AIエージェントに認証情報を渡さない|1Password Environments MCP入門
「AIに.envを丸ごと見せて大丈夫だろうか」「APIキーをプロンプトに貼り付けて平気なのか」——AIエージェントに仕事を任せ始めた人が、最初にぶつかる不安です。
結論から言うと、これからは「AIに認証情報を渡す」のではなく、「AIに認証情報を見せずに使わせる」設計へ変わります。その具体策の1つが、1Password Environments MCPです。
株式会社Fyveは、常時起動のMac mini上で複数のAIエージェントを無人で動かしています。その現場で私が実際にどう秘密情報を守っているかを踏まえて、この仕組みを実務目線で解説します。
1Password Environments MCPとは|秘密をモデルの文脈に出さない仕組み
1Password Environments(ベータ)は、APIキーやプロジェクトの秘密情報を1Passwordにまとめて保管し、必要なときだけコードへ読み込ませる機能です。そのMCPサーバー版が、AIコーディングエージェント(Codex や Claude Code など)から安全に秘密情報を扱えるようにするものです。
MCP(Model Context Protocol)は、AIと外部ツールをつなぐ共通規格のことです。ここに1Passwordが「秘密情報の受け渡し役」として入ることで、エージェントは鍵の中身を見ないまま作業できるようになります。
ポイントは3つです。
- ジャストインタイム(just-in-time):秘密情報は使う瞬間だけ、そのタスクに絞って渡される
- モデルの文脈に値を出さない:MCPサーバーは鍵の「名前」は扱えても、生の値をAIの会話(コンテキストウィンドウ)へは流さない
- 実行時に直接注入:値はプロセスのメモリ上にだけ存在し、必要な間だけ使われて破棄される
実際、1PasswordはOpenAI Codex向けの Environments MCP Server を2026年5月20日に発表しており(BusinessWire・SiliconANGLE)、Anthropic側も1Passwordを Claude Code・Cowork・ブラウザ拡張へ統合していく方針を示しています。特定のツールに閉じた話ではなく、AIエージェント全体の「認証情報の渡し方」が変わろうとしている、という捉え方が正確です。
なぜ「AIに認証情報を直接渡す」のが危険なのか
これまでの一般的なやり方は、.envファイルに鍵を書き、それをそのままエージェントの作業環境に置く、あるいはプロンプトに貼り付ける、というものでした。手軽ですが、秘密情報が「あちこちに残る」構造的な弱さがあります。
- 秘密情報がAIとの会話履歴(文脈)に混入し、ログや保存データに残る
.envファイルがディスクや端末に置きっぱなしになる- 1つの鍵に権限が集中し、AIが誤動作したときの被害範囲が読めない
- プロンプトインジェクション(外部から仕込まれた指示)で、鍵が抜き出される経路が生まれる
1PasswordのCTOは「持続する認証情報は、すでに侵害されているのと同じ(A credential that persists is already compromised)」と表現しています。渡した瞬間に、どこに残るか制御できなくなる——これが「直接渡す」ことの本質的なリスクです。
特に、AIエージェントを無人で回し始めると、この弱さが効いてきます。人が横で見ていれば「その鍵は使わないで」と止められますが、深夜に自動で走るエージェントには止め役がいません。渡す時点で権限を絞っておかないと、想定外の操作を後から取り消せないのです。
既存の秘密情報管理と何が違うのか
「秘密情報をAIに見せない」という発想自体は、いくつかの方法で追われてきました。それぞれ守備範囲が違うので、整理しておきます。
- .envファイル:最も手軽ですが、鍵が平文でディスクに残り、作業環境に置かれた時点でエージェントから読める状態になります
- 各AIツール内蔵の環境変数(vault):Claude Managed Agents などが備える仕組みで、そのツールの中では機密を隠せますが、ツールをまたいだ共通の管理にはなりません
- 1Password Environments MCP:秘密情報の保管を1Password側に集約し、CodexでもClaude Codeでも同じ鍵を「名前」だけで扱わせる。ツール横断で「値を見せずに使わせる」層になります
どれが正解というより、どこまでの範囲を1つの仕組みで守りたいかで選び方が変わります。AIツール内蔵の環境変数の考え方については、こちらで詳しく解説しています。
仕組み|「見せずに使わせる」の中身
Environments MCPの発想は、鍵の置き場所と使わせ方を分けることにあります。秘密情報の実体は1Passwordの中にとどめ、AIエージェントには「どの変数を使うか」という名前の情報だけを扱わせます。
そして実行の瞬間だけ、1Passwordが必要な値をプロセスへ注入します。値はコード・ターミナル・モデルの文脈のいずれにも現れず、認証はアクセスのたびに求められます。従来の「.envを共有する」から「実行時に必要な分だけ供給する」への転換です。

この「最小権限で、必要なときだけ、文脈に残さない」という考え方自体は新しくありません。私はこれを、仕組みが整う前から手作業でやってきました。
