてのクライアントで利用可能なわけではない[25]。
また、米国または欧州でホストされる無料のクラウド同期サービスに加え、セルフホスティングも可能である[26][27][28][29]。
コンプライアンス
Bitwardenのコンピュータクライアント、モバイルアプリ、サーバーのコードベースはオープンソースである[30]。2020年8月、BitwardenはSOC 2 Type 2およびSOC 3認定を取得した[31][32]。また、HIPAA[33]、 GDPR、CCPA、SOC 2、SOC 3、およびEU-USおよびスイス-USプライバシー・シールドの各枠組みに準拠している[34][35][36]。
セキュリティ監査
第三者によるセキュリティ監査が毎年実施されており、バグバウンティプログラム(脆弱性報告制度)も確立されている[37][35]。
2018年6月、Cliqz GmbHはBitwardenのFirefox用ブラウザ拡張機能のプライバシーとセキュリティのレビューを行い、ユーザーに悪影響を与えないとの結論を下した。[38] 同年10月、Bitwardenは第三者セキュリティ監査法人Cure53によるセキュリティ評価、コード監査、および暗号解析を完了した[39][40][41][42]。
2020年7月、セキュリティ企業Insight Risk Consultingによるセキュリティ監査を受け、Bitwardenのネットワーク境界の評価、ならびにWebサービスとアプリケーションに対するペネトレーションテスト(侵入テスト)と脆弱性評価を完了した。2021年8月、BitwardenはInsight Risk Consultingによる2021年のネットワーク評価を再度完了したことを発表した[16][43]。
2023年2月、Bitwardenは2022年5月と10月にCure53が実施したネットワークセキュリティ評価およびセキュリティ評価レポートを公開した[44] 。前者はIP、サーバー、Webアプリケーションにわたるテストであり[45]、 後者はコアアプリ、拡張機能、デスクトップアプリなどすべてのコンポーネントに対する監査であった[46] Ghacksは次のように報じた[47]。
2つの監査において重大な問題は発見されなかった。Cure53が「高(High)」と評価した2つのセキュリティ問題は、監査中に修正された。その他の問題はすべて「低(Low)」または情報提供のみの評価であった。
評価
2021年1月、U.S. News & World Reportは同誌初のパスワード保護プログラムの比較において、Bitwardenを「最高のパスワードマネージャー」に選出した[48]。その1ヶ月後、競合のLastPassが無料版の機能を制限したことを受け、CNetは複数デバイス間の同期における最高の無料アプリとしてBitwardenを推奨した[49]。 同様にLifehackerも「ほとんどの人にとって最高のパスワードマネージャー」として推奨している[50]。
レビュー担当者は、無料版で提供される機能の多さや、他の製品と比較したプレミアムプランの低価格を高く評価している[49][51][52][53]。また、Wirecutterの比較では「バジェット・ピック(安価な推奨品)」に選ばれた[54]。
一方で、Tom's Guideは一部の機能が直感的でないと指摘し、[51] PC Magazineはビジネスプランの価格が高すぎると批判した[55]。
2025年、南ドイツ新聞は主要なセルフホスト型パスワードマネージャーの概要の中で、Bitwardenをユーザーが高いセキュリティと完全な制御を得られるソリューションとして取り上げた[56]。
沿革
2016年–2017年
Bitwardenは2016年8月にサービスを開始し、iOSおよびAndroid向けアプリ、ChromeおよびOpera用拡張機能、そしてWebベースの「保管庫」がリリースされた。2017年2月にはFirefox用の拡張機能が提供され[57]、 同月、BraveブラウザがBitwardenをオプションのパスワードマネージャーとして追加した[58]。 2017年9月にはHackerOneにてバグバウンティプログラムを開始した[37]。また同月、拡張機能がMicrosoft Edge向けにリリースされた[59]。
2018年
2018年1月、Bitwardenの拡張機能がAppleのSafari向けにリリースされた[60]。2月にはmacOS、Linux、Windows用のデスクトップアプリが登場した。これはElectronフレームワークを用いて構築された[61]。 2018年3月、Bitwardenはウェブ保管庫にBootstrapCDN、Braintree、GoogleおよびStripeのJavaScriptを埋め込んだとして批判された。これらのサードパーティの埋め込みスクリプトは、機密情報への不正アクセスのための手段になる可能性があった[62]。 これらのスクリプトは2018年7月にリリースされたBitwarden 2.0 ウェブ保管庫アップデートで削除された[63]。 5月には、ユーザーがスクリプトから保管庫データを扱えるようにするコマンドライン(CLI)アプリをリリースした[9]。 2018年6月、Cliqzは、BitwardenのFirefoxブラウザ拡張機能のプライバシーとセキュリティの調査を実施し、ユーザーに悪影響を及ぼさないと結論付けた。 調査に続いて、BitwardenはCliqzでオプションのパスワードマネージャーとして利用可能になった[38]。
2022年
2022年9月、同社はPSGが主導しBattery Venturesが参加する1億ドルのシリーズB資金調達を発表した[64] 。この投資は、製品開発の加速と世界規模での企業成長に充てられるとされる[65]。
2023年
1月、Bitwardenはスウェーデンのスタートアップ企業Passwordless.devを買収した[66]。同社は、開発者がWebAuthnやFIDO2に基づいたパスワードレス認証を容易に実装できるオープンソース・ソリューションを提供していた[66]。Bitwardenはベータソフトウェアサービスを開始、Touch ID, Face ID, Windows Helloなどのバイオメトリックサインインテクノロジーを、第三者開発者のアプリで利用できるようにもなった。
2024年
5月1日、Bitwardenは独自の多要素認証アプリである「Bitwarden Authenticator」をリリースした[67]。
特徴
- オープンソースのコードベース[68]
- クラウド同期
- ログイン、セキュリティで保護されたメモ、クレジットカード、IDなどのアイテムタイプ
- 以前のパスワードを確認できるパスワード履歴機能
- 他のBitwardenユーザーとの保管庫アイテムの安全な共有
- ログイン情報をWebサイトやその他のアプリケーションに自動入力[69]
- パスワードジェネレーター
- 認証アプリ、メール、Duo[70]、YubiKey[71]、およびFIDO U2Fを使用した2要素認証
- 添付ファイル[72]
- TOTPシークレットキーのストレージおよびワンタイムパスワードジェネレーター
- Have I Been Pwned?による情報漏えい調査と流出パスワード調査
- クロスプラットフォームのクライアントアプリケーション[9]
- オンプレミスのBitwardenサーバーをセルフホスト[8]