はじめに
先日、非エンジニアの友人に「パスワードってどう管理してる?」と聞いたら、「iPhoneのメモに書いてる」と言われました。
メモアプリに、パスワードが、ずらっと。
思わず「それはまずいよ」と言いかけて、でも少し立ち止まりました。彼が特別ずぼらなわけじゃない。パスワード管理の正解を誰も教えてくれないまま、なんとなく手が届くところに置いてきた結果なのだと思います。メモアプリは同期されてクラウドに上がり、デバイスを盗まれればすべて見られる。そのリスクを知らずに使っている人は、実は珍しくないのです。
エンジニアならそんなことはしない——と思いきや、「ブラウザの保存機能だけで済ませている」というケースも現場ではよく聞く。気持ちはわかるんですが、Chrome や Safari の自動保存には意外と落とし穴が多くて。
一番引っかかるのが モバイルアプリとの相性の悪さ。Chrome に保存したパスワードは、iPhone のアプリのログイン画面には自動入力されないことが多いんです。Chrome と Safari をまたいで使おうとすると同期されていなかったり、なかなか届かなかったり。他にも気になる点がちらほら:
- 対応範囲が狭い:SSH 鍵・API キー・CLI の認証情報など、ブラウザ外のログイン情報は管理できない
- エコシステムに縛られる:Google アカウントや Apple ID が侵害されると、保存したパスワードもまとめて漏洩するリスクがある
- チームで共有できない:開発チームの共有アカウントをブラウザ保存で管理するのは実質不可能
- パスワードの健全性チェックがない:使い回しや弱いパスワードを検知する機能がない
「Slack のリマインダーに貼っている」も含めて、管理していないのではなく、ちゃんとした管理ツールを選ぶ手間を後回しにしている だけなんですよね。
2024年の調査では、1人のエンジニアが業務で扱うサービスの平均アカウント数は 80件以上だそう。GitHub・AWS・本番DBのアクセス情報まで含めると、1つの漏洩が連鎖的な被害につながるリスクがある。
本記事では、主要なパスワード管理ツールをエンジニア・IT担当者の視点で比較しながら、ユースケース別のおすすめを紹介していきます。「これ使いなよ」と友人に自信を持って勧められるようなものが見つかると嬉しいです。
パスワード管理ツールが必要な理由
「自分は大丈夫」って、思ってませんか?
パスワード流出のリスクって、実は「自分のアカウントが乗っ取られる」だけじゃないんです。怖いのは、その先の連鎖です。
よくある被害の流れを見てみましょう:
- 何年も前に登録したまま放置していたサイトからメール・パスワードが流出
- 攻撃者はその組み合わせで GitHub へのログインを試みる
- 成功。 同じパスワードを使い回していたためです。
- リポジトリのコードが盗まれ、本番環境のアクセスキーが見つかり、インフラをまるごと乗っ取られてしまいます
「大手だから起きた話でしょ」と思いたいところですが、Uber・Dropbox・LinkedIn など名の知れた企業でも、パスワードの使い回しが原因のインシデントは実際に起きています。あまり他人事とは言い切れません。
攻撃者がよく使う手口
🚨 クレデンシャルスタッフィング:過去に流出したメール+パスワードの組み合わせで、他のサービスへのログインを機械的に試みる手法です。公開されている流出データベースには現時点で 100億件以上 のアカウント情報があると言われています。自分の情報が流出しているか気になる方は https://haveibeenpwned.com で確認できますよ。
🎣 フィッシング:「GitHub からのセキュリティ通知」「クラウドの請求アラート」など、日常業務のメールに似せた偽装メールが増えています。エンジニアでも気づかず踏んでしまうことがあるので、リンクをクリックする前に送信元をよく確認するといいかもしれません。
🔑 パスワードの解読:短いパスワードや辞書に載っている単語、誕生日などを使ったパスワードは、現代の GPU を使ったブルートフォースで 数分以内 に解析されることがあります。「Password1!」のようなパスワードは、残念ながら安全とは言えません。
エンジニアが特に意識しておきたいこと
エンジニアのアカウントは、一般ユーザーと比べて「被害が広がりやすい」という特徴があります。ちょっと意識しておくだけで、リスクをぐっと下げられますよ。
- GitHub・AWS・GCP への不正アクセス → ソースコード・顧客データ・秘密鍵がまとめて流出するリスクがあります
- 本番 DB のアクセス情報 が漏れると → 法的責任や報道対応が必要になるケースも
- CI/CD パイプラインへの侵入 → マルウェアの混入やサプライチェーン汚染につながる可能性があります
- 退職者のアカウントが残ったまま → 悪意がなくても、情報が漏れるリスクが生まれてしまいます
主要ツール比較
1. 1Password
一言で言うと: UI 完成度と開発者機能のバランスが最も高い有料ツール
| 項目 | 詳細 |
|---|---|
| 価格(個人) | $2.99/月(年払い) |
| 価格(チーム) | $4/ユーザー/月〜 |
