1PasswordがAIエージェントの「鍵管理」に本気を出した — MCP対応・SDK連携を開発者目線で解説
AIエージェントがAPIキーを扱う時代の鍵管理を1Passwordで解決する方法を解説(2026年Q2更新版)。Agentic AI Security機能・MCPサーバー対応・SDK連携・Service Accounts・SCAMベンチマーク・最小権限/JIT/監査ログをエンジニア目線で整理。Bitwardenとの機能・料金比較、よくある質問付き。
※ 本記事にはプロモーションが含まれています。記事内リンクから申し込みがあった場合、筆者に紹介報酬が発生します。内容は独自調査に基づいており、報酬によって評価が変わることはありません。 #PR
エンジニアのゆとです。
Claude Code、Devin、Perplexity——AIエージェントが当たり前のようにAPIを叩き、ブラウザを操作し、コードをデプロイする時代になった。便利になった一方で、ひとつ根本的な問題がある。
「AIエージェントにパスワードやAPIキーを、どうやって安全に渡すのか?」
.envファイルに平文で書く? 環境変数にハードコードする? それ、人間がやっても危ういのに、自律的に動くAIにやらせるのはもっと危うい。
1Passwordが2025年後半から本格的に取り組んでいるのが、まさにこの問題だ。パスワードマネージャーの会社が「AIエージェント向けのクレデンシャル管理」を製品の柱に据え始めた。しかもMCP(Model Context Protocol)対応、Go/Python/JavaScript SDKの提供、Perplexity Cometとの統合まで進めている。
この記事では、1PasswordのAIエージェント対応機能を開発者の視点から掘り下げつつ、パスキー対応の現在地、Bitwardenとの違いまで一気にカバーする。
3行まとめ
AIエージェント対応: 1PasswordはSDKとMCPで、AIエージェントに「実行時だけ」暗号化されたクレデンシャルを渡す仕組みを構築。ハードコードされたシークレットやMFAバイパスが不要に。
パスキー管理: パスキーの生成・保存・共有に対応。Watchtower機能でパスキー対応サイトを自動検出。ただしまだ全サイトがパスキー対応ではない。
Bitwarden との違い: Bitwardenは無料・OSSで個人利用最強。1Passwordはチーム運用・AIエージェント連携・UXで差別化。開発者のユースケースで選べ。
AIエージェントのクレデンシャル管理、何が問題なのか
まず「そもそも何が問題なのか」を整理しておく。
AIエージェントがSaaSのAPIを叩いたり、Webサービスにログインしたりするには、当然ながら認証情報が必要だ。現状、多くの開発者はこう対処している。
- .envファイルに平文で書く — 最も一般的だけど、最も危ない。リポジトリに.envをコミットする事故は後を絶たない
- 環境変数にセット — .envよりはマシだが、プロセス一覧から見えるリスクがある
- シークレットマネージャー(AWS Secrets Manager等) — 正しいアプローチだが、AIエージェント向けに設計されていない
- MFAをバイパスする — AIが2FAコードを入力できないので、サービス側のMFAを無効化してしまう。これは論外
特にMFAバイパスは深刻だ。人間のアカウントでは当然MFAを有効にしているのに、AIエージェント用のサービスアカウントではMFAを切っている——これでは「AIのためにセキュリティレベルを下げている」ことになる。
AIエージェントのシークレット管理をアーキテクチャレベルで設計したい場合は、Vault・SSO・MCPの3層構成を整理した AI Agent時代のシークレット管理設計 も合わせて読んでほしい。
1PasswordのAgentic AI Securityの仕組み
1Passwordが提唱する解決策は明快だ。「クレデンシャルはVault(保管庫)に入れたまま、実行時にだけ暗号化チャネル経由でエージェントに渡す」。
Agent Chassisモデル — AIの判断と実行を分離する
1PasswordのCTO Nancy Wangは、Stanford Trustworthy AI Labとの共同ホワイトペーパーで「Agent Chassis」という概念を提唱している。
要するに、AIモデルの「判断」と、それを実行する「ランタイム層」を分離し、セキュリティは決定論的なランタイム側で担保するという思想だ。
「AIコンテキスト自体は信頼できないものとして扱わなければならない。信頼はコンテキストを取り囲む決定論的レイヤーで確立・強制される」
AIが「このAPIキーを使ってSlackにメッセージを送ろう」と判断しても、実際にキーを取得・使用するのはAIモデルではなく、1Passwordのランタイムが仲介する。AIにはキーの中身は見えない。
