オープンソースとクローズドソースのパスワードマネージャー｜それぞれの長所と短所を解説

一般の人でもパスワードを100以上使い分けている現代では、強固なパスワード管理の必要性がかつてないほど高まっています。

ただ、オープンソースとクローズドソースタイプ、どのパスワードマネージャーが適しているのでしょうか。サイバー脅威が進化するにつれて、このジレンマも進化しています。

このデジタル論争では、透明性やコミュニティ主導の開発、洗練されたインターフェースや専門家によるサポートが争われます。オンラインプレゼンスの確保を目指す個人であれ、機密データを保護する企業であれ、この議論のニュアンスを理解することは極めて重要です。

最終的には、オープンソースとクローズドソースのパスワード管理の選択は、各ユーザーまたは組織の特定のニーズ、技術的能力、リソース、および好みによって決まります。

そこで本記事では、パスワードマネージャーの世界に飛び込み、オープンソースのソリューションとクローズドソースのソリューション両方の長所と短所を見ていき、情報に基づいた意思決定を下せるようサポートいたします。

オープンソースとクローズドソースについて

オープンソースソフトウェア

オープンソースソフトウェアとは、コードが公開されているコンピュータプログラムのことを指します。誰でも自由にコードの閲覧や変更、共有したりできるものもあれば、（ほとんどのオープンソースのパスワードマネージャーのように）ソースコードの閲覧のみを許可し、必要であればコードのコピーや、自分自身の必要に応じた変更を許可するものもあります。

このアプローチは、ソフトウェア開発におけるチームワーク、革新性、透明性を促進し、ユーザーは、オープンソースのライセンス条項に従って、自分たちのニーズにソフトウェアを適合させることができます。例えば Linux、Firefox、Apache などが挙げられます。

また、オープンソースのプロジェクトは、コミュニティによる貢献によって、サッと改善されることがよくあります。そしてこのアプローチは、パーソナルコンピューティングとビジネスコンピューティングの両方で一般的になっています。

クローズドソースソフトウェア

クローズドソースソフトウェアとは、ソースコードが秘密にされているコンピュータプログラムのことであり、作成者や所有者だけがコードを見たり変更したりできます。

ユーザーはプログラムを実行することはできますが、それを変更したり、内部的にどのように動作するかを確認したりすることはできません。これは例えば Microsoft Windows や Adobe Photoshop、その他多くのモバイルアプリなどが挙げられます。

企業は、自分たちの仕事の保護や製品の管理を行ったり、販売を通じて収益を生み出すために、このモデルを使います。また、クローズドソースソフトウェアには、専門家によるサポートと洗練された機能が付属していることが多いですが、多くの場合はユーザーがプログラムの内部構造をカスタマイズしたり、検査したりする自由度は低いです。

オープンソースソフトウェアとクローズドソースソフトウェアの主な違い

ソースコードのアクセシビリティ

オープンソースソフトウェアでは、ソースコードが公開されていますが、クローズドソースソフトウェアでは、ソースコードは非公開にされ、保護されています。

コスト

一般的に言うと、オープンソース ソフトウェアは、通常有料のライセンスやサブスクリプションが必要なクローズドソース ソフトウェアよりも安価です。

サポート

クローズドソースのソフトウェアには、通常は専用のカスタマーサポートが提供されますが、オープンソースはコミュニティフォーラムやリソースに大きく依存します。

セキュリティ

従来は、クローズドソースのソフトウェアは、コードへのアクセスが制限されているため、より安全であると考えられていますが、オープンソースは、コミュニティによる精査によって、脆弱性が速やかに発見されて修正できるという利点があります。

カスタマイズ

クローズドソースではカスタマイズの選択肢が限られているのに対し、オープンソースではユーザーが自分のニーズに合わせてコードを変更することができます。

開発とイノベーション

オープンソースは、コミュニティの協力と貢献に依存しており、それが迅速な技術革新につながりますが、クローズドソースの開発と技術革新は、開発企業とそのユーザーに限られています。

人気のオープンソースパスワードマネージャー

Bitwarden

Bitwarden は強固な機能と使いやすさで知られています。クラウドベースとセルフホスティングの両方のオプションを提供しており、AES-CBC 256 ビット、PBKDF2 SHA-256 または Argon2 などの強力な暗号化標準を使用しています。Bitwarden は、高い技術力を持つ人たちの間で人気です。

