1PasswordがAIエージェントの「鍵管理」に本気を出した — MCP対応・SDK連携を開発者目線で解説
AIエージェントがAPIキーを扱う時代の鍵管理を1Passwordで解決する方法を解説。Agentic AI Security機能・MCPサーバー対応・Claude Codeやデプロイパイプラインへのシークレット注入の仕組みを開発者目線で整理。Bitwardenとの機能・料金比較も掲載。
※ 本記事にはプロモーションが含まれています。記事内リンクから申し込みがあった場合、筆者に紹介報酬が発生します。内容は独自調査に基づいており、報酬によって評価が変わることはありません。 #PR
エンジニアのゆとです。
Claude Code、Devin、Perplexity——AIエージェントが当たり前のようにAPIを叩き、ブラウザを操作し、コードをデプロイする時代になった。便利になった一方で、ひとつ根本的な問題がある。
「AIエージェントにパスワードやAPIキーを、どうやって安全に渡すのか?」
.envファイルに平文で書く? 環境変数にハードコードする? それ、人間がやっても危ういのに、自律的に動くAIにやらせるのはもっと危うい。
1Passwordが2025年後半から本格的に取り組んでいるのが、まさにこの問題だ。パスワードマネージャーの会社が「AIエージェント向けのクレデンシャル管理」を製品の柱に据え始めた。しかもMCP(Model Context Protocol)対応、Go/Python/JavaScript SDKの提供、Perplexity Cometとの統合まで進めている。
この記事では、1PasswordのAIエージェント対応機能を開発者の視点から掘り下げつつ、パスキー対応の現在地、Bitwardenとの違いまで一気にカバーする。
3行まとめ
AIエージェント対応: 1PasswordはSDKとMCPで、AIエージェントに「実行時だけ」暗号化されたクレデンシャルを渡す仕組みを構築。ハードコードされたシークレットやMFAバイパスが不要に。
パスキー管理: パスキーの生成・保存・共有に対応。Watchtower機能でパスキー対応サイトを自動検出。ただしまだ全サイトがパスキー対応ではない。
Bitwarden との違い: Bitwardenは無料・OSSで個人利用最強。1Passwordはチーム運用・AIエージェント連携・UXで差別化。開発者のユースケースで選べ。
AIエージェントのクレデンシャル管理、何が問題なのか
まず「そもそも何が問題なのか」を整理しておく。
AIエージェントがSaaSのAPIを叩いたり、Webサービスにログインしたりするには、当然ながら認証情報が必要だ。現状、多くの開発者はこう対処している。
- .envファイルに平文で書く — 最も一般的だけど、最も危ない。リポジトリに.envをコミットする事故は後を絶たない
- 環境変数にセット — .envよりはマシだが、プロセス一覧から見えるリスクがある
- シークレットマネージャー(AWS Secrets Manager等) — 正しいアプローチだが、AIエージェント向けに設計されていない
- MFAをバイパスする — AIが2FAコードを入力できないので、サービス側のMFAを無効化してしまう。これは論外
特にMFAバイパスは深刻だ。人間のアカウントでは当然MFAを有効にしているのに、AIエージェント用のサービスアカウントではMFAを切っている——これでは「AIのためにセキュリティレベルを下げている」ことになる。
1PasswordのAgentic AI Securityの仕組み
1Passwordが提唱する解決策は明快だ。「クレデンシャルはVault(保管庫)に入れたまま、実行時にだけ暗号化チャネル経由でエージェントに渡す」。
Agent Chassisモデル — AIの判断と実行を分離する
1PasswordのCTO Nancy Wangは、Stanford Trustworthy AI Labとの共同ホワイトペーパーで「Agent Chassis」という概念を提唱している。
要するに、AIモデルの「判断」と、それを実行する「ランタイム層」を分離し、セキュリティは決定論的なランタイム側で担保するという思想だ。
「AIコンテキスト自体は信頼できないものとして扱わなければならない。信頼はコンテキストを取り囲む決定論的レイヤーで確立・強制される」
AIが「このAPIキーを使ってSlackにメッセージを送ろう」と判断しても、実際にキーを取得・使用するのはAIモデルではなく、1Passwordのランタイムが仲介する。AIにはキーの中身は見えない。
Service Accountsとシークレット参照
具体的な実装はService Accountsが担う。CI/CDパイプラインやサーバーアプリケーションから、Vaultに保存されたシークレットを安全に読み出す仕組みで、AIエージェント向けにさらに発展させている。
- 最小権限の原則: エージェントには必要なVault・アイテムだけにアクセスを許可(組織あたり最大100アカウント)。全シークレットにアクセスできてしまう.envファイルとは根本的に違う
- Just-in-Timeアクセス: 実行時のみクレデンシャルを取得し、タスク完了後は破棄。明確な有効期限付き
- 統合監査証跡: いつ、どのエージェントが、どのシークレットにアクセスしたかをIDからアクションまで完全に記録
SDK連携(Go / Python / JavaScript)