Service Accountsとシークレット参照
具体的な実装はService Accountsが担う。CI/CDパイプラインやサーバーアプリケーションから、Vaultに保存されたシークレットを安全に読み出す仕組みで、AIエージェント向けにさらに発展させている。
- 最小権限の原則: エージェントには必要なVault・アイテムだけにアクセスを許可(組織あたり最大100アカウント)。全シークレットにアクセスできてしまう.envファイルとは根本的に違う
- Just-in-Timeアクセス: 実行時のみクレデンシャルを取得し、タスク完了後は破棄。明確な有効期限付き
- 統合監査証跡: いつ、どのエージェントが、どのシークレットにアクセスしたかをIDからアクションまで完全に記録
SDK連携(Go / Python / JavaScript)
開発者にとって嬉しいのは、Go・Python・JavaScriptの3言語でSDKが提供されていること。たとえばPythonでの使い方はこんなイメージだ。
from onepassword import Client
# Service Accountトークンで初期化
client = await Client.authenticate(
auth="ops_your-service-account-token",
integration_name="my-ai-agent",
integration_version="1.0.0",
)
# Vaultからシークレットを取得
secret = await client.secrets.resolve("op://Production/Stripe API Key/credential")
# secret にはAPIキーの値が入る。コード上にハードコードする必要なしポイントは、コード上にAPIキーの「値」が一切現れないこと。op:// という参照URIだけが存在し、実行時に1Passwordのクライアントが解決する。.envファイルに平文でキーを書く時代は終わりだ。
MCP(Model Context Protocol)対応
Claude DesktopやClineなどMCP対応のAIツールからは、1PasswordのVaultデータに直接アクセスできる。SaaS Managerとの組み合わせで「うちのチームで使っているSaaSの一覧を教えて」といったプロンプトにも対応可能だ。
Claude Code への具体的な導入手順は 1Password MCP設定ガイド にまとめてある。op:// URI でVaultからシークレットを注入する設定から始められる。
ヘッドレスブラウザ連携(Browserbase)
1PasswordはBrowserbase社とパートナーシップを組み、ヘッドレスブラウザ向けの1Password拡張機能を共同開発している。AIエージェントがブラウザを自動操作する際に、Vaultから認証情報を安全に注入する仕組みだ。
人間がブラウザで1Passwordの自動入力を使うのと同じことを、AIが操作するヘッドレスブラウザでも実現する。AI側にはパスワードの値が見えない。
SCAMベンチマーク — AIエージェントのセキュリティを数値で測る
1Passwordが2026年2月に発表した「SCAM(Security Capability Assessment for AI Models)」ベンチマークは、AIエージェントのセキュリティ能力を定量評価する試みだ。
フィッシングリンクの検出、偽ドメインへの認証情報入力回避、機密情報の不適切な転送防止などをテストする。
ベースライン結果
| モデル | スコア |
|---|---|
| Claude Opus 4.6 | 92.4%(最高) |
| Gemini 2.5 Flash | 34.9%(最低) |
面白いのは、脅威を「認識」できても「回避」できるかは別問題だということ。テストシナリオには acmecorp-sharepoint.com-docs.cloud のような紛らわしいURLへのリンクや、会議メモに紛れ込んだDB認証情報の転送テストが含まれる。
セキュリティスキル適用後の改善
1Passwordのセキュリティスキル(ルールセット)を適用すると、結果は劇的に改善する。
- 全モデルの重大失敗: 287 → 10に激減
- 4モデルが重大失敗ゼロを達成
- Gemini 2.5 Flash: 60ポイント向上
つまり、AIモデル単体のセキュリティ能力には大きなばらつきがあるが、適切なガードレールを設定すれば大幅に改善できる。1Passwordはそのガードレールを提供するポジションを狙っている。
Extended Access Management(XAM)— パスワードマネージャーの先へ
1Passwordは「パスワードマネージャー」から「Extended Access Management(XAM)」プラットフォームへと進化しようとしている。
