ローカル優先のパスワードセキュリティ
KeePassXCパスワードマネージャー:安全なローカルボールトの設定方法
KeePassXCはボールトをプロバイダーに預けずにパスワードを守りたい人向けです。ログイン情報、パスキー、メモ、TOTPコード、SSH秘密鍵をローカルのKDBXデータベースに保存し、マスターシークレットでのみ開けます。
本ガイドはKeePassXCが適している状況、安全な設定方法、管理を失わずに同期する方法、ブラウザ連携、モバイルアプリ、バックアップ、ハードウェアキーの注意点を解説します。
役立つ簡潔版
所有権を重視するならKeePassXCは優れていますが、家族共有や緊急リカバリー、チーム共有には最適とは言えません。安全な設定は、強力なマスターパスワード、テスト済みバックアップ、オートロック、慎重なブラウザペアリング、オフライン保管のリカバリーノートです。
目次
KeePassXCが適した選択となる場合
KeePassXCはセキュリティ管理を自分で行う意志がある場合に最適です。プロバイダーアカウント、サブスクリプション、サーバー側のボールト復旧、強制クラウド同期はありません。これが特徴ですが、バックアップ管理が重要になります。
所有権
ローカルボールト、アカウント不要
パスワードデータベースはあなたが管理するファイルです。KeePassXCはプロバイダーログイン、課金アカウント、ホスティング同期サービスを必要としません。
透明性
オープンソースのデスクトップアプリ
KeePassXCはオープンソースでクロスプラットフォーム対応、他のKeePass系アプリと共通のKDBX形式に対応しています。
日常利用
ブラウザ、TOTP、パスキー、SSH
デスクトップアプリはブラウザ自動入力、時間ベースのワンタイムコード、公式拡張によるパスキー、SSHエージェントワークフローに対応します。
ロックインなし
互換クライアントで動作
AndroidではKeePassDXやKeePass2Androidなど、メンテナンスされているアプリでKDBXボールトを開けます。
オフライン耐性
インターネットなしで動作
ファイルとマスターシークレットがあれば、旅行中や障害、制限されたネットワークでもデータベースを解除できます。
機密性の高いワークフロー
小規模プロバイダーフットプリント
召喚状や侵害、停止、秘密の変更が可能なホスティングボールトサービスはありません。自身のデバイスセキュリティが信頼の中心です。
KeePassXCとクラウドパスワードマネージャーの比較
単にプライバシー重視だからとKeePassXCを選ばず、生活に合うトレードオフがある場合に選びましょう。クラウドマネージャーは同期や共有、デバイス紛失、リカバリーを扱うため安全な場合もあります。ローカル管理や小規模プロバイダーを重視するならKeePassXCが安全です。
| 必要なもの | より適した選択 | 理由 |
|---|---|---|
| 最大限のローカル管理を望む | KeePassXC | ボールトはオフラインのままでもよく、同期は任意で、データベースにプロバイダーアカウントは紐付いていません。 |
| 家族と定期的にパスワードを共有する | クラウドパスワードマネージャー | 共有、リカバリー、招待フロー、デバイス登録はBitwarden、Proton Pass、1Password、iCloudキーチェーンの方がスムーズです。 |
| 不安定なインターネット環境で旅行する | KeePassXC | プロバイダー、ブラウザ同期、モバイル接続が使えなくても、ボールトはローカルで開けます。 |
| マスターパスワードを忘れる可能性がある | クラウドパスワードマネージャー | 一部クラウドサービスはアカウントリカバリーや緊急アクセスを提供しますが、KeePassXCはマスターパスワードの紛失を復旧できません。 |
| 開発者の秘密情報を管理する | KeePassXC | SSHエージェント対応、ローカルメモ、添付ファイル、カスタムフィールド、オフラインエクスポート制御は技術的ワークフローに便利です。 |
| 侵害通知と洗練された自動入力を望む | クラウドパスワードマネージャー | クラウドマネージャーは侵害チェック統合、スムーズなモバイル自動入力、手間の少ない管理が特徴です。 |
KeePassXCの安全な設定チェックリスト
KeePassXCの最初の1時間が重要です。パスワードをインポートする前に基本設定を済ませましょう。後から乱れたボールトを修正するのは難しいです。
長いマスターパスワードを使う
ストレス下でも入力できる覚えやすいパスフレーズを設定しましょう。忘れるとリセットできません。
Argon2idを有効に保つ
Argon2idを使った最新のKDBX設定を利用し、メモリと反復回数はすべてのデバイスで快適に解除できる範囲に調整してください。
インポート前にバックアップを作成
