シークレット管理ツール比較2026——1Password・Doppler・Infisical・Vaultを個人目線で選ぶ

シークレット管理ツール比較2026——1Password・Doppler・Infisical・Vaultを個人目線で選ぶ

HCP Vault SecretsがEOL(2026年7月1日)を迎えた今、シークレット管理ツールの選択肢を再整理。1Password・Doppler・Infisical・HashiCorp Vaultを料金実額・暗号化モデル・CLI体験で徹底比較。solo/5名/10名の月額試算、Vault難民の移行先も整理。

※ 本記事にはアフィリエイトリンクが含まれています。記事内リンクから申し込みがあった場合、筆者に紹介報酬が発生します。内容は独自調査に基づいており、報酬によって評価が変わることはありません。 #PR

エンジニアのゆとです。

2026年7月1日、HCP Vault Secrets(HashiCorpのマネージドVaultサービス)がEOLを迎えた。個人・小チーム向けに手軽に使えるVaultのSaaSオプション、という存在だったが、なくなった。もし今使っているなら代替を探す時期に来ている。

それとはまた別の話として、2026年4月のVercel OAuthインシデントがあった。「環境変数を.envやクラウドプラットフォームのUIに貼り付ける運用」が、どういう経路で危ういかを改めて考えさせられる事故だった。

このふたつのニュースをきっかけに、シークレット管理ツールの選び方を整理しておく。候補は1Password・Doppler・Infisical・HashiCorp Vaultの4つ。日本語で4ツールを横断比較した記事がなかったので、書く。

この記事のポイント

4ツール比較の結論: 個人・小チームには「既存1Passwordユーザーなら1Password拡張」「無料スタートならInfisical Free」「速さ優先ならDoppler Developer」が最短。Vaultは動的シークレット・大規模インフラ向け。

HCP Vault Secrets EOL(2026年7月1日): 個人・小チームが手軽に使えるVaultのSaaSが消えた。Vault難民の現実的な移行先はInfisical(セルフホスト)かDoppler。

Vercel OAuthインシデント(2026年4月): 「機密フラグ付け忘れ」で環境変数が露出。シークレット専用ツールを使えばこのリスクをアーキテクチャ上なくせる。

.envの平文管理が「今」特に危ない理由

2026年4月19日、Vercelがセキュリティインシデントを公表した。

攻撃の流れはこうだ。2026年2月、AIツールのContext.aiが情報スティーラー(Lumma Stealer)によって侵害された。Context.aiはGoogle Workspace連携のOAuthアプリを提供しており、そのアプリに「Allow All」権限でサインインしていたVercel従業員のアカウントが芋づる式に取られた。攻撃者はそのアカウントを踏み台にVercel内部に横移動し、環境変数の一部を窃取。流出データはBreachForumsに$2Mで出品された(GitHubトークン、npmトークンを含む)。

ここで本質的な問題になったのが「機密フラグのついていない環境変数」だ。Vercelのダッシュボードで「機密(Sensitive)」とマークされた変数は暗号化されてビルドプロセスに渡されるため、今回の攻撃からは守られた。一方、フラグのなかった変数——つまり普通にUIに貼り付けたAPIキーやデータベース認証情報——が露出した。

「機密フラグを忘れずにつける」という運用に依存すること自体がリスクなのだ。人間は忘れる。特に急いでいるとき、新しい環境変数を追加するとき、チームに新しいメンバーが入ったとき。

Doppler・Infisical・1Password Secrets Automationのようなシークレット専用ツールを使うと、環境変数はコードリポジトリにも、プラットフォームのUIにも平文で存在しなくなる。「フラグを忘れる」という選択肢が、アーキテクチャ上なくなる。

もうひとつ、Claude CodeやCursorといったAIコーディングツールが日常化している影響もある。これらのツールはプロジェクトディレクトリを丸ごと読む。.envがそこにあれば、LLMのコンテキストウィンドウに全部乗る。第三者が攻撃する前に、AIのAPIに送られているかもしれない。

AIコーディング環境でのシークレット設計全体については AI Agent 時代のシークレット管理設計 にアーキテクチャレベルで整理しているので、設計から考えたい人は先にそちらを。