XAMの構成要素は3つ。
- パスワードマネージャー: 従来の機能。パスワード・パスキー・シークレットの保存・自動入力
- Device Trust: デバイスのコンプライアンス(OSバージョン、ファイアウォール設定、ディスク暗号化等)を確認し、条件を満たさないデバイスからのアクセスをブロック
- SaaS Manager: 組織で使われているSaaSアプリを自動検出し、シャドーITを可視化。ライセンスの最適化にも使える
企業のIT管理者にとっては「Okta + Jamf + パスワードマネージャーを1つにしたもの」というイメージが近い。個人開発者には直接関係ないが、チームや組織での利用を考えると、この方向性は理にかなっている。
パスキー対応の現在地
1Passwordはパスキー対応にも力を入れている。
何ができるか
- パスキーの生成・保存: 対応サイトでパスキーを作成し、1Passwordに保存
- クロスデバイス同期: Mac、Windows、iOS、Androidすべてで同じパスキーを使える
- パスキーの共有: 共有Vaultを通じて、チームメンバー間でパスキーを共有可能
- Watchtower検出: 保存済みサービスのうち、パスキーに対応しているものを自動検出して通知
パスキーの現実
ただし、パスキー対応はまだ発展途上だ。2026年3月時点で、主要サービスのパスキー対応状況はこんな感じ。
- 対応済み: Google, Apple, Microsoft, GitHub, Amazon, PayPal, LinkedIn, Adobe, Shopify, etc.
- 未対応(または部分対応): 多くの日本国内サービス、銀行系、官公庁系
「パスキーがあればパスワードマネージャーはいらなくなるのでは?」という議論もあるが、現実的には当分の間、パスワードとパスキーの「二刀流」が続く。すべてのサービスがパスキーに対応するまで、パスワードマネージャーの役割がなくなることはない。
むしろ1Passwordの戦略は「パスキーも含めた”あらゆる認証情報”の統合管理」に向かっている。パスワード、パスキー、SSHキー、APIキー、クレジットカード情報——全部まとめて一つのVaultで管理するという思想だ。
1Password vs Bitwarden — 開発者はどっちを選ぶべきか
パスワードマネージャー選びで最も多い比較が「1Password vs Bitwarden」だ。両方使ったことがある立場から、正直に比較する。
料金
| 1Password | Bitwarden | |
|---|---|---|
| 個人 | $2.99/月(年払い) | 無料(Premium: $1.65/月) |
| ファミリー | $4.49/月(5人) | $3.99/月(6人) |
| チーム | $19.95/月(10人まで) | $6/ユーザー/月 |
| ビジネス | $7.99/ユーザー/月 | $12/ユーザー/月(Enterprise) |
個人利用は圧倒的にBitwardenが安い。無料で使えるBitwardenに勝てるわけがない。ただし、ビジネスプランでは1Passwordのほうが安いケースもある($7.99 vs $12)。
セキュリティアプローチ
Bitwarden: オープンソース。コードが公開されているので、セキュリティ研究者がいつでも検証できる。「信頼するな、検証せよ」の精神。
1Password: プロプライエタリ。ただし定期的な第三者セキュリティ監査を受けており、SOC 2 Type 2認証を取得。Secret Key(マスターパスワードに加えてデバイス固有のキーを組み合わせる二重暗号化)は1Password独自の強み。
開発者向け機能
| 機能 | 1Password | Bitwarden |
|---|---|---|
| SSH鍵管理 | ネイティブ対応。SSH Agent統合 | 対応あり |
| CLI | op コマンド。シェルスクリプトに統合しやすい | bw コマンド。機能は同等 |
| シークレット参照 | op:// URI。.envファイル不要 | Bitwarden Secrets Manager(別料金) |
| AIエージェント対応 | SDK(Go/Py/JS) + MCP | 現時点で限定的 |
| Git署名 | SSH鍵でGitコミット署名 | 対応あり |
AIエージェント対応は1Passwordが大きくリードしている。Bitwardenも今後追随すると思うが、2026年3月時点ではSDK・MCP・Perplexity連携で1Passwordが先行。
どっちを選ぶか——判断フロー
Bitwarden を選ぶべき人: コストを最小化したい / OSSであることが重要 / 個人利用がメイン / 自分でサーバーをホスティングしたい(Vaultwarden)