ただ他のパスワードマネージャーと比べると、Bitwarden の UI（ユーザーインターフェース）は直感的ではなく、同期や新しいクレデンシャルの検出に時間がかかったり、手作業が必要になることもあります。

KeePass

KeePass は、最も古く、そして広く使われているオープンソースパスワードマネージャーの一つであり、高度にカスタマイズ可能で、AES-256、ChaCha20、Twofish などの様々な暗号化アルゴリズムに対応しています。また、主にセルフホスティングされており、広範なプラグインに対応しています。

カスタマイズは可能ですが、KeePass の UI は、より近代的なパスワードマネージャに比べて古くて使い勝手が悪いと言われており、技術的な専門知識がないユーザーにとっては、操作や使い方が難しいと言われています。KeePass はまた、自動パスワードキャプチャやパスワード監査など、他のパスワードマネージャーでは一般的な機能がありません。

Padloc

Padloc は、ユーザーに優しいインターフェースと柔軟性が高く評価されています。また、クラウドホスティングとセルフホスティングの両方のオプションを提供しており、暗号化には GCM モードの AES 暗号が使われています。

Padloc は、同カテゴリーの他のパスワードマネージャーと比べると、パスワードの自動キャプチャやオートフィル機能などの一般的な機能が備わってないことがあります。また、Padloc の無料プランのパスワードは、一般的な人が使う平均ログイン数をはるかに下回る50個に制限されています。

人気のクローズドソースパスワードマネージャー

TeamPassword

TeamPassword は、市場で最も簡単なパスワード マネージャーであり、チームに最適です。TeamPassword では、ユーザーは必要なときに必要なアクセスを得られます。また、TeamPassword は、AES 256 ビット暗号化を使って、無制限のメモフィールドと添付ファイルなどのユーザー データを安全に保護し、この機能は、すべてのプランで追加料金なしで利用できます。そして TeamPassword のには、メール、電話、ライブ チャットによるライブカスタマーサポートもあります。

ただ使いやすいとはいえ、UI は少々古く、トラベルセキュリティモードやパスワードヘルスチェックなど、他のパスワードマネージャーにはある高度な機能が備わっていないことに不満を抱くユーザーもいます。

LastPass

LastPass は、パスワード管理のグローバルリーダーであり、強固なパスワード生成および管理ツールを提供しています。また、パスワードヘルスチェックやダークウェブ監視などの便利な機能も提供しています。

ただ、暗号化されたユーザーデータが流出したという最近のセキュリティ侵害により、LastPass の信頼性に対する懸念が高まっており、LastPass のカスタマーサポート、特に無料ユーザーに対する不満も報告されています。

1Password

1Password は、市場で最も機能豊富なパスワードマネージャーの１つであり、ユーザーは様々な種類の情報を保存することができ、暗号化されたファイルストレージは一部のプランで利用可能です。また、1Password の Watchtower 機能はパスワードの健全性とセキュリティ侵害を監視し、トラベルモードは国境を越える際に機密データを保護します。

ただ多くの機能とオプションがあるため、1Password の UI と UX（ユーザーエクスペリエンス）は、特に技術的にあまり詳しくない人にとっては、習得が若干難しいかもしれません。また、カスタマーサポートのオプションが限られており、他のものと比べて価格が高いです。

オープンソースとクローズドソースのパスワードマネージャーの比較

セキュリティ

どちらのタイプのパスワードマネージャーも、大体は保存データを保護するために強力な暗号化方式が使われており、エンドツーエンドの暗号化、MFA（多要素認証）、強力なマスターパスワードの要件は標準的なものとなっています。

コードの透明性と監査

オープンソースのパスワードマネージャーでは、ソースコードが公開され、誰でも閲覧や監査ができるようになっていることによって、セキュリティの専門家やコミュニティは、コードの脆弱性を検査することができます。このアプローチは、キー以外のすべてが公開されていれば、システムは安全であるべきだという原則に基づいています。