シークレット管理ツールを選ぶ3つの判断軸

4ツールを比べる前に、自分がどこにいるかを確認しておく。

軸1: 規模感

solo(個人)、5名以下の小チーム、10名前後の中規模チームで、コストと必要な機能がかなり変わる。10名を超えてくると、SSO・RBAC・監査ログが必須になってくる。その段階で選択肢は自然と絞られる。

軸2: データをクラウドに預けられるか

規制業界や特定のコンプライアンス要件がある場合、認証情報をクラウドに置くこと自体が問題になる。セルフホストが必要な場合、選択肢はInfisical(Docker Compose版)かVault Community Editionのほぼ2択だ。

軸3: 既存のツール環境

すでに1Passwordをパスワードマネージャーとして使っているなら、同じVaultでシークレット管理を拡張するルートが最小コストになることが多い。逆に1Passwordを使っていないなら、わざわざ導入する必要はない。

1Password — パスワードマネージャーが開発者ツールに進化した経緯と今の実力

1Passwordはもともとパスワード管理ツールとして出発した。それが2025年後半から、シークレット管理・AIエージェント向けのクレデンシャル管理に本格参入してきた。SDK(Go/Python/JavaScript)の提供、MCPサーバー対応、Service Accountsによる無人CI/CD認証——パスワードマネージャーの会社が、AIエージェント時代のシークレット基盤を狙いに来ている。

料金(2026年7月時点、公式サイトより)

プラン料金対象
Individual$2.99/月(年払)/ $3.99/月(月払)個人
Families$4.49/月(年払)最大5名
Teams Starter$24.95/月固定(最大10名)小チーム
Business$8.99/ユーザー/月(年払)中規模以上
Enterprise要カスタム見積大企業

Teams Starter の「最大10名で$24.95/月固定」は、10名チームで割ると1名あたり$2.49/月という計算になる。Doppler Team($21/ユーザー)やInfisical Pro($18/identity)と比べると、機能差はあるが料金水準は全く違う。

CLIと op run の話

1Password CLIの op run コマンドは、op:// というシークレット参照URIが埋め込まれた環境変数を実行時に展開してコマンドを叩く仕組みだ。

# .envに平文で書く代わりに
export STRIPE_KEY="op://Production/Stripe API Key/credential"
export DATABASE_URL="op://Production/Database/url"

# op runで実行時だけ展開する
op run -- node server.js

コード上に「値」が出てこない。.env ファイルが不要になる。.gitignore に追加し忘れるリスクがなくなる。

op run コマンドは、公式ドキュメントに利用プランの制限の明示がなく、コミュニティ上でIndividualプランユーザーが使っている投稿も複数確認できた。対話的なサインインが前提のローカル開発用途では、Individualプランでも動作する可能性が高い。

ただし、Service Accounts(ユーザーがサインインしていなくてもCI/CDパイプラインから安全にシークレットを取得できる機能)はBusinessプラン以上が必要だ。GitHub Actionsなどで人間が介在しない認証を組みたいなら、Businessプランになる。

どのプランで何が使えるかは、時期によって変わる可能性があるので、実際に使う前に必ず公式サイトで確認してほしい。

GitHub ActionsとCIで1Passwordのシークレットを扱う実装については 1Password + GitHub Actions + Claude Code — CI/CDパイプラインのシークレット漏洩を完全に防ぐ実践ガイド に詳しくまとめてある。

Python SDKでの使い方(一例)

from onepassword import Client

# Service Accountトークンで初期化
client = await Client.authenticate(
    auth="ops_your-service-account-token",
    integration_name="my-app",
    integration_version="1.0.0",
)

# Vaultからシークレットを取得(コード上に値が出てこない)
secret = await client.secrets.resolve("op://Production/Stripe API Key/credential")

op:// のURIだけがコードに存在し、実行時に1Passwordのクライアントが解決する。コードレビューにシークレットの値が出てこない。

1Passwordが「専用シークレット管理ツール」に劣る点

これは公平に書く必要がある。

1Passwordはパスワードマネージャーが拡張したツールだ。Doppler・Infisicalのような「シークレット管理専業」と比べると、以下の点で機能が薄い。

