Bitwarden セキュリティ影響レポート

最も信頼されているパスワードマネージャーである Bitwarden は、何百万人もの個人や組織に利用され、機密情報の安全な保管とセキュリティ体制の強化を支えています。IT リーダーは、Bitwarden の組織への導入が「スムーズ」で「簡単」だと高く評価しています。

では、従業員にパスワード管理を実際に使ってもらい、そのメリットを実感してもらうにはどうすればよいのでしょうか。Bitwarden は2025年、IT マネージャーと企業ユーザーを対象に調査を実施しました。

結論は？導入成功にはリーダーシップが不可欠です。全社的にパスワード管理を義務化すると、定期的な利用率は2倍以上になります。

しかし、単にルールを押し付けるだけでは不十分です。導入の「理由」を伝えること、トレーニング資料を提供すること、ユーザーがブラウザーにパスワードを保存できないようにするなどの技術的な強制措置を用いること、そしてリーダー層の賛同を得ることが、定期的な利用を確実にするうえでいずれも重要です。

数値で見る

• Bitwarden の企業顧客の99%が、Bitwarden によって自社のセキュリティ体制が向上したと回答

• 35%が、パスワード管理における最大の課題はユーザーの抵抗感だったと回答

• 全社的に義務化されている場合、義務化していない組織と比べて、Bitwarden を定期的に利用する従業員は2.4倍多い

• 43%が、技術的な強制措置は利用を促す最も効果的な手法の1つだと回答

• 38%が、経営層からの発表（メールまたは全社会議）が最も効果的なコミュニケーション戦略だったと回答

昨年のセキュリティ影響レポートと同様に、導入が完了し、効果を判断できるだけの期間運用された後には、ほぼすべての回答者が Bitwarden によって自社のセキュリティ体制が向上したと述べています。

• Bitwarden を完全に展開した顧客の99%が、自社のセキュリティ体制が向上したと回答しました。

• 68%が、リスクのあるパスワード、脆弱なパスワード、使い回されたパスワードを排除したことが、セキュリティ体制の向上につながったと回答しました。

• 55%が、アカウントごとに強力で一意のパスワードを使用することの重要性について、従業員の意識が高まったと回答しました。

「Bitwarden を初めて採用したとき、200件以上のパスワードを使い回しているユーザーが何人かいました。今ではかなり改善されています」と、ある回答者は述べています。

別の調査回答者は次のように述べています。「迷う必要はありません。導入すべきです。セキュリティ体制にとって、これほど簡単に成果が出る取り組みはありません。簡単で効果的です。完全に展開すれば、全体的なセキュリティ体制は大幅に向上します。」

新しいパスワードマネージャーを展開する際の最大の課題は、ユーザーにパスワードの管理方法や日々利用するサービスへのログイン方法を新しいやり方に移行してもらうことです。

重要なインサイト：最大のセキュリティ脅威は、自社の従業員かもしれません。3社に1社が、直面した最大の課題は従業員にパスワードマネージャーを使ってもらうことだったと回答しています。

全社的な義務化を行っている企業では、79%のユーザーが Bitwarden を積極的に利用していました。これは、部門レベルで義務化している企業の導入率の2倍を超えています。

「Bitwarden 導入前は、従業員がさまざまなウェブサイトのログイン情報をブラウザーに保存していました。私たちはそれをやめさせました」と、MDI Hospital の IT マネージャーである Tony Manzo 氏は述べています。「ブラウザーへのパスワード保存を禁止しました。パスワードを保存したいなら、パスワードマネージャーを使うよう義務付けたのです。現在では従業員の75〜80%がその機能を活用しています。」

義務化だけでは十分ではありません。Bitwarden へ移行する「理由」を伝え、トレーニングセッションやドキュメントを提供することが、抵抗感を克服する助けになります。

「賛同を得るためにポリシーの目的を明確に伝えること、Bitwarden のような使いやすいツールを選んで導入を容易にすること、そしてユーザビリティ上の課題に対応できるよう十分なトレーニングを提供することをお勧めします」と、ある調査回答者は述べています。「セットアップ時の問題に備えて IT サポート体制を整え、遵守を促すためにセキュリティ上のメリットを強調してください。」

技術的な強制措置や部門ごとの展開も、導入定着を促進する効果的な手段です。

ブラウザベースのパスワードマネージャーに「No」を

ブラウザベースのパスワード保存機能へのアクセスを削除し、他のパスワードマネージャーへのアクセスも削除しましょう。ユーザーがパスワードを保存したい場合は、Bitwardenを使用する必要があります。このアプローチは、回答者の43%から導入促進に「非常に効果的」と評価されました。