開発者にとって嬉しいのは、Go・Python・JavaScriptの3言語でSDKが提供されていること。たとえばPythonでの使い方はこんなイメージだ。
from onepassword import Client
# Service Accountトークンで初期化
client = await Client.authenticate(
auth="ops_your-service-account-token",
integration_name="my-ai-agent",
integration_version="1.0.0",
)
# Vaultからシークレットを取得
secret = await client.secrets.resolve("op://Production/Stripe API Key/credential")
# secret にはAPIキーの値が入る。コード上にハードコードする必要なしポイントは、コード上にAPIキーの「値」が一切現れないこと。op:// という参照URIだけが存在し、実行時に1Passwordのクライアントが解決する。.envファイルに平文でキーを書く時代は終わりだ。
MCP(Model Context Protocol)対応
Claude DesktopやClineなどMCP対応のAIツールからは、1PasswordのVaultデータに直接アクセスできる。SaaS Managerとの組み合わせで「うちのチームで使っているSaaSの一覧を教えて」といったプロンプトにも対応可能だ。
ヘッドレスブラウザ連携(Browserbase)
1PasswordはBrowserbase社とパートナーシップを組み、ヘッドレスブラウザ向けの1Password拡張機能を共同開発している。AIエージェントがブラウザを自動操作する際に、Vaultから認証情報を安全に注入する仕組みだ。
人間がブラウザで1Passwordの自動入力を使うのと同じことを、AIが操作するヘッドレスブラウザでも実現する。AI側にはパスワードの値が見えない。
SCAMベンチマーク — AIエージェントのセキュリティを数値で測る
1Passwordが2026年2月に発表した「SCAM(Security Capability Assessment for AI Models)」ベンチマークは、AIエージェントのセキュリティ能力を定量評価する試みだ。
フィッシングリンクの検出、偽ドメインへの認証情報入力回避、機密情報の不適切な転送防止などをテストする。
ベースライン結果
| モデル | スコア |
|---|---|
| Claude Opus 4.6 | 92.4%(最高) |
| Gemini 2.5 Flash | 34.9%(最低) |
面白いのは、脅威を「認識」できても「回避」できるかは別問題だということ。テストシナリオには acmecorp-sharepoint.com-docs.cloud のような紛らわしいURLへのリンクや、会議メモに紛れ込んだDB認証情報の転送テストが含まれる。
セキュリティスキル適用後の改善
1Passwordのセキュリティスキル(ルールセット)を適用すると、結果は劇的に改善する。
- 全モデルの重大失敗: 287 → 10に激減
- 4モデルが重大失敗ゼロを達成
- Gemini 2.5 Flash: 60ポイント向上
つまり、AIモデル単体のセキュリティ能力には大きなばらつきがあるが、適切なガードレールを設定すれば大幅に改善できる。1Passwordはそのガードレールを提供するポジションを狙っている。
Extended Access Management(XAM)— パスワードマネージャーの先へ
1Passwordは「パスワードマネージャー」から「Extended Access Management(XAM)」プラットフォームへと進化しようとしている。
XAMの構成要素は3つ。
- パスワードマネージャー: 従来の機能。パスワード・パスキー・シークレットの保存・自動入力
- Device Trust: デバイスのコンプライアンス(OSバージョン、ファイアウォール設定、ディスク暗号化等)を確認し、条件を満たさないデバイスからのアクセスをブロック
- SaaS Manager: 組織で使われているSaaSアプリを自動検出し、シャドーITを可視化。ライセンスの最適化にも使える
企業のIT管理者にとっては「Okta + Jamf + パスワードマネージャーを1つにしたもの」というイメージが近い。個人開発者には直接関係ないが、チームや組織での利用を考えると、この方向性は理にかなっている。
パスキー対応の現在地
1Passwordはパスキー対応にも力を入れている。
何ができるか
- パスキーの生成・保存: 対応サイトでパスキーを作成し、1Passwordに保存
- クロスデバイス同期: Mac、Windows、iOS、Androidすべてで同じパスキーを使える
- パスキーの共有: 共有Vaultを通じて、チームメンバー間でパスキーを共有可能
- Watchtower検出: 保存済みサービスのうち、パスキーに対応しているものを自動検出して通知
パスキーの現実
ただし、パスキー対応はまだ発展途上だ。2026年3月時点で、主要サービスのパスキー対応状況はこんな感じ。
- 対応済み: Google, Apple, Microsoft, GitHub, Amazon, PayPal, LinkedIn, Adobe, Shopify, etc.
