Contents
管理者アカウントの登録手順
管理者はまず 1Password のビジネスプランを選択し、組織情報(会社名・ドメイン)を正確に入力します。これによりシングルサインオンや監査ログの設定が正しく行えるようになります。
- 公式サイトからプラン選択
- URL: https://1password.com/jp/product/teams-small-business-password-manager (2026 年時点で最新か要確認)
- 登録画面の流れ
- メールアドレスとパスワードを入力し、利用規約に同意。
- 組織名・会社ドメインを入力(例:
example.co.jp)。 - 「組織を作成」ボタンをクリックすると管理者ダッシュボードが表示されます。
※注意:2026 年版の UI 変更に伴い、項目名や配置が若干変わっている可能性があります。実際の画面で確認してください。
DXable マニュアルに沿ったメンバー招待フロー
DXable が提供する手順は 1Password の公式 UI とほぼ同一ですが、リンク有効期限や再送機能が明記されている点が便利です。以下の流れで招待を完了させます。
- People タブから「Invite People」
- 招待したいメールアドレスをカンマ区切りで入力し、ロール(Member / Admin)を選択。
- 「Send Invitation」をクリックすると、受取人へ招待メールが届きます。
リンクの確認:DXable マニュアル https://manual.dxable.com/1password/team-members-get-started-with-1password は 2026 年時点で最新か要チェック。
共有ボールトの作成とアクセス権限設定
チームやプロジェクトごとに 最小権限の原則 (Principle of Least Privilege) を徹底するため、共有ボルトを適切に命名・タグ付与し、ロールベースで権限を割り当てます。このセクションでは具体的な作成手順と権限設定方法を示します。
新規ボルトの作成と名前・タグ付与
ボルトは「プロジェクト名+用途」の形式で命名し、検索性向上のためにタグを必ず設定します。これにより監査時や日常的な運用で目的のアイテムが瞬時に見つかります。
- 作成手順
- ダッシュボード → Vaults タブ → Create Vault をクリック。
- 必要項目を入力(例)
| 項目 | 設定例 |
|---|---|
| 名前 | Marketing_2026_Q2 |
| 説明 | Q2 の広告アカウント情報 |
| タグ | marketing, Q2, ads |
- ポイント:名前とタグは作成時に必ず設定し、後から変更できるようにしておくと管理が楽になります。
権限のロールベース割り当て
1Password では Read‑Only / Editor / Admin の3段階で権限を付与できます。以下の手順で個別メンバーに適切なロールを設定しましょう。
- 作成したボルトを開き Manage Access をクリック。
- メンバーリストから対象ユーザーを選択し、ロールを選ぶ。
| ロール | 主な操作権限 |
|---|---|
| Read‑Only | アイテムの閲覧のみ(変更不可) |
| Editor | アイテムの追加・削除・更新が可能 |
| Admin | ボルト設定全般、メンバー招待・ロール変更が可能 |
- 変更は即時反映され、Access Log に履歴が残ります。
ベストプラクティス:デフォルトで Read‑Only を付与し、業務上必要になったタイミングで Editor に昇格させるとリスクを最小化できます。
パスワード・シークレットの保存と自動入力設定
パスワードだけでなく API キーや証明書など多様なシークレットを安全に管理し、ブラウザやモバイル端末で 自動入力 ができることが 1Password の大きな強みです。この章ではアイテム登録のベストプラクティスと、自動入力有効化手順を示します。
パスワード・APIキー・証明書などの登録方法
アイテム作成時は必須項目に加えて タグ と メモ を活用し、検索性と可視性を高めます。以下は代表的なカテゴリ別サンプルです。
- Password アイテム
|
1 2 3 4 5 6 |
タイトル: GitHub ユーザー名: alice@example.com パスワード: (ランダム生成, 32文字) URL: https://github.com タグ: ci, git, production |
- API Credential アイテム
| 項目 | 設定例 |
|---|---|
| タイトル | GitHub Token |
| ユーザー名 | ci-bot |
| シークレット | ghp_XXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| URL | https://api.github.com |
| タグ | ci, github, token |
-
証明書 (Secure Note)
-
PEM 形式のテキストを本文に貼り付け、File Attachment 機能で
.crt/.keyを添付。 - タグ例:
tls, prod, webserver
ポイント:必須項目は漏れなく入力し、タグは業務ドメイン別に統一すると後からの検索が容易です。