パスワードの「手渡し」をやめる

従業員がパスワードや認証情報を求めた場合は、代わりにBitwardenを使ってもらうようにしましょう。

「誰かがパスワードの共有を求めるたびに、IT部門がBitwarden経由で送信していました。最初は導入していなかった多くのユーザーを、この方法で支援できました」と、SecurlyのITスペシャリストであるKyle Morrison氏は述べています。「Bitwardenは、他のチームメイト全員と一緒にコレクション内で共有パスワードを持てる唯一の方法でした。すべてがそこに保存され、今後もすべてそこに保存されていきます。」

部門ごとに定着させる

お客様は、まず1つの部門で成功させてから拡大することを推奨しています。部門ごとの段階的なロールアウトアプローチは、回答者の35%から「非常に効果的」と評価されました。

「パスワードマネージャーの使用に対する従業員の抵抗に対処するうえで最も効果的だった方法の1つは、部門ごとの段階的なロールアウトでした」と、Point North Insurance GroupのITサポートスペシャリストであるMichael Young氏は述べています。「まず経理チームから始め、基本的にそのチームをパイロットグループにしました。その後、全員にロールアウトしました。」

ロールアウトを支援するため、利用可能なあらゆるコミュニケーションツールを活用する

成功しているチームは、メールを1通送っただけではありません。Bitwardenのロールアウトに関する理由、方法、時期を伝えるために、利用可能なあらゆるコミュニケーションツールを活用しました。あらゆるチャネルから従業員をサポートしましょう。

豆知識！最も人気のあるナレッジ管理ツールはConfluenceで、アンケート回答者の40%が挙げました。Bitwardenのロールアウトを伝える最も一般的な方法はメールで、回答者の75%が挙げました。

複数の戦略を推奨

パスワード管理戦略にトップダウンの義務付けを検討している他社にどのようなアドバイスをするか尋ねたところ、Bitwardenのお客様からはさまざまな推奨事項が寄せられ、回答者の大多数は義務付けと専用トレーニングを提案しました。

IT部門がBitwardenを推進し、経営陣がリーダーシップを発揮する

今回の調査で報告されたケースの81%では、IT部門またはセキュリティチームがBitwarden導入の推進役でしたが、経営陣の賛同を得ることも必要です。

重要なインサイト：お客様の38%は、全員の認識をそろえるうえで最も効果的なコミュニケーション戦略は、社内会議またはメールでの経営陣からの発表だったと回答しています。

「経営幹部は最初から賛同していました。Bitwardenは任意でしたが、CEO、CFO、CTOが『Bitwardenを使う必要がある』と言ったのです。従業員の立場から見ると、それが後押しになりました」と、SecurlyのITスペシャリストであるKyle Morrison氏は述べています。

しかし、経営陣が伝えるだけでは十分ではありません。経営陣は、単なる管理ではなく、リーダーシップを発揮する必要もあります。つまり、変革を自ら実践し、組織を促す必要があるのです。

「認証情報を自動入力するのがどれほど簡単かを経営層に示したところ、その時点で全員が全面的に乗り気になりました。Bitwardenを売り込むのはまったく難しくありませんでした」と、ある回答者は述べています。

Bitwardenは、2025年5月12日から6月10日まで、エンドユーザーおよびIT管理者を含むエンタープライズのお客様を対象に調査を実施し、111件の回答を得ました。その内訳は、IT管理者81名、部門長14名、経営幹部4名、エンドユーザー7名です。選定したIT管理者には追加質問を送り、Bitwardenの利用方法についてより具体的な質問を行いました。

Bitwardenが組織のセキュリティ体制とパスワード管理の導入をどのように改善できるかについて詳しくは、7日間の無料ビジネストライアルを開始してください。

要約プレゼンテーションをダウンロードするにはこちら。

Bitwardenは、エンタープライズ、チーム、個人が、あらゆるデバイスからログイン認証情報や機密情報を保存・共有するための、最も簡単で安全な方法を提供します。数百万人のユーザーに信頼されているBitwardenは、エンドツーエンド暗号化と信頼性の高いオープンソースアーキテクチャによりオンライン情報を保護します。また、Bitwardenは50以上の言語に対応し、グローバルなアクセシビリティもサポートしています。

Bitwarden Password Managerは、管理者が従業員全体に認証情報へのアクセス権と共有を安全に付与し、Bitwardenの保管庫健全性レポートを通じて認証情報の使用状況と脆弱性を監視・管理し、すべてのログイン認証情報を安全に保存・同期できるようにします。これには、パスワード、パスキー、またはパスフレーズをクラウドで。

2024年、Bitwardenは企業のエンドユーザーとIT管理者を対象に、Bitwardenパスワードマネージャーが生活や組織にもたらした影響について調査しました。