  • 環境別の管理(dev/staging/production): DopplerはEnvironmentというコンセプトが中心で、環境間のシークレット同期が直感的。1PasswordはVault設計で工夫が必要になる
  • シークレットのバージョン管理・ロールバック: Infisical Proには組み込まれているが、1Passwordには同等機能がない(執筆時点)
  • 開発者向けオンボーディング: シークレット管理に特化して設計されているDopplerと比べると、1Passwordの学習コストはやや高い

ただし、「ツールを増やさずに済む」というメリットは実際に大きい。パスワード・SSHキー・APIシークレット・MFAシード——全部1か所で管理できる。それで十分なケースは多い。

向いている人: 既存の1Passwordユーザー、パスワード管理と開発シークレットを一元化したいエンジニア、個人開発者(ローカル開発での op run 利用)

1password.partnerlinks.io
1Password(#PR)— シークレット管理と認証を統合する Individual $2.99/月〜。CLIで op run を使えば.envなしでシークレット注入が可能。Teams Starter(最大10名 $24.95/月固定)、14日間無料トライアルあり(Teams以上)。

Doppler — シークレット管理だけに特化した「設定ゼロ」体験

Dopplerはシークレット管理専業のSaaSだ。「環境変数を安全に管理する」というただそれだけのために作られている。その分、使い始めるまでの摩擦がとにかく少ない。

料金(2026年7月時点、公式サイトより)

プラン料金備考
Developer$0(3ユーザーまで)+ $8/追加ユーザー/月ソロ・小規模スタートアップ向け。無料枠は3名まで
Team$21/ユーザー/月RBAC・SAML SSO・90日監査ログ・シークレット自動ローテーション含む
Enterprise要見積無制限

DeveloperプランはActivityログが3日間、設定同期が5つまでという制限がある。追跡・監査が必要な用途ではTeamプランが必要になる。Teamプランは14日間の無料トライアルがある。

doppler run の体験

# インストール
brew install dopplerhq/cli/doppler

# ログインとプロジェクト設定(ここだけ初回に一度)
doppler login
doppler setup  # プロジェクトと環境を対話的に選択

# あとはこれだけ
doppler run -- node server.js
doppler run -- python app.py

doppler setup で一度プロジェクトに紐づければ、それ以降は doppler run -- <cmd> の1行で終わる。環境の切り替えも --config フラグで明示できる。

30以上のプラットフォームへのネイティブ統合がある。Vercel、Heroku、AWS Lambda、GitHub Actions、Docker、Kubernetes、CircleCI、Travis CI——主要な開発インフラはほぼカバーされている。

Dopplerの制約

大きな制約が2点ある。

ひとつはクラウド専用。セルフホストに対応していない。「社内インフラにシークレットを置きたい」「エアギャップ環境が必要」という要件があると、Dopplerは選択肢から外れる。

もうひとつは暗号化モデル。DopplerはSOC 2 Type IIを取得しており、セキュリティ水準は高い。ただし「Dopplerのサーバ側でシークレットを管理するモデル」だ。Infisicalのクライアント側E2E暗号化とは設計思想が異なる。

SDKも提供していない(APIは使える)。コード内からシークレットを取得したい場合は、環境変数経由(doppler run -- ...)か、Doppler APIをHTTPで直接叩く形になる。

向いている人: 速さ優先の5〜50名チーム、Vercel/AWS/Heroku環境、セルフホスト不要、シークレット管理専用ツールを手軽に導入したい個人・チーム

Infisical — オープンソース × セルフホストで「クラウドに預けない」選択

Infisicalは、シークレット管理ツールの中で最もオープンソース寄りに設計されている。コアはMITライセンスで公開されており、セルフホスト版はDockerとKubernetesに対応している。料金設計も「まずFreeから始められる」思想が徹底されていて、個人開発者に優しい。

料金(2026年7月時点、公式サイトより)

プラン料金備考
Free(クラウド)$0/月永続無料。統合・CLI・SDK含む主要機能を使える
Pro$18/identity/月バージョン管理・ポイントインタイムリカバリ・RBAC・シークレットローテーション
Enterprise要見積動的シークレット・99.99% SLA・専用インフラ
セルフホスト(Community)インフラコストのみDocker Compose/Kubernetes対応