- 未対応(または部分対応): 多くの日本国内サービス、銀行系、官公庁系
「パスキーがあればパスワードマネージャーはいらなくなるのでは?」という議論もあるが、現実的には当分の間、パスワードとパスキーの「二刀流」が続く。すべてのサービスがパスキーに対応するまで、パスワードマネージャーの役割がなくなることはない。
むしろ1Passwordの戦略は「パスキーも含めた”あらゆる認証情報”の統合管理」に向かっている。パスワード、パスキー、SSHキー、APIキー、クレジットカード情報——全部まとめて一つのVaultで管理するという思想だ。
1Password vs Bitwarden — 開発者はどっちを選ぶべきか
パスワードマネージャー選びで最も多い比較が「1Password vs Bitwarden」だ。両方使ったことがある立場から、正直に比較する。
料金
| 1Password | Bitwarden | |
|---|---|---|
| 個人 | $2.99/月(年払い) | 無料(Premium: $1.65/月) |
| ファミリー | $4.49/月(5人) | $3.99/月(6人) |
| チーム | $19.95/月(10人まで) | $6/ユーザー/月 |
| ビジネス | $7.99/ユーザー/月 | $12/ユーザー/月(Enterprise) |
個人利用は圧倒的にBitwardenが安い。無料で使えるBitwardenに勝てるわけがない。ただし、ビジネスプランでは1Passwordのほうが安いケースもある($7.99 vs $12)。
セキュリティアプローチ
Bitwarden: オープンソース。コードが公開されているので、セキュリティ研究者がいつでも検証できる。「信頼するな、検証せよ」の精神。
1Password: プロプライエタリ。ただし定期的な第三者セキュリティ監査を受けており、SOC 2 Type 2認証を取得。Secret Key(マスターパスワードに加えてデバイス固有のキーを組み合わせる二重暗号化)は1Password独自の強み。
開発者向け機能
| 機能 | 1Password | Bitwarden |
|---|---|---|
| SSH鍵管理 | ネイティブ対応。SSH Agent統合 | 対応あり |
| CLI | op コマンド。シェルスクリプトに統合しやすい | bw コマンド。機能は同等 |
| シークレット参照 | op:// URI。.envファイル不要 | Bitwarden Secrets Manager(別料金) |
| AIエージェント対応 | SDK(Go/Py/JS) + MCP | 現時点で限定的 |
| Git署名 | SSH鍵でGitコミット署名 | 対応あり |
AIエージェント対応は1Passwordが大きくリードしている。Bitwardenも今後追随すると思うが、2026年3月時点ではSDK・MCP・Perplexity連携で1Passwordが先行。
どっちを選ぶか——判断フロー
Bitwarden を選ぶべき人: コストを最小化したい / OSSであることが重要 / 個人利用がメイン / 自分でサーバーをホスティングしたい(Vaultwarden)
1Password を選ぶべき人: UXの洗練度を重視 / AIエージェントと連携したい / チーム管理機能が必要 / SSH鍵やシークレット管理を一元化したい / パスキー共有を使いたい
正直な結論: 個人でコスト重視ならBitwarden一択。チーム利用 or AIエージェント連携が視野に入るなら1Passwordが強い。
LastPassから移行を考えている人へ
2022年のLastPassデータ漏洩事件以降、「LastPassから乗り換えたい」というニーズは今でも多い。
事件の概要を振り返っておく。2022年8月に開発環境に不正アクセスされソースコードが流出。その情報を足がかりに11〜12月にクラウドストレージにもアクセスされ、**会社名、ユーザー名、請求先住所、メール、電話番号、IPアドレス、暗号化されたVaultバックアップ(WebサイトURLは平文)**が漏洩した。マスターパスワードと暗号化フィールドは保護されたが、弱いマスターパスワードを使っていたユーザーはブルートフォース攻撃のリスクがある。
1Password・Bitwardenともに、LastPassからのインポート機能を用意している。CSVエクスポート → インポートで移行できる。移行先としては、1Password・Bitwardenともにデータ漏洩歴ゼロ。どちらを選んでも正解だ。
料金プランまとめ
| プラン | 月額(年払い) | 主な機能 |
|---|---|---|
| Individual | $2.99 | 無制限のパスワード・パスキー、Watchtower、1GB添付ファイル |
| Families | $4.99(5人) | 共有Vault、アカウント回復 |
| Teams | $7.99/ユーザー | 管理者コンソール、カスタムグループ |
| Business | $13.99/ユーザー | XAM、SaaS Manager、カスタムロール、SCIM |
14日間の無料トライアル付き。クレジットカード登録なしで試せる。
関連記事
まとめ — パスワードマネージャーは「認証基盤」になる
1Passwordがやろうとしていることは、単なるパスワード保存ではない。パスワード、パスキー、SSHキー、APIシークレット、デバイス信頼、SaaS管理——あらゆる「認証とアクセス」を一元管理するプラットフォームだ。
特にAIエージェントが普及するこれからの時代、「エージェントに安全にクレデンシャルを渡す」という課題は避けて通れない。.envに平文でAPIキーを書く時代は終わりにしよう。
Bitwardenが無料で十分な人は、無理に1Passwordにする必要はない。でも、AIエージェントとの連携や、チームでのシークレット管理に課題を感じているなら、1Passwordは検討する価値がある。
この記事の情報は2026年3月時点のものです。最新の料金・機能については各公式サイトをご確認ください。
