>
>
公開日
2026年7月16日(現地時間)、パスワード管理ツール「1Password」を提供するAgileBits社は、Anthropic社のAI「Claude」がユーザーのパスワードを一切見ることなくWebサイトへのログインを実行できる連携機能「1Password for Claude」を発表しました。あわせて、AIエージェントがブラウザを操作している間、保管庫(Vault)を自動的にロックダウンする「Agentic Mode」も導入されています。
「AIにパスワードを扱わせる」と聞くと、情シスとしてはまず身構えるテーマです。しかし本機能は、むしろこれまで放置されがちだった「従業員がAIチャットにパスワードを貼り付ける」「エージェントに認証情報を平文で渡す」という危険な運用を、構造的に排除するための仕組みとして設計されています。
本記事では、公式発表と一次情報をもとに、1Password for Claudeの仕組み・利用条件・料金を整理したうえで、情シスがどの観点でこのニュースを受け止め、自社の統制にどう活かすべきかを解説します。
Claudeそのものの概要や企業利用の考え方は「【2026最新】Claudeとは?日本語精度と安全な企業活用法」もあわせてご覧ください。
1Password for Claudeとは
1Password for Claudeは、ブラウザ操作型のAIエージェント「Claude in Chrome」が、ログインやワンタイムパスコード(TOTP)を必要とするWebタスクを完了できるようにする連携機能です。最大の特徴は、認証情報(パスワード・ワンタイムコード)がAIモデルにもAnthropic社のシステムにも一切渡らない点にあります。
1Passwordはこれを「ゼロエクスポージャー(zero-exposure)アーキテクチャ」と呼んでいます。秘密情報の管理主体はあくまで1Passwordのまま変わらず、Claudeに付与されるのは「そのタスクの実行中に限定されたアクセス権」のみです。
発表の背景:AIエージェントは「新しいアイデンティティ」
背景にあるのは、AIの役割が「考える支援」から「本人に代わって操作する主体」へ移行しているという認識です。エージェントがブラウザ上でクリック・購入・登録情報の更新まで行うようになると、必ずログイン画面という壁に突き当たります。
これまでユーザーが取れる選択肢は、次の2つしかありませんでした。
エージェントにパスワードを渡す(プロンプトに貼り付ける等)→ モデルのコンテキストやログに認証情報が残るリスク
ログインだけ人間が手動で行う → 自動化が分断され、エージェント活用のメリットが半減
1Password for Claudeは、この二者択一を解消する「第三の選択肢」として設計されています。1PasswordのCTOであるNancy Wang氏は、「人間だけでなくエージェント専用に設計された新しいセキュリティモデルが必要」であり、「エージェントに秘密を渡すのではなく、秘密を見せずに使わせる許可をユーザーが与える」ことがエージェントへの信頼の出発点だと述べています。
情シス視点で重要なのは、AIエージェントが人間・マシンに次ぐ「第三のアイデンティティクラス」として、IDガバナンスの対象になり始めたという点です。この潮流は、Anthropic自身がEnterprise向けに進めるMCP認可統制とも軌を一にしています(詳細は「Claude Enterprise認証管理 完全ガイド」参照)。
仕組み:ゼロエクスポージャー設計の5ステップ
この仕組みのポイントは、「承認は人間、入力は1Password、Claudeは値を見ない」という役割分担にあります。 アクセス権はタスク単位で付与され、完了と同時に失効するため、永続的なアクセスは残りません。
1Password for Claudeによるログインは、以下のフローで実行されます。
Claudeが認証を要求:タスク実行中にログインが必要になると、Claudeが1Passwordにリクエストを送信します。
1Passwordがユーザーに提示:どの認証情報(Vaultアイテム)が、なぜ要求されているかをユーザーに表示します。ユーザーは承認・別のログイン情報の選択・拒否を選べます。
生体認証で承認:ユーザーがTouch ID等の生体認証(または1Passwordアカウントパスワード)で承認します。
1Passwordがページに直接注入:認証情報は、エージェントの視界の外にあるセキュアなチャネルを通じてWebページに直接オートフィルされます。Claudeが知り得るのは「どのログインを使ったか」だけで、パスワードやワンタイムコードの値はモデルのコンテキスト・メモリ・Anthropicのシステムのいずれにも入りません。
タスク終了とともにアクセス失効:アクセス権は現在のタスクにスコープされ、完了と同時に終了します。セッションをまたぐ永続的なアクセス(standing access)は残りません。
さらに事後の安全確認として、オートフィル後に秘密情報がページ上に露出していないかを1Passwordが検証し、送信に失敗した場合はフォームに入力された値を消去してからClaudeに制御を返す仕組みも備えています。
なお、現時点で連携対象となるのはログイン情報とワンタイムコードのみで、クレジットカードや個人情報(Identity)アイテムは対象外です(発表時点。1Passwordはローンチ後の対応拡大を予告しています)。
Agentic Modeとは:エージェントがブラウザを握ったときの防御線