主な調査結果：

回答者全体の96%が、Bitwardenによってセキュリティ体制が向上したと回答

Bitwardenを利用している管理者の88%が、定期的なパスワードセキュリティトレーニングを実施

全顧客の81%が、Bitwardenの利用開始以降、使い回しパスワードを削減

45%が、15個を超える使い回しパスワードを解消したと回答

全体として、回答者はBitwardenが次の点で役立っていると述べています。

• セキュリティリスクを軽減する

• 全体的なセキュリティ文化を向上させる

• 流出済みおよび使い回しのパスワードを特定して修正する

主な調査結果：回答者全体の96%が、Bitwardenによってセキュリティ体制が向上したと回答

IT管理者にとってもエンドユーザーにとっても、パスワードは依然として最大のセキュリティリスクの1つです。攻撃者がユーザーのパスワードを突き止めると、そのユーザーがコンピューター上で実行できるすべての操作、さらには会社のネットワークへのアクセス権を得る可能性があります。その結果、データ窃取からランサムウェアに至るまで、さまざまな脅威につながりかねません。

攻撃者はいくつもの攻撃経路を利用できます。弱いパスワード（短すぎる、または推測されやすいパスワード）はブルートフォース攻撃の対象となります。これは、ハッカーが一般的なパスワードを短時間で次々に試し、成功するものを探す手法です。

使い回しパスワードは、さらに別の弱点を生みます。ユーザーが複数のサービスで同じパスワードを使っている場合（多くの異なるパスワードを覚えるのは難しいため、これはよくあることです）、攻撃者は1つのパスワードを入手するだけで、突然多くのリソースにアクセスできるようになります。

最後に、パスワードが解読されたり盗まれたりすると、他のハッカーと共有される既知のパスワードリストに載ってしまう可能性があります。ユーザーがそのパスワードを変更しない限り、こうした侵害されたパスワードによって、多数のハッカーがユーザーのアカウントにアクセスできてしまいます。

Bitwardenでは、リスクのあるパスワードをなくすための複数の選択肢を利用できます。たとえば、すべてのWebサイトで強力かつ一意のパスワードを作成できるBitwardenのパスワードおよびパスフレーズジェネレーターや、対応しているサイトでのパスキー作成などがあります。

幸いなことに、エンドユーザーとIT管理者を含む回答者全体の大多数（96%）が、Bitwardenによってセキュリティ体制が向上し、弱いパスワード、使い回しパスワード、侵害されたパスワードの数を減らせたと回答しています。

IT管理者の5分の3以上が、自社の組織でセキュリティリスクを軽減し、Bitwardenを使用して侵害を防止できたと報告しています。さらに、多くの管理者が既知のセキュリティ脅威を減らすことができています。

「Bitwardenは、当社の企業セキュリティ基盤に欠かせないツールになりました。直感的で、使いやすく、導入や管理も簡単です。」— CoreTec ProのIT管理者

主な調査結果：Bitwardenを利用している管理者の88%が、定期的なパスワードセキュリティトレーニングを実施

強固なセキュリティ体制を維持するには、パスワードセキュリティトレーニングが不可欠です。トレーニングがなければ、従業員は単純な数値の並び、「password」という単語、自分の生年月日など、推測されやすいパスワードを選んでしまいます。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が述べているように、攻撃者が推測しやすい単純なパスワードを選ぶことは、「ドアに鍵をかけながら、鍵穴に鍵を挿したままにするようなもの」です。

パスワードには次の条件が必要です。

• 解読が困難な十分な長さであること（16文字なら十分です）

• ランダムな数値の文字列、またはランダムな単語で構成されたパスフレーズであること

• 一意（複数のアカウントで使い回していない）

定期的な従業員トレーニングは、従業員が適切なパスワードの重要性と、パスワードを選ぶ際に用いるべき基準を理解するうえで鍵となります。

今日、多くの人が膨大な数のアカウントを持つなかで、適切なパスワードを考えて覚えておくのは難しいため、Bitwardenのようなパスワードマネージャーは不可欠です。

多くのIT管理者は、Bitwardenの導入が適切なパスワードポリシーのトレーニングと定着を促進することに気づいています。Bitwardenの展開後、調査対象のIT管理者の88%が、すでに組織で定期的なパスワードセキュリティトレーニングを取り入れている、または近く取り入れる予定だと回答しています。

「Bitwardenを使って認証情報を保存できるようになったことは、本当に助かっています。必要な情報を非常に簡単に見つけられるようになり、パスワード変更も容易になって、セキュリティ体制を強化できました。認証情報を保存することで、社内全体で認証情報を全面的に更新でき、複数の使い回しパスワードを排除できました。」— thechange.co.ukのIT管理者

主な調査結果：回答者の81%が、組織内の使い回しパスワードの数を削減

侵害されたパスワードは、あらゆる組織が直面する最大級のセキュリティ脅威です。これらは、ブルートフォース攻撃、推測、ハッキング、その他の手段によって攻撃者に取得されたパスワードです。