対するクローズドソースのパスワードマネージャーは、いわゆる 「曖昧さによるセキュリティ」を実践しています。基本的には、コードを非公開にすることで、潜在的な攻撃者が脆弱性を難なく特定してそれを利用するのを防ぐという理論です。もちろん、これはユーザーや独立したセキュリティ専門家がコードを検査できないということでもあるので、クローズドソースのパスワードマネージャーは、脆弱性を特定するには、開発チーム、請負業者、ユーザーからの報告に頼ることになります。

脆弱性の管理  

理論的には、オープンソースのパスワードマネージャーが取る共同作業的なアプローチは、セキュリティ問題の迅速な特定と解決につながるコードをより多くの人が見るということになります。それで開発チームは、脆弱性を探す代わりに脆弱性の修正に多くの時間を当てることができ、コミュニティは修正プログラムの実装を自ら検証することができます。

そのため、コードを秘密にしているパスワード管理者は、脆弱性を自ら特定して修正する責任を負うことになりますが、これは、コードを徹底的に監査して安全にするための十分なリソースや専門知識がない場合は足かせとなる可能性があります。それで大抵の企業は、システムが外部からレビューされていることを確認するために、倫理的なサードパーティのハッカーによる模擬サイバー攻撃（「侵入テスト」と呼ばれる）を定期的に受けています。

機能と使いやすさ

UI（ユーザーインターフェース）

オープンソースのパスワードマネージャーには、よりシンプルで洗練されていないインターフェースがあるかもしれません。こは、顧客のニーズや好みに合わせてカスタマイズすることができますが、それには、通常は実装と保全に技術的な専門知識が求められます。

クローズドソースのパスワードマネージャーには、より洗練された、ユーザーに優しくすぐに使えるインターフェースが大体あります。そしてこのような企業は、変更を必要とせずに直感的で使いやすいツールを設計するために多大なリソースをかけています。

クロスプラットフォームの互換性と同期

オープンソースのパスワードマネージャーには、複数のデバイスやプラットフォーム間での同期や互換性がありますが、導入には手作業による設定や技術的な知識が求められる場合があります。

対するクローズドソースのオプションには、複数のデバイスやプラットフォーム間でのシームレスな同期と互換性があり、多くの場合は、手動による介入を必要としない自動同期機能を提供しています。

カスタマイズと柔軟性

オープンソースのパスワードマネージャーには、大体より多くのカスタマイズオプションと柔軟性があり、関連する技術的な専門知識があるユーザーだと、ソースコードを変更して機能を追加したり、特定のニーズに合わせてソフトウェアをカスタマイズすることができます。

クローズドソースのマネージャーには、通常は会社によって決定された固定された一連の機能があります。API を顧客に提供する場合もありますが、多くの場合は有償で、一括操作、カスタムレポート、追加セキュリティ対策の実装など、さまざまな機能をカスタマイズできるようになっています。

カスタマーサポート

オープンソースのパスワードマネージャのサポートは、一般的にコミュニティ主導で行われ、ユーザーは、他のユーザーやデベロッパーによって作成されたフォーラム、コミュニティディスカッション、ドキュメントに依存しています。また、オープンソースプラットフォームの中には、有償のサポートオプションを提供しているものもありますが、主なサポートメカニズムは、コミュニティへの投稿と相互のアシスタンスであることから、応答に時間がかかったり、問題のトラブルシューティングをユーザーの専門知識に頼ることになったりしてしまいます。

一方、クローズドソースのパスワードマネージャには、通常、24時間365日のヘルプデスク、ライブチャット、メールサポート、および包括的なドキュメントのような機能などの専門的な専用サポートがあり、ユーザーは、遭遇した問題に対するタイムリーなサポートや、会社による定期的なアップデートやメンテナンスを期待することができます。ちなみに、このレベルのサポートだと、多くの場合はサブスクリプション料金に含まれているか、プレミアムサービスパッケージの一部として利用可能です。

コスト

オープンソースのパスワードマネージャーには、初期費用やサブスクリプション料金のかからない無料オプションが用意されていることが多いですが、これはコア機能の場合であり、サポートを含むプレミアム機能は有料で提供されている場合があります。オープンソースのパスワードマネージャーはセルフホストできるため、長期的なコストが削減される可能性があることは注目に値します。そして多くのオープンソースオプションは、サポート契約や寄付からかなりの収益を生み出しています。

