Bitwardenの静かな刷新

 (blog.ppb1701.com)
5 ポイント 投稿者 GN⁺ 6 시간 전 | 2件のコメント | WhatsAppで共有
  • BitwardenはPremiumの価格を2倍に引き上げ、「Always free」という文言を削除するなど、公式発表よりもウェブサイトや既存コンテンツの修正によって条件を変えていく流れを見せている
  • 長年CEOを務めたMichael Crandellは2月に顧問職へ移り、AcquiaとInsightsoftwareでM&Aの実績を持つMichael Sullivanが後任CEOとなった
  • 個人向けページの「Always free」の文言は4月中旬に消え、GRITの価値観はInclusion・TransparencyからInnovation・Trustへ変更された
  • ブログやプレスリリースにはCEO交代、価値観の変更、無料の約束の削除に関する個別の告知はなく、既存の記事の一部では新しい価値観と古い説明が矛盾している
  • Vaultwarden利用者は、Bitwardenクライアントのオープンソース公開とサーバー接続の自由が維持されるかを見守る必要があり、Apache 2.0ライセンスはフォークの可能性を残している

Bitwardenの静かな変化

  • Bitwardenは3月にPremium価格を2倍へ引き上げた際、月額課金を提供したことのない製品であるにもかかわらず、月単位の価格であるかのように表示し、既存顧客には更新15日前になって初めて通知した
  • Mastodonで価格引き上げをめぐる反論の応酬が起きる中で重要な事実が確認され、その後も会社運営やウェブサイトの文言は変わり続けた
  • 変化は大きな告知ではなく、既存コンテンツの修正、LinkedIn情報の変更、ウェブサイト文言の削除といった目立ちにくい形で進められている

経営陣の交代

  • Fast Companyの報道によれば、長年CEOを務めたMichael Crandellは2月に顧問職へ移っていたが、会社からの公式発表はなかった
  • Crandellは2019年からBitwardenに在籍し、LastPassの変化を受けてユーザーが代替としてBitwardenを求めていた時期を率いた
  • 後任CEOは、AcquiaとInsightsoftwareの元CEOであるMichael Sullivan
  • SullivanのLinkedInでは「M&Aのあらゆる側面、主要PE企業との直接的な経験」が前面に出されている
  • Sullivanは2019年のVista Equity PartnersによるAcquiaの10億ドル買収と、2021年のHgによるInsightsoftwareへの10億ドル投資を主導した経歴を持つ
  • CFOのStephen Morrisonも4月に退社し、元InVision CEOのMichael Shenkmanが後任に就いた
  • Kyle Spearrinは2015年、LastPassが新たなオーナーの下でどう変わるかを懸念して、Bitwardenを趣味プロジェクトとして作り始め、現在もCTOとして残っている

ウェブサイトと価値観の文言変更

  • Bitwardenの個人向けパスワードマネージャーページでは、「Always free」の文言が4月中旬に消えた
  • 無料プラン自体はまだ存在するが、以前プラン選択エリアの下にあった継続的な無料の約束を示す文言はなくなった
  • Bitwardenの文化的価値観を表すGRITは、もともとGratitude、Responsibility、InclusionTransparencyだった
  • 5月4日以降、GRITはGratitude、Responsibility、InnovationTrustに変わった
  • InclusionとTransparencyが外れ、InnovationとTrustが加わる形で価値観の文言が書き換えられた

公式発表なしに変わったコンテンツ

  • Bitwardenのブログには、新CEO、価値観の変更、「Always free」の約束削除を扱った記事はない
  • プレスリリース欄にも、これらの変化に関する個別の告知は存在しない
  • Crandellが2022年に書いた"Defining and sustaining value for Bitwarden users"の記事は、ひっそりと修正されている
  • その本文中のGRIT一覧は新しい価値観であるInnovationとTrustに差し替えられた一方、末尾の説明段落では依然として従来の価値観であるInclusionとTransparencyに言及している
  • Crandellの名前はそのまま残っており、記事内部は互いに矛盾する状態になっている
  • 価格引き上げ時と同様に、既存コンテンツの中に変更を埋め込み、注目を避けるやり方が繰り返されている
  • Crandellは2024年のFast Companyインタビューで無料層を「会社としての揺るぎない約束。フル機能で、永遠に無料」と表現していたが、現在の彼は顧問職であり、「Always free」の文言はページから消えている