ブラウザ拡張とモバイルアプリでの自動入力有効化
1Password の自動入力は 公式拡張機能 と モバイルアプリ設定 の二段階で有効化します。以下の手順で全員が同様に利用できる環境を整えましょう。
ブラウザ(Chrome / Edge)
- 公式サイトから最新拡張機能をインストール
- URL: https://1password.com/downloads/ (2026 年版か要確認)
- 拡張アイコン → Settings → Auto‑Fill を ON にする。
- 必要に応じて Autofill on all sites か Only on trusted sites を選択。
モバイル(iOS / Android)
- App Store / Google Play から最新版の 1Password アプリをインストール。
- 設定画面 → Autofill → Enable Autofill を ON にし、キーボードや Safari/Chrome の自動入力先として登録。
注意:コマンド例やダウンロード URL は 2026 年時点の最新版か必ず確認してください。
1Password Secrets Automation の概要とチーム活用例
Secrets Automation は API 経由で Vault 内シークレットを取得できる機能です。CI/CD パイプラインに組み込むことで、環境変数ファイルや手動管理のリスクを排除できます。
基本概念とサービスアカウントの作成
- Vault 単位でシークレットが管理:読み取り専用トークンでアクセス権限を最小化。
-
サービスアカウント作成手順
-
ダッシュボード → Secrets Automation → Create Service Account を選択。
- 名前・説明を入力し、対象 Vault と Read‑Only 権限を付与。
- トークンが生成されたら OP_CONNECT_HOST と共に安全な場所 (例: CI のシークレットストア) に保存。
リンク確認:Secrets Automation の公式ドキュメント URL は https://developer.1password.com/docs/secrets-automation/ です。2026 年版か必ずご確認ください。
CI/CD パイプラインへの組み込み例
以下は GitHub Actions と Jenkins における実装サンプルです。CLI のインストール URL や コマンド構文 が古くなっている可能性があるため、利用前に公式リポジトリで最新版を取得してください。
GitHub Actions
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
name: Deploy on: push: branches: [ main ] jobs: build: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 # 1Password CLI のインストール(最新版取得を推奨) - name: Install 1Password CLI run: | curl -sS https://downloads.1password.com/linux/cli/latest/1password-cli-linux.tar.gz | tar xz sudo mv op /usr/local/bin/ # OP Connect にサインイン - name: Sign in to 1Password env: OP_CONNECT_HOST: ${{ secrets.OP_CONNECT_HOST }} OP_CONNECT_TOKEN: ${{ secrets.OP_CONNECT_TOKEN }} run: op signin --connect $OP_CONNECT_HOST $OP_CONNECT_TOKEN # シークレット取得 & 環境変数へ展開 - name: Fetch DB password id: secret run: | echo "DB_PASSWORD=$(op read \"op://Production/Database/password\")" >> $GITHUB_ENV # デプロイスクリプト実行 - name: Deploy application run: ./deploy.sh env: DATABASE_URL: postgres://user:${{ env.DB_PASSWORD }}@db.example.com/app |
Jenkins (Declarative Pipeline)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 |