| 暗号化 | AES-256 + Secret Key の2要素 |
| プラットフォーム | Mac / Windows / Linux / iOS / Android / Web |
| オープンソース | ✗(クローズド) |
| スマホ共有 | ◎ iOS・Android 公式アプリあり。Face ID / Touch ID 対応。PC と完全自動同期。家族や非エンジニアにも勧めやすい。 |
エンジニア向け機能:
-
1Password CLI:
opコマンドで.envファイルへのシークレット注入が可能
op run --env-file=".env.template" -- npm start
- SSH エージェント統合:SSH 鍵を Vault で管理し、ターミナルから直接使用できる
- Secrets Automation:CI/CD パイプライン(GitHub Actions、CircleCI など)との連携
- 開発者向けドキュメントが充実しており、公式 SDK も存在
メリット:
- UI が直感的で非エンジニアの家族・同僚も使いやすい
- Travel Mode(税関検査時に特定 Vault を一時的に非表示にする機能)が独自
- watchtower 機能で漏洩チェックを自動実行
デメリット:
- 完全有料(無料プランなし)
- ソースコードが非公開なため、自前での監査不可
2. Bitwarden
一言で言うと: オープンソース・低コストで透明性を重視するエンジニア向けの定番
| 項目 | 詳細 |
|---|---|
| 価格(個人) | 無料 / $10/年(Premium) |
| 価格(チーム) | $4/ユーザー/月〜 |
| 暗号化 | AES-256 |
| プラットフォーム | 全主要プラットフォーム + 自己ホスティング可能 |
| オープンソース | ✓(MIT/GPL) |
| スマホ共有 | ◎ iOS・Android 公式アプリあり(無料プランでも使用可)。自己ホスティング環境でもモバイルから接続可能。 |
エンジニア向け機能:
- Bitwarden CLI:スクリプトからの操作が可能
bw get password "AWS Production"
- 自己ホスティング:Docker で自社サーバーに展開でき、データを外部に出さない運用が可能
- Secrets Manager:開発者向けのシークレット管理(CI/CD 統合)
- API アクセス:REST API 経由での操作が可能
メリット:
- オープンソースで第三者監査済み(セキュリティ意識が高いエンジニアに安心感)
- 無料プランでも基本機能は十分
- 自己ホスティングで完全なデータ主権を確保できる
デメリット:
- 1Password と比べると UI の洗練度はやや落ちる
- 自己ホスティングはメンテナンスコストが発生
3. LastPass
一言で言うと: 老舗だが、大規模な情報漏洩事故(2022年)以降は慎重な評価が必要
| 項目 | 詳細 |
|---|---|
| 価格(個人) | 無料(機能制限) / $3/月〜 |
| 価格(チーム) | $4/ユーザー/月〜 |
| 暗号化 | AES-256 |
| プラットフォーム | 全主要プラットフォーム |
| オープンソース | ✗ |
| スマホ共有 | △ 無料プランは「モバイルのみ」か「PCのみ」の選択制(2021年〜)。両方使うには有料プランが必要。 |
2022年末に発覚した情報漏洩事故では、暗号化されたユーザーの Vault データを含む内部システムが侵害されました。LastPass 側はマスターパスワードが適切に設定されていれば Vault の復号は困難と説明していますが、弱いマスターパスワードを使用していたユーザーのクレデンシャルが実際に悪用されたケースも報告されています。現時点では、新規採用より他ツールへの移行を検討することをおすすめします。
4. Dashlane
一言で言うと: VPN バンドルや一般ユーザー向け機能が充実した高機能ツール
| 項目 | 詳細 |
|---|---|
| 価格(個人) | 無料(50件まで) / $4.99/月〜 |
| 価格(チーム) | $5/ユーザー/月〜 |
| 暗号化 | AES-256 |
| プラットフォーム | 全主要プラットフォーム |
| オープンソース | ✗ |
| スマホ共有 | ◎ iOS・Android 公式アプリあり。オートフィルの完成度が高く、モバイル体験は全ツール中トップクラス。 |
特徴:
- VPN 内蔵(Premium プラン以上)
- ダークウェブモニタリング:メールアドレスの漏洩を継続監視
- UI は 1Password に匹敵するほど洗練されている
エンジニア的視点での評価:
- CLI ツールや API は 1Password・Bitwarden ほど充実していない
- 開発者ワークフローへの統合を重視するなら上位2ツールが優先
5. Keeper
一言で言うと: エンタープライズ・コンプライアンス要件に強い業務特化型
| 項目 | 詳細 |
|---|---|
| 価格(個人) | $2.92/月〜 |