Bitwardenクラウドから離れた理由

  • Vaultwardenインスタンスは1月から稼働しており、Bitwardenクラウドアカウントは以前の価格引き上げ記事が公開された時点で閉じられた
  • 現在の懸念は個人用パスワード保管庫そのものよりも、信頼と依存を築いた後で条件を静かに変えていく反復的なパターンにある
  • そのパターンは、一度の劇的な発表ではなく、何層にも重なる小さな変化として現れる
  • 例として、価格変更を含んだ機能紹介記事、プレスリリースなしに変わったLinkedIn情報、先週と異なる価値観ページが挙げられる
  • Bitwardenクラウドを使い続けるユーザーにとって、こうした変化は立ち止まって考える理由になる
  • 3月に取り上げたGitHubの事例は、信頼されたオープンソース基盤、独立性の約束、長年にわたる静かな浸食、そしてその後のPhase 3という流れをたどっており、Bitwardenとの類似性が不安を強めている
  • パスワード保管庫を自ら所有する選択肢として、Vaultwardenのセルフホスティング手順が提示されている
  • Sullivanの経歴は、会社を売却可能な状態に整えるプロセスと結びついており、売上の最大化、財務諸表の整理、数字の見栄え向上、買い手の探索が可能なシナリオとして読める
  • 潜在的な買い手は、大手テック企業、1Passwordのような競合、あるいはユーザー基盤やエンタープライズ契約を求める企業かもしれない
  • そのような買収が実際に起きれば、価格引き上げ時の不満よりもはるかに強いフォークの動きが起こる可能性がある

Vaultwarden利用者が注視すべき点

  • Vaultwardenの長期的な存続可能性は、Bitwardenクライアントが今後もオープンソースとして公開され、サーバー選択を制限しないことにかかっている
  • 現在のVaultwardenはBitwardenの公開サーバーAPIを実装しており、公式アプリはその違いを区別できない
  • 新しい経営陣の下でも、Bitwardenがオープンソースクライアントとサーバー接続の自由を維持する保証はない
  • 最悪の事態を遅らせる要因は、セルフホスティングがエンタープライズ機能として明示され、実際に売上を生んでいる点にある
  • セルフホスティングを廃止すれば、有料の企業顧客を刺激することになり、これはBitwardenにとって大きな制約となる
  • ただし、Bitwardenが企業向けに販売しているのは公式サーバースタックであり、Vaultwardenではない
  • VaultwardenはBitwardenが容認してきた余地の中に存在しているが、公式に支持されているわけではない
  • 計算が変われば、個別の発表なしにAPIが少しずつ変わり、互換性が自然に失われる可能性がある
  • 差し迫った変化には見えないが、「Always free」の約束が確固たるものに見えた状況でも、その文言はすでにページから消えている

実際の安全網とフォークの可能性

  • BitwardenクライアントはApache 2.0ライセンスであり、コミュニティフォークを可能にする土台がある
  • フォークでは商標上の問題を避けるために名称やUIを変更する必要はあるだろうが、同じエンジンを使うこと自体は可能だ
  • Web保管庫はアプリの変更とは無関係にブラウザで動作するため、最悪の場合でも自動入力を一時的に失う程度で済むかもしれない
  • その不便さは致命的ではなく、Vaultwarden自体がこのモデルが機能する証拠になっている
  • 核心的な監視対象はクライアント公開の継続である
  • クライアントがクローズド化されれば、コミュニティはすぐに気づき、フォークが続く可能性が高い

関連記事

2件のコメント

 
GN⁺ 1 시간 전
Lobste.rs の意見

  • Vista Equity は 2022 年に Citrix を買収したところで、結局私がそこで働くのを辞めることになった理由でもあった。
    ここから良い結果が出るとは思えないので、彼らの クラウドサービスの代替 を積極的に探し始めるべきだという合図だと受け取っている

  • パスワードマネージャーはもう十分に成熟していて、定期的な インシティフィケーション の評判も積み上がった製品群なので、FOSS のパスワードマネージャーを有料でスムーズにホスティングする ソフトウェアエンジニアリング協同組合 も成り立ちそうに思える。
    持分は実際にそこで働いている人だけが所有できるよう、定款で制限した会社が必要だ。
    そうした仕組みがなければ、結局は外部投資家が断りにくい提案を持ってやって来ることになる

