2025年3月、連邦検察官は暗号通貨の押収を、LastPassの侵害から始まった盗難と結びつけました。被害者はセキュアノートにシードフレーズを保存しており、攻撃者は2022年に暗号化されたボルトデータを入手し、弱いマスターパスワードは後でオフラインで解読されました。 この事件に関するレポートを読んでください。
その話がセルフホスト型パスワードマネージャーのカテゴリーを生み出したわけではありませんが、より多くの人々をその方向に押し進めました。
この記事は通常の機能リストを省略します。単独使用、小規模チーム、監査ニーズのある組織向けの選択肢を提供します。また、ほとんどのガイドが省略する2つの部分、バックアップとマイグレーションも取り上げます。
直接的な答え
- 単独ユーザー、家族、またはホームラボ: Vaultwarden 小型VPS上で。公式Bitwardenクライアントを使用し、軽量を保ち、設定をシンプルに維持します。
- 小規模チームまたは共有認証情報のワークフロー: Vaultwarden 組織 モバイル利用の多いチーム向け、または Passbolt 共有認証情報の管理こそがセルフホスティングの本当の理由なら。
- 監査またはコンプライアンス要件のある組織: Bitwarden の公式セルフホストサーバー。より重いですが、ほとんどの組織が必要とする監査証跡とベンダーサポートを備えています。
- どちらを選んでも: 一度も復元したことのないバックアップはバックアップではありません。空白のマシンでコールドリストアをテストしてください。
セルフホスティングとは何か
暗号化モデルは変わりません。暗号化は引き続きクライアントで行われます。サーバーは読めない暗号文を保存します。違いはサーバーを誰が運営するかです。クラウド版 Bitwarden では Bitwarden が運営します。Vaultwarden や Bitwarden セルフホストでは、あなたが運営します。
これは HashiCorp Vault、Doppler、AWS Secrets Manager のようなシークレットマネージャーとは異なります。あれらのツールはアプリを対象としています。パスワードマネージャーは人を対象としています。
ここでの対象範囲:Vaultwarden、Bitwarden セルフホスト、Passbolt CE、Psono、そしてサーバーなしオプションとして Syncthing を使った KeePassXC。
5つのツールを一目で
| ツール | スタック | 典型的なリソース使用量 | 監査ステータス | 最適 |
|---|---|---|---|---|
| Vaultwarden | Rust、シングルDockerコンテナ | アイドル時 ~50 MB | 正式なサードパーティ監査なし | 個人、家族、小規模チーム |
| Bitwarden セルフホスト | .NET、マルチコンテナスタック | アイドル時 ~2 GB | 公開されたサードパーティ監査 | 監査履歴が必要な組織 |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB 動作中 | 第三者機関による監査済み | チーム優先の認証情報共有 |
| Psono | Python / PostgreSQL、マルチコンテナ | ~512 MB+ | 部分的な監査履歴 | エンタープライズ型の共有モデルを求めるチーム |
| KeePassXC + Syncthing | ローカル DB + ピア同期 | サーバーなし | 独立したレビューが公開済み | サーバーをまったく必要としないシングルユーザー |
Vaultwarden
VaultwardenはBitwardenサーバーをRustで書き直したものです。公式のBitwardenクライアントを使用しているため、日常的な使用感はクラウドBitwardenと同じです。1つのDockerコンテナで動作し、リソース使用量を低く抑えます。
トレードオフは単純です。Vaultwardenには正式なサードパーティによるセキュリティ監査がありません。それは悪いということではありません。ただ信頼モデルが異なるということです。
単独ユーザー、カップル、家族にとって、このトレードオフは通常問題ありません。モバイルを多用するチームには、主に個人のボルトといくつかの共有コレクションを使っている場合、依然として堅実な選択です。
小型のVPSはほとんどのVaultwarden設定に十分です。約1 GBが個人のボルトの最適なスイートスポットです。小規模な家庭や少し活動が増えるチームには、2 GBがより余裕をもたらします。
最新の状態に保ってください。Bitwardenクライアントの変更が古いVaultwardenビルドを一時的に壊す可能性があるため、サーバーを何ヶ月も放置しないでください。
選択: Vaultwarden ほとんどの個人的なユースケースに適しています。
Bitwarden セルフホスト版
Bitwardenセルフホストはベンダーのフルスタックです。Vaultwardenより重いですが、それは正確なBitwardenサーバーモデル、公開された監査成果、そして調達部門やセキュリティレビュー担当者の前で説明しやすいサポートパスを得るための代償です。
Bitwardenは全製品についてサードパーティによる評価作業を公開しています。