pipeline { agent any stages { stage('Checkout') { steps { git 'https://github.com/example/repo.git' } } stage('Install 1Password CLI') { steps { sh ''' curl -sS https://downloads.1password.com/linux/cli/latest/1password-cli-linux.tar.gz | tar xz sudo mv op /usr/local/bin/ ''' } } stage('Fetch Secrets') { environment { OP_CONNECT_HOST = credentials('op_connect_host') OP_CONNECT_TOKEN = credentials('op_connect_token') } steps { sh ''' eval $(op signin --connect $OP_CONNECT_HOST $OP_CONNECT_TOKEN) DB_PASSWORD=$(op read "op://Production/Database/password") echo "DB_PASSWORD=$DB_PASSWORD" > .env ''' } } stage('Deploy') { steps { sh './deploy.sh' } } } } |
ベストプラクティス:サービスアカウントは Read‑Only に限定し、Vault ごとに必要最小限のシークレットだけを露出させます。
セキュリティ強化機能:Watchtower と Travel Mode の使い方
1Password が提供する自動脆弱性検知 (Watchtower) と出張時情報保護 (Travel Mode) は、日常運用と緊急時の両面で重要です。ここでは設定手順と活用シナリオを具体的に示します。
Watchtower で脆弱パスワードを検出しリマインダー設定
Watchtower は漏洩データベースやパスワード強度をリアルタイムで監視し、問題があれば ダッシュボード と メール通知 で警告します。
- ダッシュボード → Watchtower → Security Dashboard を開く。
- 「Compromised」や「Weak」の項目を確認し、対象アイテム右側の Set Reminder をクリック。
- リマインダー期限(例: 7 日後)と担当者(例:
security@example.com)を入力すると、期日までにパスワード変更が求められます。
ポイント:リマインダーは自動的に Audit Log に記録されるため、コンプライアンス証跡としても利用できます。
Travel Mode の有効化と出張時の安全な共有手順
Travel Mode はデバイス上の全ボルトを一時的にロックし、必要最低限の情報だけを残す機能です。紛失・盗難リスクが高まるシーンで有用です。
- アプリ左上メニュー → Travel Mode を選択。
- Enable ボタンを押すと全ボルトが暗号化され、一覧から非表示になります。
- 「Keep Accessible」チェックボックスに必要なアイテム(例: VPN 資格情報)だけを残す。
- 出張終了後は同メニューの Disable Travel Mode を実行し、ロックされたボルトが復元されます。
注意点:Travel Mode の状態は端末間で同期されません。デスクトップとモバイルそれぞれで有効化/無効化を行う必要があります。
運用・監査ベストプラクティスと導入 CTA
安全なパスワード共有は 技術 と 運用ルール の両輪が揃って初めて実現します。この章では監査ログ活用、ローテーションポリシー、そして導入を促す CTA(Call To Action)をご紹介します。
ログ監査・アクセス履歴の確認方法
管理者は 定期的に Audit Log をレビュー し、異常なアクセスや権限変更がないかチェックします。ISO/IEC 27001 や SOC 2 の要件にも合致する形です。
- ダッシュボード → Settings → Audit Log に移動。
- フィルタ条件を設定(例:
Event Type = Vault Access、期間=過去30日)。 - 必要に応じて Export CSV し、外部 SIEM ツールへ取り込むことで高度な分析が可能。
ポイント:異常イベントは即座に権限の見直しやパスワードリセットを実施するフローを社内手順書に記載しておくと迅速対応できます。
パスワードローテーションポリシーと共有ルール
- ローテーション周期:90 日以内で自動通知+承認フローを設定。
- 設定手順
- 管理画面 → Policies > Password Rotation を開く。
- 対象 Vault と周期 (90日) を指定し、Reminder にメールと Slack Webhook を登録。
-
ローテーション前に担当者が Approve ボタンをクリックすると、変更履歴が自動で記録されます。
-
共有ルール:デフォルトは Read‑Only とし、業務上必要になったタイミングで Editor に昇格させる。
ベストプラクティス:ローテーション対象外のシークレット(例: API キー)は別途 Secrets Automation で管理し、手動更新を減らす。
導入 CTA(Call To Action)
- 今すぐ管理者ダッシュボードにアクセス → 組織情報と SSO 設定を完了させましょう。
- DXable マニュアル を参照し、全メンバーへの招待リンクを送信。
- Watchtower のリマインダー と Travel Mode を有効化し、セキュリティ体制を即日強化。
これらのステップを 1 週間以内に実行すれば、2026 年度の内部監査や外部評価でも高い評価を得られます。
※本稿中の URL・コマンド例は執筆時点の情報です。2026 年現在の最新バージョンかどうか、必ず公式サイトでご確認ください。