Agentic Modeとは、AIエージェントがブラウザを制御している間、1Password拡張機能を自動的にロックダウンし、承認済み以外の認証情報への到達を遮断する防御機能です。 連携を設定していなくてもデフォルトで有効になるため、1Passwordを利用する全組織に関係します。
もう1つの発表が、この「Agentic Mode」です。こちらは連携機能というより、ブラウザ拡張機能側の防御機構であり、情シスとしてはむしろこちらの方が重要かもしれません。
想定されている脅威は、「AIエージェントがブラウザを操作している間、そのブラウザにインストールされた1Password拡張機能自体をエージェントが操作してしまう」リスクです。ガードレールがなければ、エージェントがオートフィル候補を経由して承認外のアカウントに触れる可能性が理論上残ります。
Agentic Modeは、対応するAIエージェントがブラウザの制御を取得した瞬間に、1Password拡張機能を自動的にロックダウンします。
拡張機能のインターフェースは非表示になる
インラインのオートフィル候補も表示されない
エージェントが使えるのは、現在のタスクに対して明示的に承認されたログインとワンタイムコードのみ
Vault内のその他のアイテムには一切到達できない
重要なのは、Agentic Modeが拡張機能レベルでデフォルト有効であり、1Password for Claudeの連携を設定していなくても、当該タスクで1Passwordを使わない場合でも機能する点です。また、Claude以外のAIエージェントにも対応するとされています。企業アカウントで業務用の認証情報を1Passwordで管理している従業員には、追加設定なしでこの保護が適用されます。
利用条件・料金:情シスが確認すべき前提
発表時点の提供はMacのみで、1Password・Claude双方のアプリと拡張機能の計4コンポーネントが必要です。企業のBusiness環境では、管理者が有効化しない限り従業員は利用を開始できません。
導入検討・問い合わせ対応の前提として、発表時点の提供条件を整理します。
提供環境
対応OS:Mac のみ(発表時点)
対象プラン:1Passwordのビジネス・ファミリー・個人(Individual)プラン
Claude側の要件:Pro / Max / Team / Enterprise プラン
必要なコンポーネント(4点すべて必要)
1Password デスクトップアプリ(Mac)
1Password ブラウザ拡張機能
Claude デスクトップアプリ
Claude in Chrome ブラウザ拡張機能
企業利用時の重要ポイント
1Password Businessアカウントでは、管理者が「agentic autofill(エージェントによるオートフィル)」を有効化しない限り、従業員は1Password for Claudeをセットアップできません。つまりデフォルトでは組織側にコントロールがあり、情シスが意図しないうちに従業員が勝手に使い始める構造にはなっていません。この管理者スイッチの存在は、統制設計上の大きな安心材料です。
料金(参考)
1Password自体の料金は、個人プランが月額3.99ドル、ファミリープランが月額5.99ドル、ビジネスプランが月額8.99ドル(いずれも年払い時・1ユーザーあたり)で、1Password for Claudeの利用に追加費用は発表されていません。日本円での目安や割安に導入する方法は「【2026年最新】1Passwordの料金プランと安く買う方法」で詳しく解説しています。
情シスはこのニュースをどう受け止めるべきか
ポイントは3つあります。①「AIにパスワードを貼る」危険な運用を代替手段つきで排除できること、②認可の単位が「アプリ×人」から「タスク×実行時」へ移る転換点であること、③ただし認証後のエージェントの行動リスクは残ることです。
観点1:「AIにパスワードを貼る」運用を構造的に潰せる
最も現実的なリスクは、高度な攻撃ではなく、従業員が善意でAIチャットに認証情報を貼り付けてしまうことです。プロンプトに入力されたパスワードは、モデルのコンテキストや会話履歴、場合によってはログに残り、漏洩経路の特定も困難になります。
1Password for Claudeのようなアーキテクチャが普及すれば、「AIに認証情報を直接渡す行為は不要かつ禁止」という社内ルールを、代替手段とセットで提示できます。禁止だけのルールは形骸化しますが、安全な迂回路を用意した禁止は機能します。生成AI利用ルールの整備がまだの場合は「AI利用ガイドラインの作り方」を参考にしてください。
観点2:認可の単位が「アプリ」から「タスク」へ
従来のSaaS統制は、SSOやRBACによる「誰がどのアプリにアクセスできるか」という静的な認可が中心でした(参考:「RBACとは?」)。一方、1Password for Claudeが示したのは、タスク単位・実行時(ランタイム)に付与され、完了とともに失効する動的な認可モデルです。
これはAIエージェント時代のアクセス管理の方向性を示すものであり、MCP経由のツール接続における認可統制(MCP 企業導入の完全ガイド)や、Claude Code利用時のAPIキー管理(Claude Code 企業利用の統制ガイド)とあわせて、「エージェントの認可設計」として一体で捉えるべきテーマです。
観点3:それでも残るリスクを見誤らない
ゼロエクスポージャー設計は「認証情報の漏洩」リスクを大きく下げますが、「認証後にエージェントが何をするか」のリスクは残ります。ログイン後のClaudeは正規セッションを持って操作を行うため、以下の点は引き続き情シスの検討事項です。
操作ミス・意図しない実行:購入や設定変更など、不可逆な操作を伴うタスクの委任範囲をどう定めるか
