無料で複数人のパスワード管理を自サーバー上でホストできる「Passbolt」、オープンソースで1PasswordやKeePassのデータインポートも可能

パスワードを管理するソフトウェアには1PasswordやKeePassなどがありますが、自分でサービスをホストでき、かつグループ内でパスワードを共有できるようなソフトウェアはなかなかありません。基本無料のオープンソースソフトウェア「Passbolt」と使うと、チームでのパスワード管理サービスを自分で用意したサーバー上で稼働させることができます。

Passbolt | Open source password manager for teams
https://www.passbolt.com/

Passbolt · GitHub
https://github.com/passbolt

まずはPassboltをダウンロードするため、トップページにアクセス。「Get passbolt」をクリックします。

Passboltには自分でサーバーを用意してホストする「Passbolt PRO」とクラウド版の「Passbolt Cloud」がありますが、今回は「Passbolt PRO」の無料版を試してみます。「Download」をクリックして先へ進みます。

氏名やメールアドレスの入力を求められますが、入力しなくてもインストールすることは可能なので、赤枠部分をクリック。

「Read installation instructions」をクリック。

今回はUbuntu 18.04にPassboltをインストールするので「Ubuntu 18.04 guide」をクリック。

インストールするためのコマンドの説明画面が表示されました。

以下のコマンドを実行すれば、Passboltをインストールするためのスクリプトを実行することができます。

wget -O passbolt-ce-installer-ubuntu-18.04.tar.gz https://www.passbolt.com/ce/download/installers/ubuntu/latest
wget -O passbolt-installer-checksum https://www.passbolt.com/ce/download/installers/ubuntu/latest-checksum
sha512sum -c passbolt-installer-checksum
tar -xzf passbolt-ce-installer-ubuntu-18.04.tar.gz
sudo ./passbolt_ce_ubuntu_installer.sh

スクリプトを実行すると、MariaDBをインストールするかどうか問われます。今回は「yes」を選択。

MariaDBのrootユーザーのパスワード、Passboltのデータベースを使用するユーザーのユーザー名とパスワード、Passboltのデータベース名を設定します。

仮想環境ではGnuPGで鍵生成する際にエントロピーが足りないため、Havegedによる乱数生成を行うとのこと。今回のインストール先は実機なので「no」を選択。

ドメイン名もしくはIPアドレスの入力を促されるので、ドメイン名を入力します。

最後にSSLの設定を行います。自分で用意した証明書を利用する方法、Let's Encryptで証明書を発行する方法、SSLを利用しない方法の3つがあり、今回はSSLなしでPassboltを設定しました。これでスクリプトによるインストールは完了です。

インストールが完了したら、ブラウザから先ほど設定したドメインにアクセス。「Start the wizard」をクリックして、ブラウザから引き続き設定を行っていきます。

「Start configuration」をクリック。

Passboltのインストール時にMariaDBを一緒にインストールした場合は、ここでインストール時に設定したデータベース名などを入力すればOK。入力ができたら「Next」をクリックします。

GnuPGのサーバー鍵を生成するためのサーバー名とメールアドレスを入力し「Next」をクリック。

続いてSMTPサーバーを指定します。SMTPサーバーはPassboltをインストールしたサーバーで稼働するものでも、別のサーバーで稼働するものでもOKです。

SMTPサーバーが稼働するホストやユーザー名などを入力して「Next」をクリックします。

Passboltにアクセスする際のベースURL、Passboltのユーザー登録を誰でも行えるようにするかどうか設定する「Allow public registration?」、SSLの利用を強制する「Force SSL?」を設定したら「Next」をクリック。

最後に管理者アカウントの設定を行います。氏名およびメールアドレス形式のユーザー名を入力し「Next」をクリックします。

インストールが始まりました。

インストールが完了すると、プラグインがインストールされているかどうかのチェックが行われます。プラグインをインストールするため「Download it here」をクリック。プラグインにはFirefox用とChrome用があります。

今回はFirefoxを利用していたため、Firefoxのアドオンをインストールする画面が表示されました。「Add to Firefox」をクリックし、プラグインをインストールします。

プラグインインストール後、Passboltのページに戻って「retry」をクリックすると……

プラグインのチェックを通過しました。プラグインに設定するURLとサーバー鍵は自動で入力されているので、チェックボックスにチェックを入れて「Next」をクリック。

「Next」をクリック。

続いてパスフレーズを入力します。8文字以上が最低条件ですが、その外にも大文字と小文字、記号が含まれていることなど、推奨されている要件もあります。パスフレーズの生成は「Password Tech」が便利。生成したパスフレーズを入力が完了したら「Next」をクリック。

秘密鍵のバックアップを行える画面に移ります。青色のボタンをクリックして秘密鍵をダウンロードし「Next」をクリックします。

悪意のあるウェブサイトがPassboltになりすまし、情報を抜き取ることを防ぐため、色と文字列を組み合わせたセキュリティトークンを設定します。カラーパレットで色を選択し、文字列を入力したら「Next」をクリック。

ログイン画面が表示されるので、パスフレーズを入力し、セキュリティトークンが正しいことを確認して「login」をクリックします。

Passboltのトップ画面が表示されました。パスワードを扱うソフトウェアだけに、ここまでのインストール方法はかなり複雑なものでした。

さっそくパスワードを登録するため「create」をクリック。

登録するパスワードの管理名とURL、ユーザー名、パスワードなどを登録することができます。また、ここでもセキュリティトークンが表示されているので、Passboltが偽のウェブサイトにすり替えられていないか確認することができます。

赤枠のボタンをクリックすると、自動で強力なパスワードを生成してくれます。

目がデザインされたボタンでは、入力されているパスワードを確認することができます。

入力が完了したら「Create」をクリック。

パスフレーズを入力して「OK」をクリックします。

パスワードが登録されました。

登録したアイテム上で右クリックすることで、ユーザー名やパスワード、URIのコピーなどが行えます。

また、ブラウザにインストールしたプラグインを使えば、開いているウェブサイトのパスワードをプラグイン経由で登録することも可能。Passboltのプラグインのアイコンをクリックして「create new」をクリック。

開いているウェブサイトの名称やURLは自動で入力されるので、登録したいユーザー名とパスワードを入力し「Save」をクリックします。

パスフレーズを入力して「Submit」をクリック。これでアドイン経由でのパスワード登録は完了です。

Passboltに登録しているパスワードは、ウェブサイト上で自動補完することができます。アイコンをクリックすると、ウェブサイトに対応するパスワードが提案されるのでクリックします。

「use on this page」をクリックすると……

ユーザー名やパスワードが自動補完されます。

他のサービスへ移行したり、Passboltのデータベース破損に備えたりするために、パスワードリストの出力も行えます。リスト上部の「export」ボタンをクリックすると……

パスワードの出力が行えます。出力可能な形式はKeePass用のkdbxおよびcsv、LastPass用のcsv、1Password用のcsvファイルとなっています。

赤枠部分のボタンをクリックすれば、ファイルからパスワードを読み込むことも可能。

入力可能なファイル形式は出力できるファイル形式と同じ。各サービスからの移行が簡単に行えます。

Passboltのユーザーの管理は上部の「users」から行います。ユーザーの作成は「create」をクリック。

インストール時に管理者アカウントを作成した時と同じようにユーザーを作成することができます。

なお、月額10ユーロ(約1250円)のビジネスプランは5人まで利用でき、監査機能やLDAPとの連携機能といった機能を利用することができます。