| 価格(チーム) | $4/ユーザー/月〜 |
| 暗号化 | AES-256 |
| プラットフォーム | 全主要プラットフォーム |
| オープンソース | ✗ |
| スマホ共有 | ◎ iOS・Android 公式アプリあり。生体認証・Apple Watch 対応。業務用途を想定した堅牢な作り。 |
特徴:
- KeeperPAM(Privileged Access Management):特権アカウント管理に特化したモジュール
- HIPAA、SOC2、FedRAMP 準拠
- SIEM 統合、詳細な監査ログ
- ゼロナレッジアーキテクチャをドキュメントで明示
向いているケース:
- 医療・金融・官公庁など規制業界の IT 担当者
- 特権アクセス管理(PAM)が要件になっている組織
6. KeePass / KeePassXC
一言で言うと: 完全ローカル管理・完全無料のオープンソース。クラウドに一切データを渡したくないエンジニア向け
| 項目 | 詳細 |
|---|---|
| 価格 | 完全無料 |
| 暗号化 | AES-256 / ChaCha20 |
| プラットフォーム | Windows / macOS / Linux(KeePassXC) / iOS・Android(非公式アプリあり) |
| オープンソース | ✓(GPL) |
| データ保存先 | ローカルファイル(.kdbx)。クラウド同期は自分で設定 |
| スマホ共有 | △ 公式モバイルアプリなし。iOS は KeePassium、Android は KeePassDX などのサードパーティアプリが .kdbx を読み込める。iCloud / Dropbox でファイルを同期する構成が一般的で、一手間かかる。 |
KeePass と KeePassXC の違い:
- KeePass(本家):Windows 向け。.NET Framework が必要。
- KeePassXC(コミュニティ版):クロスプラットフォーム対応に再実装されたフォーク。Mac/Linux でも快適に動作し、ブラウザ拡張機能との統合も充実。実用上は KeePassXC を選ぶケースが多い。
エンジニア向け活用方法:
- パスワードデータベース(.kdbx ファイル)を USB ドライブやクラウドストレージ(Dropbox / Google Drive など)に置いて複数デバイスから参照する運用が一般的
- 各エントリにユーザー名・パスワードだけでなく URL・メモ・カスタムフィールドを自由に追加できる
- KeePassXC では SSH エージェント統合 や ブラウザ拡張(KeePassXC-Browser)によるオートフィルが利用可能
- CLI(keepassxc-cli)でスクリプトからエントリを取得することもできる
keepassxc-cli show -a Password MyDatabase.kdbx "AWS Production"
メリット:
- 完全無料・サブスクリプション不要
- データベースファイルがローカルにあるため、クラウドサービスへのデータ送信がゼロ
- オープンソースで監査可能。プラグインによる拡張性も高い
- インターネット接続なしでも動作する
デメリット:
- クラウド同期は自前で構成する必要がある(Dropbox・Syncthing など)
- モバイルアプリは非公式のものを選ぶ必要がある
- チームでの共有・権限管理は他ツールと比べて煩雑
- UI は他の有料ツールと比べると古め(KeePassXC は改善されている)
ユースケース別おすすめ
| ユースケース | 推奨ツール | 理由 |
|---|---|---|
| 個人エンジニア(コスパ重視) | Bitwarden | 無料プランで十分、CLI も充実 |
| 個人エンジニア(UX 重視) | 1Password | 最も洗練された開発者体験 |
| スタートアップ・中小チーム | 1Password Teams | CLI・シークレット管理・UI の三拍子 |
| データ主権が必要な組織 | Bitwarden(自己ホスティング) | 完全な管理下に置ける唯一の主要選択肢 |
| エンタープライズ・規制業界 | Keeper | PAM・監査ログ・コンプライアンス対応 |
| 完全ローカル管理・コスト0円 | KeePassXC | クラウド不使用・無料・オープンソース |
まとめ
パスワード管理ツールって、使い始めると「なんで今まで使ってなかったんだろう」となることが多いです。エンジニアにとっては、使いやすさだけでなく CLI 統合・シークレット管理・自動化との連携も選ぶときのポイントになってきます。
迷ったら、まずはこの3パターンから選んでみてください:
- 気軽に始めたい → Bitwarden(無料)
- チームで使いたい → 1Password Teams
- データを自分で管理したい → Bitwarden(セルフホスト)
冒頭の友人にも、まずは Bitwarden を勧めようと思っています。無料でスマホとも同期できるので、ハードルが低くていいんじゃないかと。みなさんも、大切なアカウントを守るための第一歩、ぜひ今日踏み出してみてください。