「identity」という単位に注意してほしい。人間のユーザーだけでなく、CI/CDパイプラインのサービスアカウントやKubernetesのワークロードも1 identityとしてカウントされる。本番環境を本格的に使う場合は、このidentity数が積み上がることがある。

Freeプランで使える機能が広いのが特徴だ。Dashboard UI・API・CLI・SDK・Kubernetes Operator・GitHub Actions/GitLab CI/CD/Vercel/AWS等の統合——これが全部Freeで使える。「Freeでとりあえず動かしてみる」ハードルが低い。

infisical run の体験

# インストール(Homebrew経由)
brew install infisical/get-cli/infisical

# ログインと初期化
infisical login
infisical init  # プロジェクトを選択

# 実行
infisical run -- node server.js

# 環境を明示する場合
infisical run --env=production -- node server.js

# Pythonの例
infisical run --env=dev -- python app.py

Dopplerと似た体験で、--env オプションで環境を明示的に切り替えられる。

E2E暗号化の意味

InfisicalはFreeプランを含む全プランでクライアント側E2E暗号化を基本としている。シークレットはクライアント側で暗号化されてからInfisicalのサーバに送信される。サーバには暗号化済みのデータしか届かない。

仮にInfisicalのサーバが侵害されても、攻撃者が得られるのは暗号化されたデータだけで、シークレットの値は守られる。DopplerはSOC 2 Type IIを持つ信頼できるサービスだが、「サーバ側でシークレットの値を取り扱うモデル」という点では異なる。どちらが良い悪いというよりも、どこまでのリスクを受け入れるかの設計方針の違いだ。

セルフホストの現実

InfisicalのセルフホストはVaultと比べてセットアップコストが格段に低い。Docker Compose版なら、公式のdocker-compose.ymlを数行修正して立ち上げれば動く。Vaultが「インフラエンジニアが一晩かけて設定するもの」とすれば、Infisicalは「ドキュメントを読めば個人でも立てられる」くらいの難易度感だ。

ただし「セルフホストしたInfisicalのオペレーションは自分たちでやる」という認識は必要だ。バックアップ、アップデート、可用性——全部自分たちの責任になる。小規模スタートアップでインフラ担当がいない場合は、クラウド版のFreeから始めて、要件が固まってからセルフホストを検討するルートが現実的。

HCP Vault Secretsを使っていてEOL後の移行先を探しているなら、Infisicalのセルフホストは最も有力な選択肢のひとつだ。

向いている人: データ主権重視・コスト最小化の個人・スタートアップ、HCP Vault Secrets EOL難民、セルフホストが必要なチーム

HashiCorp Vault — 2026年の現実(HCP Vault Secrets EOLを受けて)

HashiCorp Vaultは、エンタープライズシークレット管理のデファクト標準だ。「静的なAPIキーを保存する」という用途を超えた機能を持つ——それがVaultの本質だ。

Vaultにしかないもの

  • 動的シークレット: リクエストのたびに一時的なデータベース認証情報やAWSクレデンシャルを発行し、TTLが切れたら自動で破棄する。固定パスワードをどこかに保存するというリスク自体がなくなる
  • Transit Encryption Engine: アプリケーションのデータをVault経由で暗号化・復号する。VaultをHSMの代替として使える
  • Sentinel Policy: 「このユーザーは平日9時〜18時しかシークレットにアクセスできない」といった細粒度のポリシーを記述できる
  • オンプレ・エアギャップ対応: クラウドには一切出ない構成が取れる

これらが必要な組織にとって、Vaultはまだ最善の選択肢だ。

2026年7月時点でのVaultの状況

製品料金状況
Vault Community Edition(OSS)無料(セルフホスト)継続。ただしBSLライセンス(2023年以降)。DR/ネームスペースなし
HCP Vault Secrets2026年7月1日でEOL(廃止済み)
HCP Vault Dedicated~$450/月(Dev)〜$1,152/月(Essentials)+ $72.92/クライアント/月継続。個人・小チームには現実的でない価格帯
Vault Enterprise年間六桁〜(要見積)大企業向け