  • 私も vaultwarden ユーザーなので、コミュニティフォークが生まれるなら歓迎したい。
    すでに公式 Bitwarden クライアントの一部で私の vaultwarden サーバーとの互換性問題があり、リリース日程もうまく噛み合っていなかったからだ。
    コミュニティフォークならこうした問題がよりうまく処理され、安定性が良くなるかもしれない。
    もちろん Bitwarden の有給エンジニアたちが担っていた貢献規模を失えば、新機能開発はほぼ止まるだろうが、パスワードマネージャーならそれでも構わないと思う

  • 今日この話を知る前に 1Password へ移行したが、軽い決断ではなかった。
    ただ、Bitwarden のユーザー体験はかなり苛立たしかった。同期されない保管庫、過度に複雑なシークレット管理、ひどい共有体験、ばらつきのある拡張機能があった。
    これを読んで、自分の決断にさらに確信が持てた

    • その通り。ユーザー体験の改変 は本当にひどかった

  • 今は Bitwarden を使っているが、かなり前から Apple 内蔵のパスワードマネージャー へ移ることを検討してきた。
    Bitwarden 自体に不満はないが、Apple のほうが OS とより深く統合されている。
    ただ、気になる点が 2 つある。Apple を使わなくなったときにアカウントへのアクセスを失わないよう、パスワードをどうエクスポートまたはバックアップできるのか、そしてノート PC とスマートフォンの間でパスワードが同期される中で、スマートフォンのパスコードが比較的弱い状況でも、一部の機密性の高いパスワードにだけ追加認証を要求できるのかが気になる。
    Mac のログインパスワードの背後に機密アカウントを置くのは構わないが、その信頼をスマートフォンにまで広げるのは気が進まない。利便性と安全性を両立する方法があるのか知りたい

    • macOS ではパスワードを CSV でインポートおよびエクスポートできると理解している

  • オープンソースであることが理由で初期に Bitwarden を使い始めたし、有料で使うことにもまったく不満はない。
    自分でホスティングする手間は避けたいので、本当に残念だ。
    それでも定期的なエクスポートは続けて、サービスが本当に悪化したらすぐ離れられるよう準備しておくつもりだ
 
GN⁺ 6 시간 전
Hacker Newsの意見

  • 値上げそのものより、新しいCEOがPE的な発想を持っていそうな点のほうが心配だ
    今後のBitwardenは、製品が停滞して品質が落ちる一方で、価値の搾り取りに集中する可能性が高そうに見える
    セキュリティと品質が壊れる前に乗り換える時期なのかもしれない

    • 自分のプロジェクトではないが、VaultwardenはBitwardenのオープンソース代替バックエンドで、Rustで書かれている
      かなり前からあり、今も保守されていると理解している
      https://github.com/dani-garcia/vaultwarden
    • 有料購読者として、値上げ自体はある程度受け入れられる
      ただ、CEO交代とalways freeの文言削除が「偶然」重なったのは気になる
    • 1Passwordが新しい価格方針でまさにこれをやったのでBitwardenに移ったのに、人生は巡るものだ
    • 劣化による収益化サイクルには本当にうんざりしている
      最近のAndroid認証やCAPTCHA変更を知ったのも大きな失望だった
      数年前、Appleより開かれた代替だと思ってAndroidに移り、同じ頃にLastPassからBitwardenにも移った
      こういう基盤サービスは、何年も気にしなくていいくらい静かに問題なく動いていてほしいのに、資本主義が続く限り、こうしたことがどんどん速く起きるのを受け入れ続けなければならないのかと思ってしまう
    • PE? プライベートエクイティは公然たるエンシッティフィケーションへの滑りやすい坂だ

  • 3年ほど前にBitwardenを初めて知ったとき、すぐにVaultwardenのホスティングを始めた
    今では個人用インスタンスを1つ、友人の会社向けに1つ運用していて、どちらもとても安定して動いている
    自分でホスティングできるなら、Vaultwardenインスタンスを自前で運用するのがよい
    Vaultwardenのコードベースが正式なセキュリティ監査を受けていない点が、自分のように少し気になるなら、VPNの背後に置けば概ね大丈夫だと思う
    Bitwardenがだめになること自体はあまり心配していない。すでに確立されたオープンソースの代替があるからだ
    最悪、BitwardenがクライアントをVaultwarden非互換にする可能性はあるが、記事にもある通り、そうなればコミュニティがすぐフォークするだろう

