「AIエージェントに認証情報を渡してはならない」 1PasswordがOpenAIと協業:シークレットを保護するためのMCPサーバを提供
1PasswordはOpenAIと協業し、コーディングエージェント「Codex」向けに「1Password Environments MCP Server」を提供開始した。Codexがシークレットを保持せずに、必要なアクセス権のみを得られる仕組みを実現する。
1Passwordは2026年5月20日(米国時間)、OpenAIのコーディングエージェント「Codex」向けに「1Password Environments MCP Server」を提供開始した。
AIコーディングエージェントがデータベースやAPI、デプロイパイプラインを操作するには認証情報(シークレット)が必要となる。しかし、現状ではこうした認証情報は.envファイルやスクリプト、リポジトリにハードコーディングされるケースも多い。容易に情報が流出するリスクがあるだけでなく、ガバナンスや監査の面でも課題となっている。
「1Password Environments MCP Server for Codex」は、1PasswordをCodexの「信頼できるアクセスレイヤー」として位置付けるものだ。認証情報はタスクごとに「ジャストインタイム」で発行され、用途に応じて最小限のスコープに限定される。同時に、それらの値はAIモデルのコンテキストウィンドウの外側に保たれる。
開発者は開発、デプロイに必要なアクセス権を得られる一方で、シークレットは1Password側から移動しない。
シークレットをプロンプトやコード、モデルのコンテキストから排除すべき理由
1Passwordは「AIエージェントのコンテキストに配置された認証情報は漏えいリスクがある」と指摘する。ログへの記録、キャッシュ、セッションをまたいだ再利用、AIの想定外の出力を通じて外部に露出する可能性があるためだ。
安全なアーキテクチャでは、コーディングエージェントを「Vault(保管庫)」としてではなく、「利用主体(テナント)」として扱う必要がある。エージェントは業務を遂行するための安全なアクセス権を得るが、シークレットそのものの所有権は持たない。
1Password Environmentsはこの原則に基づいて構築されている。チーム間で.envファイルを共有したり、認証情報の値をハードコーディングしたりするのではなく、一元化された共有環境から作業を進める。シークレットはアプリケーションの実行時にのみプロセスに注入され、コードやターミナル、モデルのコンテキストに値が現れることはないという。
このセキュアアクセスモデルは、1Passwordの根幹を支えるVault技術とセキュリティアーキテクチャをベースにしている。シークレットはエンドツーエンドで暗号化され、中央管理される。アクセスはカスタム権限によって認可されたユーザーやグループのみに厳格に制限される。
コーディングエージェントが開発ワークフローでより主導的な役割を担うほど、このアーキテクチャの重要性は増すという。
「ローカルファイルやプロンプトにコピーされた認証情報、リポジトリにハードコーディングされた認証情報は、常にリスクにさらされている。1Password Environmentsは開発スピードとセキュリティをトレードオフにしないワークフローを実現する手段を提供するものだ」(1Password)
ローカルMCPサーバを介してCodexと接続
ローカル環境で動作するMCP(Model Context Protocol)サーバを用いてCodexと1Password Environmentsを接続する。このMCPサーバはパスワードマネジャーおよび開発者向けツールにパッケージ化されており、1Passwordの法人向けと個人向けの両アカウントで利用できる。
Codex向けの1Password MCPサーバにおいて最も重要なのは、MCPサーバは、Codexがシークレットの値を一切目にすることなくシークレットに対する操作を実行できるよう設計されている点だ。
開発者がCodexに環境構成を依頼した場合、バックエンドでは以下のワークフローが実行される。
- Codexでのタスク開始
- 開発者がCodexにアプリケーションの作成や必要な環境の構築を依頼する
- Codexが1Password MCPサーバに接続
- ローカルMCPサーバ接続を介し、Codexは1Password MCPが提示する指示から利用可能なアクションを発見・実行する
- 1Password側でのリクエスト検証
- MCPサーバが1Passwordデスクトップアプリと通信。デスクトップアプリ側がID管理、認可、セキュアアクセスを処理する
- ユーザーによる明示的なアクセス承認
- 全てのやりとりで、Codexが処理を進める前に1Passwordのユーザー認証プロンプトによる明示的な承認が必要となる
- Codexによる環境の作成、管理
- Codexは環境の構築、変数名の一覧表示と管理、構成の準備を、生のシークレットにアクセスすることなく実行する
- 実行時におけるシークレットの利用
- アプリケーションは1Passwordのシークレットを参照して動作する。認証情報がプロンプトやローカルファイル、リポジトリにコピーされることはない
1Passwordがアプリケーション実行時に必要な環境変数を直接プロセスに注入する。値は認可されたプロセスのメモリ内にのみ存在し、プロセスが必要とする期間だけ保持される。
Codexによる環境構築やシークレット移行にも対応
1Password EnvironmentsとCodexの連携により、開発者は新規プロジェクトを1Password管理下の環境で開始でき、.envファイルの作成や共有が不要になる。既存プロジェクトにおいても、Codexを用いてリポジトリ内の平文シークレットをスキャンし、1Passwordへ安全に移行した上で、コード内の値を参照に置き換えることが可能だ。
アプリケーションの実行環境についても、作成や管理をCodexに委ねることで、基盤となるシークレットを1Password内に保持したまま適切な構成でコードを実行できる。ローカル環境をベースラインとして活用し、ステージング環境や本番環境へ迅速に拡張することも容易だ。
Codexと1Passwordがやりとりする際は、常に明示的なユーザー承認が求められる。これにより、開発者は利便性を享受しつつ、全てのアクセスを完全に制御し、ガバナンスを維持できる。
この連携機能は、1PasswordとOpenAIの双方の顧客で、1Passwordのパスワードマネジャーおよび開発者向けツールにアクセスできる全てのユーザーが利用できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ChatGPTに「入力してはいけない情報」5選――NGリストとその理由
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。
「パスキー」知名度は8割だが理解は限定的 ウェルスナビ調査で浮かぶ課題
相次ぐ証券口座乗っ取りで6割超がセキュリティへの意識が高まっている。
生成AIは幻滅期、AIエージェントは「過度な期待」のピーク ガートナー「未来志向型インフラテクノロジーのハイプ・サイクル」
ガートナージャパンは「2025年の日本における未来志向型インフラテクノロジーのハイプ・サイクル」を発表した。未来志向型と捉えられる技術やトレンドとなっている35のキーワードを取り上げた。
ホントに役立つスキルを作るには? AnthropicがAIエージェントで使うスキルの構築ガイドを公開
何らかのワークフローや定型処理の手順、それに必要な情報をAIエージェントに持たせる「スキル」の構築方法について、Anthropicが公式ガイドを公開した。実際に役に立つスキルを作りたいのなら、このガイドがその第一歩になるかもしれませんよ。