BitWardenの使い方
商用のBitWardenもオープンソースのVaultWardenも同じだが、マスターパスワードを復旧することはできない。サーバ内部のデータは、このマスターパスワードで暗号化されており、どこにも格納されていないからである。マスターパスワードを忘れてしまうと復旧はできない。
BitWardenは、そもそも商用のサービスとして、小規模なら無料、大規模なら有料で使えるものなのだが、VaultWardenはそのオープンソースのソースコードを元にして作られたものらしい。
VaultWardenは、自分で借りたサーバにインストールし(あるいは、手元のパソコンでも良いかもしれないが制限がある※)、無料で無制限に使える。タイトルはBitWardenになっているが、実際にはVaultWardenについて述べる。したがって、実際のBitWardenとは異なる部分があるかもしれない。
※VaultWardenのウェブインターフェースはhttpsでなければならず、httpでのアクセスはできないため、ローカルで運用するには、オレオレ証明書を使った何らかのリバースプロキシが必要になる。
これを書こうと思ったのは、巷にある「BitWardenの使い方」なるページが全く参考にならないからである。わずかに、パスワードの登録の仕方と、その取得の仕方くらいしかわからず、BitWardenが全体がどういう仕組みになのか、どういう考え方なのか、その概念がさっぱりわからない。そして、BitWardenのオフィシャルな日本語マニュアルはないらしい。
基本的な構造
基本的な構造としては以下である。
- 一つのVaultWardenのインストールで、複数のユーザがそれぞれ独自のアカウントを作成でき、それぞれの個人的なパスワードを保存できる。
- 個人のパスワードは、フォルダを作成して、そこに格納して整理しても良いし、フォルダ無しでもよい。
- 上の個人用パスワードに加え、例えば、個人Aが組織X(会社やグループ)を作成でき、その組織X用のパスワードを個人のものとは別に保存することができる。
- 当然のことながら、個人Aは、組織Xのメンバーとして、個人Bや個人Cを招待することができ、A,B,Cが協調して組織Xのパスワード利用と管理ができる。権限のレベルは、ただのユーザからオーナーまであるようだ。
- さらに、組織Xのパスワードは、一つまたは複数のコレクションに属さなければならず、そのコレクションごとに、他の個人にアクセス権限を与えられる。例えば、経理関係はBのみに、会社のウェブサイトはB,C二人ともに。
BitWardenには、多くの、おそらくは無制限にパスワードを格納でき、キーワードですぐに検索してくれる。しかし、やみくもにパスワード登録していくと、当然ながら大量のランダムに出てくる一覧になってしまう。
整理方法は二つ用意されている。
フォルダ
Foldersに説明があるが、これは、基本的には個人用のパスワードを格納しておくものである(ただし、例外あり※)。フォルダはいくつでも入れ子にできる。したがって、パスワードとフォルダの関係は、普通のファイルとフォルダの関係のようだが、異なる点としては、フォルダを削除してもパスワードは削除されないことである。単純に、フォルダ無しのパスワードになるようだ。
また、フォルダに入っている入ってないに関わらず、「すべてのアイテム」で全アイテムを表示できる。
※組織のパスワードは、基本的には、後述のコレクションに入れるものなのだが、これを個人が閲覧できるようにした場合には、そのパスワードを個人フォルダにも入れることができる。
コレクション
Collectionsに説明がある。
上の述べた「フォルダ」は、個人のアカウントのみに使えるものであって、基本的には、組織には使えない。組織では、「コレクション」を使う。これはほとんどフォルダと同じような機能で、階層構造にもできる。フォルダと異なる点としては、コレクションの項目ごとに、個人のアクセス権限を設定できる点である。これにより、組織全体のパスワードを組織に加入させた個人に全公開するのではなく、必要な個人に必要な場所のみへのアクセスを与えることができるらしい。
ただし、コレクションがフォルダと大きく異なる点は以下の通り。
- コレクション無しのパスワードは作成できない。必ずいずれかのコレクションに属す必要がある。実際に、コレクション無しで作成する方法は無い。
- 一つのパスワードを複数のコレクションに属させることができる。例えば、経理部と営業部で共通に使うパスワードがあるなら、二つのコレクションにそのパスワードを属させることになる。
概念のまとめ
概要としては、上述の通りで、個人のもの、組織のものでもそれが閲覧できる場合は、フォルダで整理するが、ただし必ずしもフォルダに入れる必要はない。
組織のものは、コレクションで整理する。組織のパスワードは、必ず一つまたは複数のコレクションに属さなければならない。
コレクションについては、その組織に属している個人ごと、コレクションごとに閲覧権限などを設定できる。
実際の画面
ユーザ登録の仕方や、組織の作り方、組織のメンバーの追加の仕方などは、とりあえず省略して、実際の画面を解説する。実はここが最も理解が難しい点だからだ。