暗号化されたオフラインバックアップを最低1つとキー ファイルの別コピーを保管し、バックアップが開けるかテストしてください。
オートロックを有効にする
画面ロック、システムスリープ、KeePassXCのアイドル時にボールトをロックし、クリップボードも速やかにクリアしてください。
リカバリーの記録
ボールト、バックアップ、キー ファイル、予備ハードウェアキーの保管場所を記録し、オフラインで保管してください。
ゆっくりインポート
ブラウザや他のパスワードマネージャーからインポート後は、重複削除、弱いパスワードの更新、URL追加を行い、自動入力を有効にしてください。
ブラウザ連携、自動入力、パスキー
KeePassXCは公式のKeePassXC-Browser拡張でFirefoxやChromium系ブラウザのログインを自動入力できます。便利ですが、信頼できるブラウザのみペアリングし、古いペアリングは削除し、ブラウザプロファイルは分けて管理してください。
次の場合はブラウザ連携を使う
- 信頼できる日常用ブラウザプロファイルを1つ使い、素早いログイン入力を望む。
- 公式KeePassXC-Browser拡張が正しいデータベースとペアリングされていることを確認済み。
- パスキー対応を望み、重要なログイン移行前にアカウントリカバリーをテストできる。
- プロファイルやデバイスが変わったら古いブラウザペアリングを削除する意志がある。
次の場合は自動入力または手動コピーを使う
- 一時的、匿名、仕事用、共有のブラウザプロファイルからログインする。
- アプリはブラウザ外で動作し、デスクトップアプリ、SSHプロンプト、管理コンソールなどがあります。
- 希少で重要なパスワードを入力し、広範なブラウザ拡張のアクセスを避けたい場合。
- ページのURLが不審で、自動入力前にエントリを確認したい場合。
管理を失わずに同期とバックアップ
KDBXファイルは暗号化されているため、同期フォルダにコピーを置くこと自体は無謀ではありません。リスクは主に運用面にあり、弱いマスターパスワード、データベースの競合、バックアップ不足、キー ファイルをボールトの隣に置くことなどが挙げられます。
最小限の露出
ローカルのみ+オフラインバックアップ
メインデバイス1台で即時モバイル同期が不要な場合に最適です。
- アクティブなデータベースはデバイス上に保持してください。
- バックアップは暗号化USBやオフラインディスクにコピーしてください。
- キー ファイルはKDBXファイルと別に保管してください。
日常的な同期に適する
Syncthing
商用クラウドフォルダを使わず、自分のデバイス間でピアツーピア同期したい場合に適します。
- エクスポートした秘密情報のフォルダではなく、データベースファイルのみ同期してください。
- 誤削除を復元できるようファイルのバージョン管理を有効にしましょう。
- 同時に2台のデバイスでボールトを編集するのは避けてください。
便利だが注意が必要
クラウドドライブ
マスターパスワードが強力でバックアップがクラウドアカウントと独立していれば、多くのユーザーにとって許容範囲です。
- キー ファイルはボールトと同じクラウドフォルダに保存しないでください。
- クラウドアカウントには多要素認証を使いましょう。
- アカウントがロックまたは削除された場合に備え、別のオフラインコピーを保管してください。
技術的ワークフロー
Git
バージョン履歴に便利ですが、プライベートリモートを理解し、誤ってボールトを公開しない場合に限ります。
- 可能な限りプライベートリポジトリと署名付きコミットを使いましょう。
- エクスポートしたCSVファイルや一時的なプレーンテキストノートは絶対にコミットしないでください。
- リモートが公開されたらすぐに漏洩パスワードを変更してください。
Androidとモバイルアクセス
KeePassXCはデスクトップアプリです。AndroidではKeePassDXやKeePass2AndroidなどメンテナンスされているKeePass互換クライアントを使いましょう。重要なのはアプリ名ではなく、データベースの保存場所、解除方法、クリップボードのクリア速度などのワークフローです。
F-Droid
KeePassDX
プライバシーに配慮したKDBX対応のAndroidクライアント。F-Droid利用者やローカルボールトを重視する方に適しています。
KeePassDXを開くGoogle Play
KeePass2Android
クラウド連携が強力な広く使われているAndroidクライアント。Androidのドキュメントプロバイダーを使った同期に適しています。
KeePass2Androidを開くデスクトップ
KeePassXC
ボールト編集、ブラウザ連携、パスキーワークフロー、SSHエージェント設定、大規模な整理には公式デスクトップアプリを使いましょう。
KeePassXCダウンロードを開くハードウェアセキュリティキーを追加すべきですか?
