セキュリティチャンピオン注目記事：オープンソース貢献者がパスワード忘れに終止符を打つ

名前：ブライス・バウンズ

Bitwarden利用開始： 2021年

所在地：フロリダ州フォートローダーデール

業種：政府機関

2021年、ブライス・バウンズは、個人アカウントと地方郡政府の建築士としての役割の間で扱う数百ものパスワードを覚えるのに苦労していました。ブライスはこう振り返ります。「特殊文字を付け足して同じパスワードの組み合わせをいくら増やしても、必要な範囲をカバーできないところまで来ていました。管理しきれなかったのです。」ブライスは、パスワードマネージャーの助けが必要だと気づきました。

オープンソースソフトウェアコミュニティに積極的に参加し、さまざまなオープンソースプロジェクトに定期的に貢献しているブライスは、自分と同じようにオープンソースを重視するパスワードマネージャーを求めていました。「これまで長年にわたり、OpenWRTのハードウェアデバッグからBloggerの初期コードまで、かなりの数のプロジェクトに貢献してきました」とブライスは語ります。「監査可能で、必要に応じて変更でき、ユーザーによる制御を優先するオープンソースソリューションを評価しています。」

彼は、Redditの人気セルフホスティング系サブレディットで、Bitwardenのオープンソースコードを活用した非公式のサードパーティーフォークを見つけ、Dockerインスタンスを立ち上げてパスワードの整理を始めました。こうして、Bitwardenパスワードマネージャーとの歩みが始まりました。

ブライスは仕事と私生活の両方でパスワード管理に成功していましたが、彼の家族のビジネスでは、エンタープライズ環境でのパスワード管理に苦労していました。

Bounds Law Officesでは、パスワード管理にコンシューマー向けソリューションを活用していましたが、そのソフトウェアには重大な欠点がありました。「複数ユーザー向けに設定されていませんでした」とブライスは言います。「すべての端末が同じアカウントにログインしていたため、従業員が製品を誤用した場合でも、いかなるパスワード監査もできませんでした。」

ブライスはこう説明します。「スタッフがパスワードを忘れると、パスワードのリセットを行って変更し、その新しいパスワードをシステムに保存していました。その結果、同じアカウントの記録が異なるパスワードで何度も作成され、最終的にパスワードデータベースには300件を超えるエントリができてしまいました」とブライスは語ります。

その法律事務所には技術的な経験のない従業員が多かったため、アカウントのログイン情報を簡単に自動入力できるソリューションを見つけることが、Bounds Law Officesにとって重要でした。「私に課された課題は、自動入力ができ、パスワードが更新または変更されたことを知らせてくれる代替システムを見つけることでした」とブライスは言います。

ブライス・バウンズがすぐに思い浮かべたのはBitwardenパスワードマネージャーでした。これは、非公式のサードパーティープロジェクトでは利用できないエンタープライズ機能を備えており、シングルサインオン（SSO）連携や組織のコレクションを、管理者による制御と監査機能付きで利用できます。

同社は「すでに、全員がローカルワークステーションのアカウントでログインする形から Microsoft Azure AD へ移行しつつあったため、Bitwarden のシングルサインオン連携を取り入れることで、エンドユーザーにとってパスワードマネージャーの移行がスムーズになりました。」

コンプライアンス、透明性、セキュリティへの取り組みも、Bitwarden の大きな訴求点でした。Bryce 氏は「[Bounds Law Offices] には大量の HIPAA および PII データがあります。それを Excel スプレッドシートのパスワードや、キーボードの下の付箋で保護したままにしておくわけにはいきません」と述べています。

SOC 2、GDPR、HIPAA などの Bitwarden のセキュリティおよびプライバシーコンプライアンスは、American Bar Association の弁護士向け倫理ガイダンスにおけるコンプライアンス要件と合致していました。Bitwarden のオープンソースとしての透明性とサードパーティー監査に加え、これらのコンプライアンス要件により、同事務所は Bitwarden が機密情報を保護してくれると信頼できました。

不適切なパスワード運用に終止符を打つ

Bounds Law Offices は Bitwarden により、以前のソリューションでは見過ごされていたパスワード上の問題点をすぐに特定できました。

Bounds Law の複数の従業員は、以前の個人向けソリューションにすでに保存されている情報を活用せず、アカウントにログインするたびに新しいパスワードを作成していたため、当初 Bitwarden には重複する項目が多数ありました。Bitwarden の監査ログにより、「誰がログインし続け、パスワードを変更していたのかを確認できました」と Bryce 氏は述べています。インポートされた 300 件のパスワードの約 70% はすでに無効で、その後変更されていました。Bitwarden により、Bounds Law Offices はこのような不適切なパスワード運用の継続を防ぐことができました。

必要な人にログイン権限を付与する

Bitwarden のコレクションにより、Bounds Law Offices はログイン情報を機能別に整理し、役割に応じて必要なアクセス権限を割り当てることができました。Bryce 氏は「すべてを一枚岩のコンテナに入れていた状態から、どのパスワードとユーザー名の組み合わせに誰がアクセスする必要があるかに応じて、異なるアクセスポリシーを持つ整理されたコンテナへ移行しました」と述べています。これにより同事務所は、特定のパスワードやユーザー名にアクセスする必要がある人だけにアクセス権が付与されるようにできました。

Bitwarden の導入を同僚、IT チーム、経営陣、またはその全員に提案するには、こちらのメールテンプレートをご活用ください。Bitwarden のようなパスワードマネージャーを使うべき主な理由を説明しています！

何百万人ものユーザーに信頼されているオープンソースのパスワードマネージャーを今すぐ始めたい方は、7 日間の無料トライアルを今日からお試しください！