    • その通りだが、Vaultwardenは深く考えずに一人で立てて放置していい類いのものではない
      長期保存すべき秘密情報をホストするのだから、自前でデプロイするならバックアップをしっかり取り、定期的に復旧訓練をする必要がある
      バックアップが実際に動くか、破損していないか、オフサイトにコピーを置いているかを確認しなければならない
    • Vaultwardenを使う理由は、一方ではお金を払ってパスワード問題を会社に解決してもらえたらいいと思う反面、いつかその会社が自分の王国の鍵をすべて握っていることを悪用しないと信じられる相手がどこにいるのかわからないからだ
      プライベートエクイティへの不満はもっともだが、その前から、顧客を育てる関係ではなく採掘すべき資源と見るHarvard MBA的な発想があった
      どんな会社であれ、自分を採掘対象の資源として見るのは嫌だが、その関係性ゆえにより危険な会社もある
      自分の銀行パスワード、Googleパスワード、証券口座のパスワードを貪欲に見つめたり、預けたパスワード束を見て、どのパスワードを「仲介」すればもっと儲かるかを評価するような会社は望まない
      自分のパスワードから価値を搾り取るために、エクスポートをどう壊すか考えられること自体が嫌だ
      たとえば「申し訳ありません、パスキーは$SECURITY_BLATHERのためエクスポートできないので移行できません」といった具合だ
      公平を期して言えば、Bitwardenにも一時期そういう問題があった気がするが、今は違うようで、少なくとも自分の知る限り、他のサービスには依然としてパスキーを囲い込めるものがある
      プライベートエクイティやHarvard MBA的発想に自分のパスワードを預けることはできないし、どのパスワード保管会社も最終的にはPE/HMBA型に買収されて自分のパスワードを採掘しないと信じるのも難しい
      バリューチェーンを最後まで追えば、自分のパスワードを担保に実際の負債を引き起こすような構造の会社すら信じがたい
      金は彼らが受け取り、リスクは自分が負うわけで、断固として拒否する
      だから自分でパスワード金庫をホストするのは必ずしも楽しくはないが、ほかに誰を信じられるのかと思う
    • Vaultwardenのセルフホストには非常に満足している
      パスワードマネージャー難民になるのには本当に疲れた
      値上げされるか、サービスが消えるかのどちらかで、Dropboxはまさにそうだった
    • クライアントはオープンソースではないのでは?

  • Bitwardenのデスクトップ版からはKeepassXCに移行した
    スマホではKeepassXC互換のAndroidクライアントであるKeepassDXを使い、ブラウザではデスクトップクライアントと連携するKeepassXC Browser拡張を使っている
    KeepassXCは単一ファイルで動作するので、どんなファイルシステム同期ツールでもそのファイルをデバイス間で同期したり、クラウドに保存したりできる
    移行にはとても満足している
    [1]: https://keepassxc.org
    [2]: https://www.keepassdx.com

    • 1Passwordが値上げしたあと、最近KeePass構成に移ったが、完全にコントロールできる感覚がいい
    • KeePassは使い勝手や機能の面で後退しすぎていて、競合相手とすら見ていない
      自分が1Passwordに移った理由そのものが、KeePassクライアントでデータを誤って失いやすい点を避けるためだった
      たとえば以前使っていたクライアントの1つは、一時的なバグでメモ欄を丸ごと消してしまった
      すぐ修正はされたが、自分には実害があった
      今は1Passwordを使っていて、ほぼ他の製品も全部試したが、それでも総合的にはこれが一番だと思う
      この分野では最高の製品を得るために最も高い価格を払っても構わない
    • 将来Appleエコシステムを離れることになったら、自分もまさにこの構成にするつもりだ

  • この記事のおかげで確認してみる気になった
    去年、BitwardenがデスクトップUXを他のすべての製品のようなものに変え、場所を取りすぎるようにし始めて以来、ずっと怪しい目で見ていた
    以前はブラウザのオートフィルに完璧に合っていて、とても速く、邪魔にもならなかった
    それが今では、膨れ上がった余白、遅い動作、AI製SaaSのような画一的なUX要素に変わってしまった
    これからはVaultwarden、Proton Pass、Keepassを見てみる必要がありそうだ
    LastPass、Authy、Google Readerのように、自分たちのユーザーを無視して、完璧に機能していたツールがまた1つ壊れていくのは残念だ