「2024年Verizonデータ侵害調査レポート」によると、2023年のWebアプリケーション攻撃の98%は、脆弱なパスワードまたは盗まれたパスワードが原因で発生しました（77%は盗まれた認証情報によるもの、21%は通常、推測されやすいパスワードを利用するブルートフォース攻撃によるもの）。

パスワードは一度盗まれると、オンラインマーケットプレイスに出回ることがよくあります。Verizonレポートの執筆者は、1日に数千人分のユーザーパスワードが1件あたり約10米ドルで販売されており、多くの場合、盗まれてから1日以内に出品されていることを確認しました。

パスワードを使い回す人は、問題をさらに深刻化させます。パスワードが一度盗まれると、そのパスワードを使用しているすべてのアカウントが脆弱になります。

GoogleやAppleなど一部の大手テクノロジー企業は、こうしたマーケットプレイスに出回ったパスワードを検出すると警告を表示するようになっていますが、組織にはより包括的なソリューションが必要です。そこで役立つのがBitwardenです。包括的なパスワード管理により、IT管理者とエンドユーザーは、自分たちのパスワードのうちどれがデータ侵害で流出済みになった可能性があるか、またどれが使い回されているかを把握できます。

その結果、Bitwardenのお客様の5分の4以上（81%）が、使い回しパスワードの数を削減できています。ほぼ半数（45%）は15件を超える使い回しパスワードを排除したと回答し、16.5%は45件を超える使い回しパスワードを排除できたと回答しています。さらに、IT管理者の11%は、12件を超える侵害されたパスワードを特定して排除できたと回答しています。大きな効果です！

「ユーザーにとって、同じパスワードを何度も使っていることが可視化されたのは衝撃的であり、不安を感じさせるものでした。Bitwardenの導入後、ドメインアカウントの更新頻度と複雑さを見直しました。また、より強力で一意のパスワードの使用を必須にし、パスワードローテーションの頻度も高めました。」— RiverStreet NetworksのITチーム

Bitwardenは、エンドユーザーとそれを利用する組織の双方に大きなプラスの効果をもたらします。調査の回答者は、Bitwardenがセキュリティリスクの軽減、全体的なセキュリティ文化の向上、侵害されたパスワードや使い回されているパスワードの特定と修正に役立つと述べています。

IT管理者は、Bitwardenが組織のセキュリティ体制を向上させ、ユーザー教育を促進し、より多くのコントロールを提供する点を評価しています。

IT管理者が挙げた主なメリットは次のとおりです。

• 認証情報とログインをより自分で管理できるようにし、セキュリティ上の脅威を軽減する

• すべてのアカウントで強力かつ一意のパスワードを使えるようにする

エンドユーザーも、Bitwardenが提供するセキュリティとコントロールを評価しています。エンドユーザーが挙げた主なメリットは、順序は異なるものの同じです。

• すべてのアカウントで強力かつ一意のパスワードを使えるようにする

• 認証情報とログインをより自分で管理できるようにし、セキュリティ上の脅威を軽減する

要するに、Bitwardenは企業のセキュリティ体制とセキュリティ文化の向上に、実証可能なプラスの効果をもたらします。そして、エンドユーザーとIT管理者の双方が、より大きなコントロールを得てセキュリティ脅威を軽減できる点に高い期待を寄せています。

パスワードレス認証を検討している企業向けに、Bitwardenはすべてのユーザー向けのパスキー管理に加え、開発者がパスキー認証を簡単に導入できるパスキーAPIと開発者ツールキットも提供しています。

パスワードの使い回しを削減することで、Bitwardenが組織のセキュリティ体制と文化をどのように改善できるかについて詳しく知るには、今すぐ7日間の無料ビジネストライアルを開始してください。

Bitwarden保管庫健全性レポートは、ダークウェブ監視、データ侵害監視、その他のサービスを活用して、個人と組織の安全を守ります。これらのレポートは、流出済み、侵害済み、使い回し、または脆弱なパスワードにフラグを立て、こうしたセキュリティ上の脆弱性を修正する必要があることをエンドユーザーと管理者に通知します。また、セキュリティ保護されていないWebサイト、多要素認証を利用できるにもかかわらず使用されていないサイト、保管庫内のWebサイトに関連するデータ侵害の特定にも役立ちます。

Bitwardenは、2024年6月から9月にかけて、エンドユーザーとIT管理者を含むエンタープライズ顧客を対象に調査を実施し、IT管理者87名とエンドユーザー29名を含む116件の回答を得ました。一部のIT管理者には、Bitwardenの利用方法についてより具体的な質問をするため、フォローアップの質問を送付しました。