HCP Vault Secretsが消えたことで、「VaultをSaaSで手軽に使う」という選択肢が個人・小チームからはなくなった。残ったのは「Community Editionを自前で立てる(無料だが運用コスト高)」か「HCP Vault DedicatedやEnterpriseを契約する(高価)」のどちらかだ。

Vaultが向いていない人

これも書いておく必要がある。

Vault Community Editionはセットアップと運用が重い。TLS証明書の管理、HA構成(高可用性)、Seal/Unseal(起動のたびにVaultを「封印解除」するプロセス)、自動バックアップ——これらを個人や小チームが管理するのは、シークレット管理自体よりもインフラ管理が主業務になってしまう。

動的シークレットもTransit Engineも必要なく、「静的なAPIキーやパスワードを安全に管理したいだけ」なら、DopplerかInfisicalの方が圧倒的にコストパフォーマンスが良い。

向いている人: 動的シークレットが必要な大規模インフラ、厳しいコンプライアンス要件(FedRAMP・HIPAA等)、インフラエンジニアがいてVaultを運用できる組織

向いていない人: 個人開発者、5〜10名規模のスタートアップ、インフラ専任のいないチーム

料金実額比較表(solo / 5名 / 10名)

同じ「シークレット管理」でも月々いくらかかるかは、規模によって変わる。数字だけで比べると判断を誤るので、機能差も添える。

シナリオ1PasswordDopplerInfisical(クラウド)Infisical(セルフホスト)Vault Community
solo(1名)$2.99/月〜(年払)$0(無料枠)$0(Free永続)インフラコストのみインフラコストのみ
5名チーム$24.95/月(Teams Starter)$16/月(3名超の2名分×$8)$0(Free)〜$90/月(Pro)インフラコストのみインフラコストのみ
10名チーム$24.95/月(Teams Starter)$210/月(Team × 10名)$180/月(Pro × 10 identity)インフラコストのみインフラコストのみ

※ 料金は2026年7月時点の公式サイトより。為替変動・プラン改定で変わる可能性があるので、最新情報は各公式で確認してほしい。

いくつか補足。

1PasswordのTeams Starter(最大10名・$24.95/月固定)は、10名で使う場合の月額コストがDoppler TeamやInfisical Proの半分以下になる。ただし「Businessプランの機能(Service Accounts、高度なロール管理)は含まれない」という点は理解した上で選ぶ必要がある。

InfisicalのFreeは永続無料で主要機能が使える、かなり珍しい設計だ。ソロや小チームが「本格的に使えるシークレット管理ツールを無料で導入したい」場合の第一候補になる。

Doppler Developerは3名まで無料だが、Activityログが3日間しか保持されない。「事後に何があったかを追跡したい」用途ではTeamプランが必要になる。

ユースケース別 選択フロー

すでに1Passwordユーザー → まず op run を試す

パスワード管理と開発シークレットを同じVaultで管理できる。ツールを増やさずに済む。個人のローカル開発なら Individualプランで対応できる可能性がある。CI/CDの無人認証(Service Accounts)が必要になったらBusinessへの移行を検討する。

今すぐ無料でシークレット管理を始めたい → Infisical Free

永続無料で統合・CLI・SDKが全部使える。Freeプランで物足りなくなったらProへ、クラウドに預けたくなくなったらセルフホストへ、という移行パスも自然だ。DopplerのDeveloperプランも3名まで無料で始められるが、Activityログの制限が厳しいのでInfisicalを先に試すのが筋。

セルフホストが必要 → Infisical(Docker Compose版)

クラウドにシークレットを置けない要件がある場合、Infisicalのセルフホストが最も現実的な選択肢。Vault Community Editionより運用コストが低い。ただしインフラ管理の責任は自分たちになる。

HCP Vault Secrets からの移行 → Infisical かDoppler

動的シークレット(一時的な認証情報の自動発行)を使っていなかった場合、InfisicalかDopplerで静的シークレットの移行が最短。動的シークレットを使っていた場合は、Vault Community Editionを自前で立てるか、AWS Secrets Manager + IAMロール等の別の仕組みを検討することになる。

30名以上・SSO/RBAC/監査が必要 → Doppler TeamかInfisical Proか1Password Business

この規模になると3ツールとも似たような機能セットを持つ。シークレット管理UIの洗練度ではDoppler、暗号化モデルへのこだわりならInfisical、パスワード管理との統合なら1Password、という軸で判断することになる。