    • UIの再設計がエンシッティフィケーションの本来の意味だとはまったく思わない
      Bitwardenは、自分が8年前に使い始めて以来、パスワード管理において圧倒的に最高の無料の選択肢だった
      UI変更が好きかと言われれば大好きではないが、頻繁に使う部分ではないのでそれほど気にしていない

  • ほとんどのパスワードマネージャーはインポート/エクスポートに関するを持っていないように見えるので、状況が悪くなればProton PassやVaultwardenにすぐ移れるという点に期待している
    ただ、できればセルフホストはしたくない
    自分でホストする対象が自分の人生の鍵そのものなら、アプリケーションと環境を維持するのにまったく別次元の勤勉さが必要になる
    少なくとも信頼できるマシンへ向かうWireGuardトンネルのようなものの背後には置くべきだろうし、そうなると日常利用に余計な面倒が増える

    • Proton PassはWireGuardトンネルを使うのか? Bitwardenは? TLSで十分な気がする
      もちろん、パスワードをホストするマシンはしっかり保護すべきだ
      物理的には自宅に置きつつ、公開インターネット上の場所では443番ポートだけをプロキシすることもできる

  • 最近GitHubのイシュートラッカーでメモリリーク問題が長く続いているのを見つけてから、Bitwardenを詳しく見ている
    どのブラウザでも使う拡張機能だが、Safariでは異常に多くRAMを使っているようで、MS EdgeでRAM使用量が際限なく増える理由もこれではないかと疑っている
    全体として、Bitwardenがもっとお金を欲しがること自体は問題ではないが、経営トップをプライベートエクイティ出身の無名人物に替え、ひっそり値上げするのは一線を越えている
    この問題が表に出てよかったし、FOSSフレンドリーな適切な代替を探したい気持ちがさらに強まった

  • くそ、つい最近Bitwardenに移って有料で使い始めたところだ
    主な理由は、複数ユーザー向けの共有保管庫と個人保管庫に対する緊急アクセス権だった
    どうか台無しにしたり大幅値上げしたりしないでほしい

  • Bitwardenから離れる背中を押してくれてありがとう
    数年使ってきたが、ゆっくり移行している途中で、もう移行した

    • どこに移ったのか気になる

  • いい記事だ
    Androidスマホ、Linux PC、Windows PCで、Bitwardenの代わりにKeepassXC / KeepassDX / Syncthingの組み合わせに変えた
    最初にBitwardenを使う前もこの構成だったが、最近のKeePass体験はずっと良くなっている
    Bitwardenからのインポートもとても簡単なのでおすすめだ

    • 自分もこの構成を使っていたが、iOSに移るときBitwardenに変えた
      AndroidではSyncthingとして何を使っている? 昔はAndroid向け公式Syncthingアプリがあったが、保守が止まり、人気のあるフォークもその管理者がやめてしまった
      iOSでSyncthingを使うことも調べたが、Möbius Syncしかなく、バックグラウンドで動かなかった
      それで結局Bitwardenに移ったが、今はまた次を考えないといけない
    • Keepassのどの派生を使っているの?

  • 自分のところではWebサイトにまだAlways freeと表示されている
    記事でリンクされていた支払いページにも、そのページ内にも両方ある
    それでも、リーダーシップの変化、透明性の欠如、100%の値上げ、コアバリューの静かな変更は気になる
    Bitwardenに年10ドル払うことには満足していたし、20ドルでもまだ許容範囲だが、疑念の種は植え付けられた

    • Webサイトを直接見に行ったら、「Get Started Free」となっていた
      「Always Free」は個人向け料金ページのいちばん下にしかない
      さらに気になるのは、Adobeが批判されたのと同じ表現、つまり「月額 $price、年単位請求」を使い始めたことだ
      年20ドルの製品でこの表現は妙に感じる
      数百ドルや数千ドルでもなく、企業顧客向けでもない、一般ユーザー向け20ドルの製品なのに
      透明性が足りず、静かにいろいろ変えていく姿勢のせいで警戒してしまう
    • 更新で、Webサイト更新中にalways freeの文言が誤って消え、すぐ戻したと言っていた
      その間にこの記事が書かれたのだと思う