日付やレポートで質問に答える必要がある組織、つまり曖昧な答えでなく具体的な数値が必要な場所に適した選択肢です。また、より多くのリソースも必要です。小規模な組織は4 GB VPSを出発点として計画し、より大きなチームや重いバックアップジョブのために余裕を持たせるべきです。
選択:Bitwarden セルフホスト 監査履歴がリーンなスタックよりも重要な場合。
Passbolt CE
Passbolt は最初からチームを中心に設計されています。その共有モデルは、ほとんどの個人用パスワードマネージャー設定が提供するものよりも細粒度です。それがまさにポイントです。共有認証情報がメインの仕事であり、後付けでない場合に最もよく機能します。
欠点はモバイルの扱いです。実際には Passbolt はまだデスクトップ優先です。オフライン緊急アクセスモードはロードマップ上にありますが、今日すでに成熟したオフライン体験を持つこととは異なります。
Passbolt も Vaultwarden よりも多くのリソースを必要とします。2 GB VPS が最低ラインで、実際のチームスタックの出発点としては 4 GB の方が安全です。
選択:Passbolt CE 共有認証情報のワークフローがセルフホスティングのすべての理由である場合。
Psono
Psono は中間に位置します。エンタープライズ型の共有モデル、管理者とユーザーの別々のポータル、そして通常の個人用保管庫よりもグループアクセスを管理しやすい構造を備えています。
Vaultwarden、Bitwarden、Passbolt に比べてあまり一般的ではないため、コミュニティは小さいです。
Psono は Vaultwarden Organizations よりも体系的なものを望みながら、Passbolt のモバイルのトレードオフは避けたいチームに適しています。
選択:Psono Bitwarden セルフホストに直接移行することなく、よりエンタープライズ型の共有モデルを求めるチーム向け。
KeePassXC + Syncthing
これはサーバーなしの方法です。KeePassXCは認証情報をローカルの暗号化された .kdbx ファイル。Synthing はそのファイルをデバイス間でコピーします。サーバー不要。API不要。Docker不要。月額費用なし。
トレードオフは現実的です。適切なチーム共有機能がありません。2つのデバイスが同時に書き込むと、競合処理が複雑になります。ウェブボルトがないため、借りたマシンでのアクセスは不可能です。
これは、インフラを運用したくない2〜3台のデバイスを持つシングルユーザーのための正解です。
選択: KeePassXC + Syncthing サーバー不要派のために。
重要なバックアップルール
セルフホスト型パスワードマネージャーは、その背後にある復元プロセスの品質に依存します。
最も安全なアプローチはシンプルです:
- データを3つのコピーで保持する
- 2種類の異なるメディアに保存する
- 1つのコピーをオフサイトに保管する
シンプルな設定で十分です。毎晩データベースダンプを取り、S3互換ストレージにコピーし、別の場所に置くリムーバブルメディアに2番目のコピーを保管してください。
次に、ほとんどの人が省略するステップを実行してください。空のVMにバックアップを復元してログインします。それが機能すれば、バックアップがあります。機能しなければ、機能することを祈るしかないファイルがあるだけです。
LastPass、1Password、またはBitwarden Cloudからの移行
このリストで最も簡単な移行はBitwarden CloudからVaultwardenへの移行です。クライアントのサーバーURLを変更し、ログインして同期するだけです。
LastPassからVaultwardenへの移行には手間がかかります。LastPassのボールトをCSVにエクスポートし、Bitwardenクライアントを通じてインポートして、同じクライアントを自己ホスト型サーバーに向けてください。
3つのことに注意が必要です:
- 添付ファイルはCSVとは別に出力されます。 手動で再アップロードしてください。
- フォルダ構造が変わる可能性があります。 新しいレイアウトを信頼する前に、素早く確認してください。
- TOTPシードの確認が必要です。 古いボールトを削除する前に、いくつかのアカウントにログインしてください。
普遍的なルールはシンプルです:30日間はソースボールトを削除しないでください。
どの選択肢がどの読者に合うか
個人利用に最もスムーズな方法を望むなら、Vaultwardenを選んでください。
チームが共有認証情報を必要とし、主にデスクトップで作業するなら、Passboltが最も明確な選択肢です。
監査履歴とベンダーサポートが最優先であれば、Bitwarden self-hosted の方が安全な選択肢です。
サーバーを一切使いたいのであれば、KeePassXC と Syncthing の組み合わせが最もスマートな方法です。
まとめ
ユースケースに合ったセットアップを選び、対応するツールをデプロイして、次に進みましょう。
次のステップはコールドリストアテストです。空の VM を起動し、最新のバックアップを復元してログインしてください。