プロンプトインジェクション:エージェントが閲覧したWebページ上の悪意ある指示により、想定外の操作が誘発されるリスク
承認疲れ(approval fatigue):生体認証による都度承認は強力な統制ですが、承認が日常化すると内容を確認せず承認する行動が定着する懸念
接続先サービスの利用規約:自動化・エージェントによる操作を規約で制限しているサービスへの適用可否
情シスの実務アクション:導入判断と統制設計
導入判断の起点は「agentic autofillを有効化するか」ですが、その前段としてAI利用の可視化、その後にスコープ設計・ルール整備・継続監視が必要になります。 以下、自社での利用可否を判断するチェックポイントを実務の順序で5ステップに整理します。
1. 現状把握:そもそも誰がClaude in Chromeを使っているか
Agentic連携の統制は、AI利用の可視化が前提です。会社が把握していないAIツール・拡張機能の利用(シャドーAI)があれば、そちらの検知が先決です(参考:「シャドーAIとは?検知される仕組みと対策」「生成AI 利用状況 可視化ガイド」)。
2. ポリシー決定:agentic autofillを有効化するか
1Password Business利用企業であれば、判断の起点は管理コンソールの「agentic autofill」設定です。有効化する場合も、全社一斉ではなく、部門・ユースケースを限定したパイロットから始めるのが現実的です。
3. スコープ設計:どの認証情報をエージェントに使わせるか
個人の業務アカウントと、共有アカウント・特権アカウントではリスクが異なります。エージェント利用を許可するVault/アイテムの範囲を定義し、決済権限や管理者権限を持つアカウントは初期スコープから除外するのが無難です。
4. ルール整備:AI利用ガイドラインへの反映
「認証情報をAIに直接入力しない」「エージェントへの認可は1Password連携経由に限定する」「承認プロンプトの内容を確認してから承認する」といった項目を、既存のAI利用ガイドラインに追記します。
5. 継続監視:SaaS・AIツールの利用実態を可視化し続ける
エージェント連携は今後、Claude以外にも急速に広がります(AIエージェントの全体像は「AIエージェントとは?情シス向け完全ガイド」参照)。個別ツールの設定管理と並行して、組織全体で「どのSaaS・AIツールが、誰に、どう使われているか」を継続的に把握する基盤が不可欠です。
マネーフォワード AdminaのようなSaaS管理プラットフォームを活用すれば、組織内のSaaS利用状況やアカウントの棚卸しを自動化し、AIツールを含む新規サービスの利用をいち早く検知できます。エージェント時代のID・アクセス統制は、「見えていないものは統制できない」という原則から始まります。
よくある質問(FAQ)
Q. Claudeにパスワードが渡ることは本当にないのですか?
A. 1Passwordおよび Anthropicの公式ドキュメントによれば、パスワードとワンタイムコードはエージェントの視界の外のセキュアなチャネルでWebページに直接注入され、モデルのコンテキスト・メモリ・Anthropicのシステムには入りません。Claudeが知るのは「どのログインを使用したか」という事実のみです。
Q. Windows環境でも使えますか?
A. 発表時点ではMacのみの提供です。Windows対応の時期は公表されていません。
Q. 従業員が勝手に設定して使い始めるリスクはありますか?
A. 1Password Businessアカウントでは、管理者が「agentic autofill」を有効化しない限り従業員はセットアップできません。一方、個人契約の1Passwordを業務に流用しているケースは統制外となるため、シャドーIT・シャドーAIの検知とあわせた対応が必要です。
Q. Agentic Modeは1Password for Claudeを設定していなくても機能しますか?
A. はい。Agentic Modeは拡張機能レベルでデフォルト有効であり、連携未設定でも、対応するAIエージェントがブラウザを制御した時点で自動的にロックダウンします。
Q. ワンタイムパスワード(MFA)が必要なサイトでも使えますか?
A. 1PasswordにTOTP(ワンタイムコード)を保存している場合、パスワードと同様にエージェントに値を見せることなく入力が代行されます。
まとめ:エージェント認可の「型」が示された
1Password for Claudeは、単なる便利機能ではなく、AIエージェントに対する認可のリファレンスモデルとして重要な発表です。ポイントは次の3点に集約されます。
ゼロエクスポージャー:認証情報を「渡す」のではなく「見せずに使わせる」。秘密の管理主体は1Passwordのまま、アクセスはタスク単位で付与・失効する
デフォルトで守る:Agentic Modeにより、連携の有無にかかわらず、エージェントのブラウザ制御時にはVaultがロックダウンされる
組織側に主導権:Business環境では管理者の有効化が前提であり、情シスが統制の起点を握れる
一方で、認証情報の保護は解決しても、「認証後のエージェントの行動」「利用ツールの可視化」「全社的なAIガバナンス」は引き続き情シスの領域です。個別の連携機能の理解と並行して、SaaS・AIツール全体の利用状況を可視化し、統制の土台を整えることから始めましょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。