ここでは、この個人が属する組織として「法人」を一つだけ作成してある。
保管庫の選択
左上の保管庫の選択としては、「すべての保管庫」、「保管庫」、「法人」があるが、この「保管庫」は「個人の保管庫」に名称変更されるべきである(その方法は無いようだ)。つまり、個人のパスワードがここに格納されている。「法人」は当然、作成された一つの組織の保管庫であり、「すべての保管庫」を選択すると、個人、組織関わりなく、全保管庫のパスワードが表示対象になる。
すなわち、ここは、どの保管庫の内容を表示対象とするかを選択するものだ。
例えば、その上に「保管庫を検索」入力があるが、個人の「保管庫」を選択した状態で、「法人」の保管庫にあるパスワードを検索しようとしてもできない。すべてのパスワードを検索するには、「すべての保管庫」を選択しなければならない。
この保管庫の選択が、それ以外の操作に関わるので、ここはしっかり押さえないといけない。
フォルダとコレクションの表示
フォルダは、基本的には個人のパスワードを整理するためのものだが、組織のパスワードもここに格納することができる。コレクションは、組織のパスワード専用である。
したがって、保管庫の選択に関わらず、フォルダの一覧は常に表示される。その一方、コレクションは、「すべての保管庫」か、あるいは「その組織の保管庫」が選択された時にしか表示されない。
先のスクリーンショットで示した状態では、「すべての保管庫」を選択しており、さらに、「個人フォルダ1」を選択している。このフォルダの中には、二つのアイテムがあることがわかる。
- 法人用のprintpacのパスワード(オーナーが「法人」と示されている)
- 個人用のテストというパスワード(オーナーが「自分」となっている)
これに対して、例えば、個人の「保管庫」を選択した後で「個人フォルダ1」を選択すると「テスト」だけが表示され、「法人」保管庫を選択した後で「個人フォルダ1」を選択すると「printpac」が表示される。
保管庫の選択が、他の動作に影響を与えることがわかる。ここを押さえておかないと、混乱することになる。
パスワードの作成方法
個人のパスワードを作成するには、先の画面の右上にある「新しいアイテム」をクリックすればよい。あとは、フォルダに入れるのか入れないのかを決めれば良いことだ。
組織のパスワードを作成もこの画面からできるのだが、これに非常にわかりづらいため、組織の画面に移った方が無難だ。
新規作成から、アイテム(パスワード)、あるいはコレクションを作成するかを選択する。パスワードを作る場合、上の画面のようにトップレベルで新規作成すると、デフォルトで選択されるコレクションが一つもない状態になっている、実際に作成するには、一つまたは複数のコレクションを選択しないといけない。
あらるいは、あらかじめ一つのコレクションを選択した後で新規作成すれば、そのコレクションがデフォルトで選択されている状態になる。
組織へのメンバー追加
BitWardenに登録した個人が、個人のパスワードを管理するのは、少々困難はあるだろうが問題はないだろう。次にやりたいことは、組織を作り、そこにメンバーを追加することだ。
しかし、このVaultWardenに登録されている個人の一覧を得ることはできない。これは、商用の巨大なシステムを真似たものだからだ。全ユーザを一覧して、そこから、「この人とこの人」などとやることはできない。
組織にメンバーを追加するには、若干ややこしい操作が必要になる。まずは以下の画面に行く。
- ここで「メンバーを招待する」を選択し、そのメールアドレスを入力(既に登録済か、あるいは登録していないメアドでも良いかもしれない)、メンバーの権限、既にあるコレクションを閲覧できるのか、編集できるのかなどを選択する。
以下のような画面だが、注意してほしいのは、招待するメンバーがどのコレクションにアクセスできるかを決める必要がある。これをやっておかないと、後々悩むことになるので、必ず行うこと。ただし、メンバーの権限が管理者かオーナーの場合には、そのメンバー自身がこの設定を行うことができる。また、招待した側(オーナー)が後から編集することができる。
- すると、そのメンバーにお誘いのメールが送信されるので、招待を受けるのであれば、メール中のリンクをクリックする。
- さらに、管理者には、招待を受けたことがメール通知されるので、管理者はそのメンバーの追加を確認する。
という手順になる。再度だが、一覧から個人を選択して単純にメンバーにすることはできないのである。
まとめ
BitWardenは、ウェブ上でパスワードを管理してくれ、まだここには紹介していないのだが、必要な時に自動でパスワードを入力してくれる機能もある(これは、ブラウザのプラグインによって行われる)。
これを強固なセキュリティで行っており、BitWarden自身には、マスターパスワードが保存されておらず、これを忘れてしまうと復旧することはできない。さらに、その概念的な仕組みやそれに伴う画面が初心者には非常にわかりづらく、特に複数の個人が協調する仕組みを把握するのが困難である。
しかし、ますますあらゆるウェブサービスが出てきている現在、このタイプの管理ソフトは必須だろう。