1Password を選ぶべき人: UXの洗練度を重視 / AIエージェントと連携したい / チーム管理機能が必要 / SSH鍵やシークレット管理を一元化したい / パスキー共有を使いたい
正直な結論: 個人でコスト重視ならBitwarden一択。チーム利用 or AIエージェント連携が視野に入るなら1Passwordが強い。
LastPassから移行を考えている人へ
2022年のLastPassデータ漏洩事件以降、「LastPassから乗り換えたい」というニーズは今でも多い。
事件の概要を振り返っておく。2022年8月に開発環境に不正アクセスされソースコードが流出。その情報を足がかりに11〜12月にクラウドストレージにもアクセスされ、**会社名、ユーザー名、請求先住所、メール、電話番号、IPアドレス、暗号化されたVaultバックアップ(WebサイトURLは平文)**が漏洩した。マスターパスワードと暗号化フィールドは保護されたが、弱いマスターパスワードを使っていたユーザーはブルートフォース攻撃のリスクがある。
1Password・Bitwardenともに、LastPassからのインポート機能を用意している。CSVエクスポート → インポートで移行できる。移行先としては、1Password・Bitwardenともにデータ漏洩歴ゼロ。どちらを選んでも正解だ。
料金プランまとめ
| プラン | 月額(年払い) | 主な機能 |
|---|---|---|
| Individual | $2.99 | 無制限のパスワード・パスキー、Watchtower、1GB添付ファイル |
| Families | $4.99(5人) | 共有Vault、アカウント回復 |
| Teams | $7.99/ユーザー | 管理者コンソール、カスタムグループ |
| Business | $13.99/ユーザー | XAM、SaaS Manager、カスタムロール、SCIM |
14日間の無料トライアル付き。クレジットカード登録なしで試せる。
2026年Q2のアップデート
この記事を最初に公開した2026年4月から、AIエージェントセキュリティ周りで動きがあった。
SCAMベンチマーク v2 と Opus 4.7 の登場
SCAMベンチマークの2026年4月版で、Claude Opus 4.7 が 96.1% を記録(前バージョンOpus 4.6 の 92.4% から+3.7pt)。フィッシング検出・偽ドメイン回避が特に伸びた。Geminiも 2.5 Pro が 67% まで上がり、モデル間ギャップは縮まりつつある。とはいえ、適切なガードレール(1Passwordセキュリティスキル等)の併用は依然として「最重大失敗」を防ぐのに有効。モデル能力 + ガードレールの二段構えが標準パターン。
競合の追い上げ — Bitwarden Secrets Manager と Doppler
2026年Q2 にBitwarden Secrets Manager のMCP対応が発表された。Bitwarden独自のシークレットマネージャー(旧Bitwarden Send + Secrets)が、AIエージェント向けの最小権限アクセスをサポート。料金はBitwarden Business($12/ユーザー)に含まれる形。
Doppler(シークレット管理特化のSaaS)もMCPサーバーを公開し、Vercel/AWS/Stripe等のシークレットを1Password的なJIT配布で扱える。AIエージェント領域は1Passwordの独走から複数ベンダー競争へ移行しつつある。
Service Accounts のスケール改善
1PasswordのService Accountsが組織あたり100アカウント → 500アカウントまで拡張可能になった(Business以上)。多数のCI/CDワークフローやマイクロサービスを抱える組織で「Service Account数が足りない」問題が解消される。
MCP サーバー Marketplace
Anthropic と OpenAI が共同で、認証済みMCPサーバーのMarketplaceを2026年5月に公開予定(β版)。1Password MCP は最初期のverified serversに登録される見込み。AIエージェント開発者は「信頼済みMCP」を1ステップで導入できるようになる。
人間 vs AIエージェントの認証境界 — 明示の必要性
1Passwordが新たに推奨しているのが「Human vs Agent Identity の明示分離」。Vault内のシークレットに is_agent_accessible: true/false タグを付け、MFAをバイパスする運用と通常運用を分ける考え方だ。AIエージェント用のサービスアカウントを別立てにする運用パターンが正式化された。
よくある質問
AIエージェントに.envファイルでAPIキーを渡すのは安全ですか?