よくある質問

Q. 1Password IndividualプランでCLIの op run は使えますか?

公式ドキュメントに利用プランの制限についての明示がなく、コミュニティ上でIndividualプランユーザーが op run を使っている投稿が複数確認できた。対話的なサインインが前提のローカル開発用途では動作する可能性が高い。

ただし、Service Accounts(CI/CDパイプラインでの無人認証)はBusinessプラン以上が必要。仕様は変わる可能性があるので、使用前に公式ドキュメントで確認することを薦める。

Q. Infisical FreeとDoppler Developerはどちらから試すべきですか?

ソロや小チームなら、まずInfisical Freeを試すのがおすすめ。永続無料で統合・CLI・SDKが全部使えて、制限が比較的少ない。Dopplerは「Activityログが3日間しか保持されない」という制限が痛い場面がある。UIの洗練度はDopplerが上だが、機能の充実度はFree枠ではInfisicalが勝る。

Q. Vercel使いはシークレット管理ツールを使うべきですか?

Vercel OAuthインシデント(2026年4月)の教訓としては、「機密フラグを忘れずつける」という運用への依存リスクがあった。DopplerやInfisicalのVercel統合を使うと、環境変数の値をVercelのUI上に入力しない構成を取れる——デプロイ時にDoppler/Infisicalから直接引く形になる。Vercelを使っているなら、Doppler Developerの無料枠かInfisical Freeから試してみる価値は十分ある。

Q. 4ツールの暗号化モデルの違いは何ですか?

  • 1Password: サーバ側管理。Secret Key(マスターパスワード+デバイス固有キー)による二重暗号化が特徴
  • Doppler: サーバ側管理。SOC 2 Type II取得。Dopplerのサーバを信頼するモデル
  • Infisical: クライアント側E2E暗号化。シークレットはクライアントで暗号化されてからサーバに送信。サーバには平文が届かない
  • Vault Community: Transit Encryption Engine。Vault自体が暗号化のハブ。セキュリティはVaultの設定次第

E2Eを最重視するならInfisical。運用の楽さとセキュリティのバランスならDoppler。パスワード管理との統合なら1Password。大規模インフラなら必然的にVault、という選び分けになる。

Q. HCP Vault Secrets EOL後、データをどこに移せばいいですか?

動的シークレットを使っていなかった場合、Infisical(Free or セルフホスト)かDopplerへの移行が最短だ。静的シークレットのエクスポートには各ツールのAPIやCLIを使う。動的シークレット(一時的なDB認証情報の発行等)が必要な場合は、Vault Community Editionのセルフホストか、AWS Secrets Manager + Lambda rotationのような別アーキテクチャを検討する必要がある。EOL後のデータエクスポート期間については必ずHashiCorp公式アナウンスを確認してほしい。

Q. Claude Codeと組み合わせて使うならどのツールが最適ですか?

1PasswordはMCPサーバー対応があり、Claude Codeとの連携が最もネイティブに近い。MCP経由でVaultからシークレットを引く構成については Claude Code × MCP でAPIキー・シークレットを統合管理する を参照。

Dopplerは doppler run -- <claude codeのコマンド> の形で環境変数を渡せる。InfisicalもCLI経由で同様の使い方ができる。どのツールも「CLIから環境変数として注入する」形での連携は問題なくできる。