対するクローズドソースのパスワードマネージャーは、通常、定期的な課金によるサブスクリプションベースのモデルで運営されています。多くの場合は、個人向け、家族向け、ビジネス向けと段階的な料金体系になっており、機能を限定した無料版を提供している場合もあります。また、開発やメンテナンスなどのコストは、直接販売によってまかなわれます。

長所と短所

オープンソースパスワードマネージャーの長所

透明性

ソースコードはオープンに公開され、セキュリティの専門家やコミュニティが潜在的な脆弱性や問題を監査できることから、信頼と責任性が上がります。

コントロール

ユーザーは単一のベンダーに縛られることなく、必要に応じてセルフホストしたり、別のソリューションに移行したりできるため、依存のリスクが軽減されます。

コミュニティへの貢献

オープンソースプロジェクトは、デベロッパーやセキュリティ研究者のグローバルコミュニティからの貢献や改善から恩恵を受けることができます。

カスタマイズ性

ユーザーはソースコードを変更して機能を追加したり、特定のニーズに合わせてソフトウェアをカスタマイズしたりすることができます。

コスト

SSO（シングルサインオン）や MFA（多要素認証）などのプレミアム機能は有料かもしれませんが、大抵のオープンソースのパスワード管理は無料で使えます。

オープンソースパスワードマネージャーの短所

セキュリティの責任

ユーザーまたは組織は、ソフトウェアの安全な実装と更新を保証する責任があり、これには技術的な専門知識が求められます。

脆弱性の可能性

オープンソースの性質で、監査が可能になる一方で、脆弱性を見つけて悪用しようとする潜在的な攻撃者にコードがさらされることにもなります。

専任サポートの欠如

オープンソースプラットフォームは、商用製品と比べて、専用のサポートやメンテナンスが不足している可能性があり、応答時間やバグ修正、アップデートが遅くなってしまう可能性があります。

統合の課題

オープンソースのパスワードマネージャーを他の企業システムやアプリケーションと統合するには、さらなる労力とカスタマイズが必要になるかもしれません。

クローズドソースパスワードマネージャーの長所

プロのサポート

クローズドソースのパスワードマネージャーには、大体は専用のカスタマーサポートがあり、それによってユーザーはトラブルシューティングやアップデート、セキュリティ問題のヘルプにアクセスできるようになります。

ユーザーに優しい機能

このようなパスワードマネージャーは、多くの場合、すぐに使えるようになっています。そして洗練されていることが多く、ユーザーに優しいインターフェースや使いやすさを追求した機能を備えているため、技術的な知識がないユーザーでも利用しやすくなっています。

セキュリティ保証

クローズドソースのソリューションでは、業界の規制への準拠が必要な企業にとっては極めて重要なものである、セキュリティ保証や認証が多くの場合は提供されています。

一貫したアップデート

クローズドソースのソリューションは通常、会社から定期的なアップデートとセキュリティパッチを受け取り、それでソフトウェアの安全性と最新性が確保されます。

クローズドソースパスワードマネージャーの短所

透明性の欠如

隠れた脆弱性やトラッキングのような不要な機能がないかソースコードを調べることができないため、ユーザーはセキュリティや機能に関する会社の主張を信用するしかありません。

コスト

クローズドソースのパスワードマネージャーは、有料のサブスクリプションが必要なことが多く、それがユーザーや組織にとって定期的な出費となる可能性があります。

カスタマイズが限られる

ソースコードにアクセスできないため、ユーザーは特定のニーズやワークフローに合わせてソフトウェアを変更することができません。

クラウドストレージに関する懸念

多くのクローズドソースのパスワードマネージャーでは、データはクラウド上に保存されるため、クラウドストレージを敬遠するユーザーにとっては、セキュリティやプライバシーに関する懸念が生じる可能性があります。

パスワードマネージャーを選ぶ際に考慮すべき要素

個人使用とビジネス使用

個人ユーザーもビジネスユーザーも、それぞれのニーズ、技術的専門知識、リスク許容度の考慮が必要です。チームに適したパスワードマネージャーを見つけるには、チームのニーズと技術力の正直な評価が必要であり、組織内で最も技術的に熟練したユーザーだけでなく、誰もが使えるソフトウェアを選択することが多くの場合は推奨されます。

