「AIエージェントに認証情報を渡してはならない」 1PasswordがOpenAIと協業：シークレットを保護するためのMCPサーバを提供

1PasswordはOpenAIと協業し、コーディングエージェント「Codex」向けに「1Password Environments MCP Server」を提供開始した。Codexがシークレットを保持せずに、必要なアクセス権のみを得られる仕組みを実現する。

[＠IT]

　1Passwordは2026年5月20日（米国時間）、OpenAIのコーディングエージェント「Codex」向けに「1Password Environments MCP Server」を提供開始した。

　AIコーディングエージェントがデータベースやAPI、デプロイパイプラインを操作するには認証情報（シークレット）が必要となる。しかし、現状ではこうした認証情報は.envファイルやスクリプト、リポジトリにハードコーディングされるケースも多い。容易に情報が流出するリスクがあるだけでなく、ガバナンスや監査の面でも課題となっている。

　「1Password Environments MCP Server for Codex」は、1PasswordをCodexの「信頼できるアクセスレイヤー」として位置付けるものだ。認証情報はタスクごとに「ジャストインタイム」で発行され、用途に応じて最小限のスコープに限定される。同時に、それらの値はAIモデルのコンテキストウィンドウの外側に保たれる。

　開発者は開発、デプロイに必要なアクセス権を得られる一方で、シークレットは1Password側から移動しない。

シークレットをプロンプトやコード、モデルのコンテキストから排除すべき理由

　1Passwordは「AIエージェントのコンテキストに配置された認証情報は漏えいリスクがある」と指摘する。ログへの記録、キャッシュ、セッションをまたいだ再利用、AIの想定外の出力を通じて外部に露出する可能性があるためだ。

　安全なアーキテクチャでは、コーディングエージェントを「Vault（保管庫）」としてではなく、「利用主体（テナント）」として扱う必要がある。エージェントは業務を遂行するための安全なアクセス権を得るが、シークレットそのものの所有権は持たない。

　1Password Environmentsはこの原則に基づいて構築されている。チーム間で.envファイルを共有したり、認証情報の値をハードコーディングしたりするのではなく、一元化された共有環境から作業を進める。シークレットはアプリケーションの実行時にのみプロセスに注入され、コードやターミナル、モデルのコンテキストに値が現れることはないという。

1Password Environmentsで共有環境のシークレットを一元管理する画面（提供：1Password）

　このセキュアアクセスモデルは、1Passwordの根幹を支えるVault技術とセキュリティアーキテクチャをベースにしている。シークレットはエンドツーエンドで暗号化され、中央管理される。アクセスはカスタム権限によって認可されたユーザーやグループのみに厳格に制限される。

　コーディングエージェントが開発ワークフローでより主導的な役割を担うほど、このアーキテクチャの重要性は増すという。

　「ローカルファイルやプロンプトにコピーされた認証情報、リポジトリにハードコーディングされた認証情報は、常にリスクにさらされている。1Password Environmentsは開発スピードとセキュリティをトレードオフにしないワークフローを実現する手段を提供するものだ」（1Password）

ローカルMCPサーバを介してCodexと接続

　ローカル環境で動作するMCP（Model Context Protocol）サーバを用いてCodexと1Password Environmentsを接続する。このMCPサーバはパスワードマネジャーおよび開発者向けツールにパッケージ化されており、1Passwordの法人向けと個人向けの両アカウントで利用できる。

　Codex向けの1Password MCPサーバにおいて最も重要なのは、MCPサーバは、Codexがシークレットの値を一切目にすることなくシークレットに対する操作を実行できるよう設計されている点だ。

Codexと1Password MCP Serverを介したシークレット参照ワークフロー（提供：1Password）

　開発者がCodexに環境構成を依頼した場合、バックエンドでは以下のワークフローが実行される。

1. Codexでのタスク開始
   • 開発者がCodexにアプリケーションの作成や必要な環境の構築を依頼する
2. Codexが1Password MCPサーバに接続
   • ローカルMCPサーバ接続を介し、Codexは1Password MCPが提示する指示から利用可能なアクションを発見・実行する
3. 1Password側でのリクエスト検証
   • MCPサーバが1Passwordデスクトップアプリと通信。デスクトップアプリ側がID管理、認可、セキュアアクセスを処理する
4. ユーザーによる明示的なアクセス承認
   • 全てのやりとりで、Codexが処理を進める前に1Passwordのユーザー認証プロンプトによる明示的な承認が必要となる
5. Codexによる環境の作成、管理
   • Codexは環境の構築、変数名の一覧表示と管理、構成の準備を、生のシークレットにアクセスすることなく実行する
6. 実行時におけるシークレットの利用
   • アプリケーションは1Passwordのシークレットを参照して動作する。認証情報がプロンプトやローカルファイル、リポジトリにコピーされることはない

　1Passwordがアプリケーション実行時に必要な環境変数を直接プロセスに注入する。値は認可されたプロセスのメモリ内にのみ存在し、プロセスが必要とする期間だけ保持される。

Codexによる環境構築やシークレット移行にも対応

　1Password EnvironmentsとCodexの連携により、開発者は新規プロジェクトを1Password管理下の環境で開始でき、.envファイルの作成や共有が不要になる。既存プロジェクトにおいても、Codexを用いてリポジトリ内の平文シークレットをスキャンし、1Passwordへ安全に移行した上で、コード内の値を参照に置き換えることが可能だ。

　アプリケーションの実行環境についても、作成や管理をCodexに委ねることで、基盤となるシークレットを1Password内に保持したまま適切な構成でコードを実行できる。ローカル環境をベースラインとして活用し、ステージング環境や本番環境へ迅速に拡張することも容易だ。

　Codexと1Passwordがやりとりする際は、常に明示的なユーザー承認が求められる。これにより、開発者は利便性を享受しつつ、全てのアクセスを完全に制御し、ガバナンスを維持できる。

　この連携機能は、1PasswordとOpenAIの双方の顧客で、1Passwordのパスワードマネジャーおよび開発者向けツールにアクセスできる全てのユーザーが利用できる。