関連記事

AI Agent 時代のシークレット管理設計 — Vault・SSO・MCP の3層アーキテクチャ
AI Agent 時代のシークレット管理設計 — Vault・SSO・MCP の3層アーキテクチャAIエージェントが増えると秘密鍵の管理が破綻する。開発者個人・Agent・CI環境の3層に分けて設計する方法と、1Password/Vault/Doppler/AWS Secrets Managerのツール選定マトリクス、MCP×Vaultパターン、SSO+Token Lifecycle設計、監査ログ、鍵流出パターン3つを網羅した設計論。読む →
1Password CLI × Claude Code で .env を Vault化する完全ガイド — op run・シェル統合・MCP の3パターン
1Password CLI × Claude Code で .env を Vault化する完全ガイド — op run・シェル統合・MCP の3パターン.envファイルの平文管理から脱却するための実践ガイド。1Password CLIを使ったop runによる実行時注入・fish/zshシェル統合・MCPサーバー経由の3パターンを解説。Claude Code SubAgentsとの組み合わせ、Doppler/Infisicalとの比較まで網羅。読む →
1Password + GitHub Actions + Claude Code — CI/CDパイプラインのシークレット漏洩を完全に防ぐ実践ガイド 2026
1Password + GitHub Actions + Claude Code — CI/CDパイプラインのシークレット漏洩を完全に防ぐ実践ガイド 2026CVSS 9.4のClaude Code GitHub Action脆弱性(2026年5月)を起点に、1Password load-secrets-actionとAgents Rule of Twoを使ったCI/CDシークレット漏洩対策の実装ガイド。読む →
Claude Code × MCP で APIキー・シークレットを統合管理する — 1Password / GitHub Secrets / Vault の3パターン実装
Claude Code × MCP で APIキー・シークレットを統合管理する — 1Password / GitHub Secrets / Vault の3パターン実装Claude Code環境でシークレットをMCPで統合管理する3パターンを実装レベルで解説。1Password op://URI連携、GitHub Codespaces・Actions連携、HashiCorp Vault dynamic secrets。mcp.json設定例とセキュリティリスク評価付き。読む →
1PasswordがAIエージェントの「鍵管理」に本気を出した — MCP対応・SDK連携を開発者目線で解説
1PasswordがAIエージェントの「鍵管理」に本気を出した — MCP対応・SDK連携を開発者目線で解説AIエージェントがAPIキーを扱う時代の鍵管理を1Passwordで解決する方法を解説(2026年Q2更新版)。Agentic AI Security機能・MCPサーバー対応・SDK連携・Service Accounts・SCAMベンチマーク・最小権限/JIT/監査ログをエンジニア目線で整理。Bitwardenとの機能・料金比較、よくある質問付き。読む →
Claude Code × Vercel デプロイ自動化 — git push から本番反映まで AI に任せる
Claude Code × Vercel デプロイ自動化 — git push から本番反映まで AI に任せるClaude Code と Vercel CLI を組み合わせて、フロントエンドのデプロイフローをAIが自律実行する実践ガイド。Vercel CLI直接実行・GitHub Actions 3層構成・Preview Deployの自動レビュー・環境変数管理・ロールバック設計まで網羅。読む →

まとめ

4ツールを比較してきた。個人目線で結論を言うと、こうなる。

すでに1Passwordを使っているなら、op run の設定を試してほしい。パスワード管理と開発シークレットを一元化できる。CI/CDまで含めて本格化したいならBusinessプランへの移行を検討する価値がある。ツールを増やさなくていい、というのは思っている以上に楽だ。

Dopplerは「今日から手軽に使いたい」人向けの筆頭。3名まで無料、Vercel/AWS/GitHub Actionsとの統合が充実、UIが使いやすい。ただしActivityログ3日制限と、セルフホスト不可は理解した上で使う。

Infisical Freeは「無料で長く使える」「クラウドに預けたくない」どちらにも対応できる。HCP Vault Secrets EOL難民の受け皿としても、Infisicalのセルフホストは現実的な選択肢になる。

HashiCorp Vault Communityは「動的シークレットが必要」「エアギャップ環境」「大規模インフラ」という条件が揃ったチームのものだ。個人や小チームが選ぶ合理的な理由はほぼない。

.envに平文でAPIキーを書く運用は、シークレット専用ツールの無料枠が充実している今では、リスクに見合わない選択になってきている。今日から使える無料ツールがある以上、先延ばしにする理由はそんなにない。

1password.partnerlinks.io
1Password(#PR)— シークレット管理と認証を1か所に統合する Individual $2.99/月〜。op run で.envなしのシークレット注入が可能。Teams Starter(最大10名 $24.95/月固定)、Business(Service Accounts対応)。14日間無料トライアルあり(Teams以上)。

この記事の情報は2026年7月時点のものです。料金・機能・プラン設計は変わる可能性があります。最新情報は各公式サイトをご確認ください。

← 記事一覧に戻る