オープンソースオプションには、コードの透明性、コミュニティ主導の開発、カスタマイズ オプションがあるため、テックに詳しいユーザーや特定のセキュリティ要件をがある組織にとっては魅力的です。ただ無料だったりクローズドソースの選択肢よりも安価であることが多いですが、洗練されたインターフェースや専任のサポートがない場合があります。

クローズドソースの選択肢には、ユーザーに優しいインターフェースや専門的なサポート、定期的なアップデートがあることが多く、使いやすさと献身的なサポートを優先するユーザーには魅力的かもしれませんが、一般的に経常的なコストがかかり、透明性も高くありません。

また、ビジネスユーザーは、コンプライアンス要件、既存システムとの統合、拡張性なども考慮が必要です。

そして最終的には、セキュリティ、使いやすさ、コスト、ソフトウェアに対するコントロールといった要素のバランスによって選択することになります。

技術的専門知識

オープンソースのパスワードマネージャーは、実装と保全に技術的な専門知識が求められることが多く、多くはサーバー管理、ネットワーキング、セキュリティーなどの技術的知識が必要です。また、ユーザー サポートは、コミュニティの知識に大きく依存しており、リソースは、技術に詳しいユーザーによって作成されることが多いため、あまり詳しくないユーザーにとっては解読が難しいことがあるかもしれません。

対するクローズドソースのパスワードマネージャーは、一般的に非技術系ユーザーを念頭に置いて作られています。比較的直感的な UI があり、専門的なカスタマーサポートを提供し、UX を上げる機能に多大な投資を行っています。さらに、クローズドソースのプラットフォームには、大体は統合機能が事前構築されています。

予算の制約

オープンソースとクローズドソースのパスワードマネージャーにはどちらも、サブスクリプションオプションが幅広く提供されていますが、オープンソースのパスワードマネージャーは一般的に安価で、無料版が提供されているものも多く、クローズドソースのパスワードマネージャーは一般的に値が張ります。

予算を考慮する場合、パスワードマネージャのコスト以外にも目を向けることが重要です。例えば小規模な IT チームや開発チームがある場合、彼らにはオープンソースのパスワードマネージャーを実装して維持するための帯域幅や専門知識がありますか？その時間の価値はどれくらいでしょうか？

具体的な機能要件

非常に特殊な要件や技術力がある企業にとって、オープンソースのパスワードマネージャーは、自社のニーズに合わせてプラットフォームをカスタマイズできるため、素晴らしい選択肢となります。オープンソースのパスワードマネージャーは新機能を開発する一方で、顧客が DIY のアプローチを取ることがより期待されています。

クローズドソースのパスワード マネージャーは、プランに多くの機能が含まれていることが多く、新しい機能が頻繁に構築される傾向があります。多くの企業は、社内のリソースを使って製品と UX を改善し、ユーザーコミュニティからのフィードバックも奨励しています。ただし、クローズドソースのパスワード マネージャーにはそれぞれさまざまな機能があるため、顧客は特定の機能が必要な場合は、どのプラットフォームにその機能があるかを調べないといけません。

パスワードマネージャーを選ぶ際の最終的な考慮事項

オープンソースとクローズドソースのパスワードマネージャーの選択には、透明性、サポート、コスト、カスタマイズなどの要素の考慮が必要です。

オープンソースのパスワードマネージャーにはコードの透明性があり、ユーザーは多くの場合無料でソフトウェアを検査や変更できますが、高度な技術的専門知識が必要であり、サポートは専用のカスタマーサービスではなくコミュニティサポートに依存します。

一方、クローズドソースのパスワードマネージャーには、ユーザーに優しいインターフェース、専門家によるサポート、定期的なアップデートがあり、多くの場合はセキュリティが保証されますが、定期的なコストがかかり、透明性も高くありません。

結局のところ、オープンソースとクローズドソースのどちらのパスワードマネージャーを選ぶかは、ユーザーや組織の特定のニーズ、技術力、セキュリティ、コスト、ソフトウェアの管理に関する優先順位によって決まるのです。