安全ではない。.envファイルはプロセス一覧からも見える + リポジトリへの誤コミット事故が後を絶たない + AIエージェントには「必要な権限だけ」という最小権限の原則が適用できない。1Password SDK の op:// URI 参照、AWS Secrets Manager、Doppler、Vault などのシークレットマネージャー経由で実行時注入するのが2026年Q2 の業界標準。
1Password と Bitwarden、AIエージェント用途ではどちらが良いですか?
2026年Q2時点で1Passwordが先行だが、Bitwarden Secrets Manager も追いついてきている。AIエージェント連携(SDK・MCP・ヘッドレスブラウザ)の成熟度・ドキュメント量で1Passwordが優位。料金面では Bitwarden Business($12/ユーザー)が1Password Business($13.99/ユーザー)と僅差。個人開発の小規模なら Bitwarden、組織のチーム運用・本格的なAIエージェントワークフローなら1Password という選び方が現実的。
1Password MCP は Claude Code でどう使いますか?
Claude Code の MCPサーバー設定で 1password-mcp を登録し、Service Accountトークンで認証する。Claude Codeの会話内で「本番のStripe APIキーをこのスクリプトに注入して」のような自然言語指示で、Vaultからシークレットを op:// 参照経由で取得できる。AIにはキーの値は見えない(Service Accountランタイムが仲介)。Claude Code から1Password MCPを使う具体的な設定手順は 1Password MCP設定ガイド を参照。
Service Accounts の有効期限は設定できますか?
できる。Service Accountトークンには明示的な有効期限(最大2年)を設定可能。期限切れトークンは自動的に無効化され、新トークンへのローテーションが促される。CI/CDパイプラインでは「四半期ごとに自動ローテート」する運用が推奨されている。期限切れ前にWebhook通知も飛ぶ。
AIエージェントが認証情報を流出させた場合、どうやって検知しますか?
1Passwordの統合監査証跡(Audit Logs)で、いつ・どのService Accountが・どのアイテムにアクセスしたかが完全に記録される。SIEM連携(Splunk, Datadog, Elastic)も可能。異常検知ルールで「想定外のIP」「想定外の時間帯」「想定外のシークレット種別」をアラートする運用が標準。Watchtowerで漏洩済みパスワードもチェックされる。
MFA対応サービスでAIエージェントを動かしたい場合は?
1Password Service Account を経由すると、TOTP(時間ベースワンタイムパスワード)の発行までAIエージェント側に渡せる。これにより「人間用アカウントのMFAは有効、エージェント用Service AccountはMFA経由でアクセス」というセキュアな構成が可能。SMS/プッシュ通知ベースのMFAは引き続きAIに直接渡せないが、TOTP対応サービスならMFAを切らずに済む。
パスキー対応サイトでAIエージェントを動かせますか?
現時点でまだ難しい。パスキーは「デバイス + 生体認証」の組み合わせを前提とした認証方式で、AIエージェントが自律的に通過するための仕組みは標準化されていない。回避策として:
- パスキー対応サイトでも「APIキー」が別途発行されるなら、APIキーをVault経由でAIに渡す(API直叩きルートに切り替え)
- WebAuthn対応のService Account系仕組み(FIDO2 hardware token 等)を介在させる(実装難易度高)
- パスキー対応がない代替ルートを採用
業界全体で「AIエージェントが認証通過するためのパスキー拡張」が議論されているが、2026年Q2時点では未確立。
関連記事
まとめ — パスワードマネージャーは「認証基盤」になる
1Passwordがやろうとしていることは、単なるパスワード保存ではない。パスワード、パスキー、SSHキー、APIシークレット、デバイス信頼、SaaS管理——あらゆる「認証とアクセス」を一元管理するプラットフォームだ。
特にAIエージェントが普及するこれからの時代、「エージェントに安全にクレデンシャルを渡す」という課題は避けて通れない。.envに平文でAPIキーを書く時代は終わりにしよう。
Bitwardenが無料で十分な人は、無理に1Passwordにする必要はない。でも、AIエージェントとの連携や、チームでのシークレット管理に課題を感じているなら、1Passwordは検討する価値がある。
この記事の情報は2026年3月時点のものです。最新の料金・機能については各公式サイトをご確認ください。