KeePassXCにハードウェアキーは必須ではありません。主にメール、デバイス同期、クラウドストレージ、リカバリー用のアカウント保護に役立ちます。上級者はチャレンジレスポンス設定も検討できますが、リカバリー方法をしっかり記録してください。
KeePassXCを危険にするミス
01
テスト済みバックアップなし
データベースをどこかにコピーするが、開けるか確認しない。
対策:設定変更後は必ず復元テストを行う。02
ボールトの隣に保存されたキー ファイル
フォルダを入手した攻撃者は両方の情報を得ます。
対策:キー ファイルは別に保管し、場所を記録する。03
どこでも使えるブラウザ拡張機能
ブラウザのプロファイルごとにボールトへの経路ができます。
対策:信頼できるプロファイルだけをペアリングする。04
弱いマスターパスワード
ローカル暗号化は総当たり攻撃が困難な場合にのみ効果があります。
対策:長いパスフレーズと最新のKDBX設定を使う。05
同期の競合コピー
2台のデバイスが同時にデータベースを編集し、後でエントリが抜ける。
対策:バージョン管理を使い、デバイス切替前にボールトを閉じる。06
緊急用メモなし
家族や将来の自分がボールト、バックアップ、予備キーを見つけられない。
対策:マスターパスワードを明かさずにリカバリーマップを作成する。調査
参照元確認済み
本ガイドは公式KeePassXCドキュメント、リリースノート、ブラウザ拡張情報を参照しています。
KeePassXCパスワードマネージャーFAQ
KeePassXCはBitwardenや1Passwordより安全ですか?
ボールトがプロバイダーアカウントに依存しないためローカル管理は安全ですが、バックアップを怠ったり弱いマスターパスワードを使うと危険です。共有やリカバリーはクラウドマネージャーの方が便利です。
KeePassXCのデータベースをDropbox、iCloud、Google Drive、OneDriveに保存できますか?
マスターパスワードが強力で独立したバックアップを保管していれば可能です。KDBXファイルは暗号化されていますが、キー ファイルを隣に置かず、クラウドアカウントだけに頼らないでください。
KeePassXCはパスキーに対応していますか?
KeePassXCは公式KeePassXC-Browser拡張でパスキーを保存・利用可能です。パスキーのリカバリーはサイトやブラウザ、デバイスで異なるため、まずはリスクの低いアカウントで動作を確認してください。
マスターパスワードを忘れたらどうなりますか?
ボールトはKeePassXCやサポートチームでリセットできません。マスターパスワードと設定したキー ファイルやチャレンジレスポンス機器が必要です。オフラインのリカバリープランを用意してください。
公式のKeePassXC Androidアプリはありますか?
いいえ。KeePassXCはデスクトップアプリです。AndroidではKeePassDXやKeePass2Androidなど互換クライアントを使い、同じKDBXデータベースを開いてください。
KeePassXCでキー ファイルを使うべきですか?
キー ファイルは別に保管し安全にバックアップすれば役立ちます。紛失するとボールトが復元不能になる恐れがあり、データベースの隣に置くとほとんど保護になりません。
KeePassXCはチーム用パスワードマネージャーの代わりになりますか?
非技術系チームには通常向きません。KeePassXCは個人管理や小規模な慎重な運用に強いですが、共有管理、権限取り消し、監査、リカバリーは専用のチームパスワードマネージャーの方が簡単です。