私はどうやって秘密情報を守っているか(実運用の裏打ち)
私が運用しているMac mini(社内では「Smith」と呼んでいます)は、SEO記事の下書き投函やSNS投稿の下書き作成を、毎日無人でこなす自動化エージェントです。ここに法人の鍵をすべて渡すことは、意図的に避けています。
- 用途ごとに鍵を分ける:記事CMSの鍵は「下書きの投函」と「既存記事の読み取り」だけに絞り、公開・編集・削除は構造的にできないようにしている
- まるごとコピーしない:SNS投稿用の鍵も、法人の
.envを丸ごと置くのではなく、必要な数点だけを抜き出した専用ファイルにしている - 接続先を3層に分ける:「絶対に触らせない(決済・法人メール・顧客データ)」「下書きまでは任せ、公開は人間」「完全に任せてよい(ローカル操作・公開情報のリサーチ)」の3段階で線引きしている
この設計のおかげで、仮にエージェントが誤動作しても、公開面や決済には手が届きません。「完璧な要塞を作る」より「被害範囲を自分が把握できる状態にする」ほうを優先しています。
実際、記事CMSの鍵を絞る際には、投函と読み取りだけを許可し、既存記事の編集・削除は権限そのものを外しました。試してみると、編集や削除の操作はそもそもエラーで弾かれます。「うっかり公開済み記事を書き換える」経路が、運用ルールではなく仕組みとして塞がっている状態です。人間の注意力に頼らず、できないことは最初からできないようにしておく——これが無人運用を安心して回すコツだと感じています。

1Password Environments MCPは、私が手作業でやってきたこの「最小権限+文脈に残さない」を、鍵の保管庫のレベルで仕組みとして実現してくれます。手で絞るには限界があるので、この方向にツールが進化するのは実務者として歓迎です。
鍵の管理をもう一段掘り下げたい方は、こちらも参考にしてください。
1Password Environments MCPの始め方(ベータ)
ベータ機能のため対応範囲は変わり得ますが、基本の流れはシンプルです。
- 1PasswordでEnvironmentを作り、そこにAPIキーなどの秘密情報を登録する
- Environments MCPサーバーを、CodexなどのMCP対応クライアントに接続する
- エージェントには変数の「名前」だけを扱わせ、実行時に1Passwordが値を注入する
いきなり全プロジェクトに広げず、まずは1つのプロジェクト・1つの鍵で試すのが安全です。既存の秘密情報管理ツールと比べて自分に合うかを見極めたい場合は、比較の観点をまとめた記事も用意しています。
小さな会社・1人事業が今から準備できること
ツールの導入以前に、考え方を先に整えておくと移行がスムーズです。ベータ機能を待たなくても、今日からできることがあります。
- AIに鍵を渡す前に「このエージェントに本当に全権が必要か」を必ず問う
- 用途ごとに鍵を分け、読み取り専用・下書き専用など最小権限で発行する
.envを丸ごと渡さず、必要な数点だけを切り出す- 公開・決済・顧客データに触る操作は、自動化せず人間の手元に残す
権限を層で分けて設計する考え方は、こちらでも詳しく解説しています。
よくある疑問
1Password Environments MCPは無料で使えますか
Environments 自体は1Passwordの機能で、MCPサーバー版はベータとして提供されています。料金や対応範囲はベータ期間中に変わり得るため、最新の提供状況は1Password公式の情報で確認してください。まずは既存の契約プランで試せる範囲から始めるのが安全です。
Claude Codeでも使えますか
公表時点で Environments MCP Server は OpenAI Codex 向けに先行しています。ただしAnthropicも1Passwordを Claude Code・Cowork・ブラウザ拡張へ統合する方針を示しており、AIコーディングエージェント全体に広がる流れです。特定ツールに縛られない「値を見せない」考え方として捉えておくと、どのツールを使う場合でも応用できます。
非エンジニアでも準備できることはありますか
あります。ツール導入以前に、「AIに渡す鍵は用途ごとに分ける」「読み取り専用・下書き専用など弱い権限で発行する」「公開や決済は自動化しない」の3つを決めておくだけで、事故の被害範囲は大きく変わります。仕組みが整うのを待たずに、今日から運用ルールとして始められます。
まとめ|「渡す」から「見せずに使わせる」へ
AIエージェントに仕事を任せる時代のセキュリティは、鍵をどう強く隠すかよりも、そもそもAIに鍵の中身を見せない設計に向かっています。1Password Environments MCPは、その転換を保管庫のレベルで支える仕組みです。
私自身は、常時起動のエージェントに用途を絞った鍵しか渡さず、公開面は人間の手元に残す運用を続けてきました。株式会社Fyveは、こうした「任せる範囲を自分で把握できる」自動化の設計を、これからも実務目線で発信していきます。
AIを使う会社と、使わない会社。
その差は、開き始めています。
ここ数年でAIは急速に進化し、正しく導入できている企業とそうでない企業とでは、業務効率や人件費に大きな差が生まれ始めています。「AI導入に興味はあるが、実際に何ができて、どこから手をつければいいか分からない」——そんな方は、まずこの無料プレゼントに目を通してみてください。
