パスワードマネージャーのセキュリティ監査の読み方: Cure53、ISE、SOC 2 それぞれが実際にカバーするもの
監査の種類によって検証する対象は異なります。Cure53は暗号実装をカバーし、SOC 2は組織的統制をカバーします。これが各主要パスワードマネージャーが実際に公開している内容です。
重要な3つの監査タイプ
(1) 暗号 / ペネトレーション監査 — セキュリティ企業(Cure53、ISE、NCC Group、Praetorian)が暗号実装、サーバーのアクセス制御、クライアントアプリを精査し、深刻度の評価とともに所見を報告します。監査人名、日付、範囲を明記した完全な報告書が公開されているとき、その監査は有用です。(2) SOC 2 Type II — セキュリティ、可用性、処理の完全性、機密性、プライバシーを運用レベルで6か月以上の観察期間にわたって扱う組織的統制の監査です。(3) ISO 27001 — 情報セキュリティマネジメントシステムの認証です。Type 1 ≠ Type 2 であり、範囲こそがバッジ以上に重要です。
各マネージャーが公開しているもの
Bitwarden: 年次の第三者監査(Cure53、ISE、Insight Risk Consulting)。報告書は bitwarden.com/help/is-bitwarden-audited からリンクされています。1Password: SOC 2 Type II + ISEのペネトレーションテスト。セキュリティ監査履歴は 1password.com/security-audit にあります。Proton Pass: ローンチ時の完全なCure53セキュリティ監査(2023年、重大な所見なし、中程度の所見はローンチ前に修正済み)proton.me/blog/pass-launch による。NordPass: 2020年2月のCure53ホワイトボックス監査、2021年のNordPass Businessに対する2回目のCure53監査、SOC 2 Type 2、ISO 27001認証取得済み nordpass.com/features/security による。KeePassXC: コミュニティ監査によるオープンソース — 委託された第三者監査はないが、ソースはGitHub上で公開されています。
監査マーケティングにおける危険信号
(1) セキュリティ企業の名前を公表せずに会計事務所が実施した監査。(2) どのコンポーネントかを特定せずに「アプリケーション」に限定された監査範囲。(3) アーキテクチャが変更された製品に対する、24か月より古い監査。(4) 完全な報告書ではなく要約レター。(5) 暗号実装を大きく変更したメジャーバージョンのリリース前に実施された監査。本比較の5つのマネージャーはいずれもこれらのパターンに当てはまりません。一方、LastPassの情報漏洩後の説明(本比較から除外)には複数が当てはまりました。
監査がカバーしないもの
監査は、セキュリティ企業がある一時点で検証した内容を記録するものです。サプライチェーン攻撃(クライアントビルドに混入した侵害済みnpm依存関係)、ベンダーにおけるインサイダーリスク、監査期間の後に発見された新たな脆弱性はカバーしません。それらに対する防御は、オープンソースのクライアント(研究者が各リリースを独立して検証できる — Bitwarden、Proton Pass、KeePassXC)、バグバウンティプログラム(1PasswordはBugcrowdを、BitwardenはHackerOneを運営)、そして1Password Secret Key(追加でローカルに保存される秘密値であり、サーバー侵害だけではボルトを復号できないことを意味する)のようなアーキテクチャ上の選択です。
出典
Bitwardenの監査: bitwarden.com/help/is-bitwarden-audited。1Passwordのセキュリティ監査: 1password.com/security-audit。Proton PassのCure53監査: proton.me/blog/pass-launch。NordPassのセキュリティ: nordpass.com/features/security。Cure53: cure53.de。ISE: securityevaluators.com。すべてのURLは2026-04-30にアクセス。