Skip to content
Published on

DevOpsシークレット管理 2026 完全ガイド - Doppler・Infisical・HashiCorp Vault・AWS Secrets Manager・1Password CLI・Bitwarden Secrets・SOPS・age 徹底解説

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

「シークレットはコードではない。シークレットはデータであり、データはそれを扱うシステム — ローテーション、監査、隔離、アクセス制御を備えたシステム — の中に置かれるべきだ。」 — Armon Dadgar、HashiCorp 共同創業者、KubeCon 2024

2025年9月のMicrosoft AI研究者によるSASトークン流出事件(38TBの内部データが1年以上公開GitHubに露出)と2023年1月のCircleCI侵害(開発者環境変数が丸ごと流出)は、同じ教訓を改めて刻みました。.env ファイルをコミットしないでほしい」という2010年代の助言だけでは、2026年の脅威を防げない。 シークレットはローテーション、監査ログ、ワークロードアイデンティティ、隔離された環境変数注入、push保護、KMSエンベロープ暗号化が結合した「シークレット管理プラットフォーム」の中に置かれる必要があります。

2026年5月現在、DevOpsシークレット管理市場は大きく5つの陣営に分かれています。クラウドネイティブSaaS(Doppler・Infisical)エンタープライズボルト(HashiCorp Vault・CyberArk Conjur・Akeyless)クラウドマネージド(AWS Secrets Manager・Azure Key Vault・GCP Secret Manager)ファイルベースGitOps(SOPS・age・git-crypt・Sealed Secrets)、そしてパスワードマネージャー拡張(1Password CLI・Bitwarden Secrets Manager) です。本稿では各陣営の主要ソリューションとそのワークフロー、Korean/Japaneseの採用事例、そして実際のインシデントと対応までを整理します。

1. なぜシークレット管理が必要か - .envファイルの終焉

2010年代後半まで、開発者は .env ファイルを標準として受け入れてきました。python-dotenvdotenv-rs、Node向けの dotenv が事実上の標準となり、.env ファイルは .gitignore に入れるだけで十分という認識が広まっていました。しかし2020年代に入ってこのモデルは3つの方向から崩壊しました。

第一に、人的ミスによる漏洩.env.example に実値を入れてコミットしてしまうケース、.gitignore が別ディレクトリで機能しないケース、.env.local のような変種ファイル名がignoreから漏れるケースが絶え間なく発生しました。2023年Toyotaは、5年間GitHubに露出した認証情報により296,019人の車両情報が脅威にさらされたと発表しました。

第二に、サプライチェーン攻撃。2022年12月のCircleCI侵害、2023年1月のLastPass二次侵害、2023年9月のMicrosoft AI研究者SASトークン流出(38TB) — いずれも「環境変数に永続的な認証情報をそのまま埋め込んでいた」が根本原因でした。一度流出するとローテーションが困難で、攻撃者に無制限の時間が与えられます。

第三に、AIコーディングエージェントの登場。Claude Code、Cursor、Aiderのようなツールがコードベース全体を読み始めると、平文でシークレットが埋め込まれたファイルはそれ自体が危険になります。2025年OWASPはLLM Top 10 v2.0に「Sensitive Information Disclosure in AI Context」を追加しました。

解決策は単純です。シークレットをコードから分離し、ローテーション可能で監査可能な外部システムに置き、ワークロードアイデンティティで短期認証情報のみ発行する。 これが2026年のシークレット管理の核心原則です。

2. シークレット管理プラットフォーム地図 - 5つの陣営

2026年5月時点でシークレット管理ソリューションは以下の5カテゴリーに整理できます。

カテゴリー代表ソリューション価格モデル利用先
クラウドSaaSDoppler、Infisical、HCP Vault Secretsper-user/per-seatスタートアップ、中堅
エンタープライズボルトHashiCorp Vault、CyberArk Conjur、Akeylessエンタープライズライセンス金融、政府
クラウドマネージドAWS Secrets Manager、Azure Key Vault、GCP Secret Managerper-secret/per-API単一クラウド利用
ファイルベースGitOpsSOPS、age、git-crypt、Sealed Secretsオープンソース無料K8s、GitOps
パスワードマネージャー拡張1Password CLI、Bitwarden Secrets Managerper-seat開発者ワークフロー

重要な洞察は「一つだけ使う会社はほぼ存在しない」ことです。多くのチームは個人シークレット用に1Password、チームシークレット用にDopplerまたはVault、K8sシークレット用にExternal Secrets Operator、KMS鍵用にクラウドマネージドを組み合わせて利用します。2026年のベストプラクティスは単一ツールではなく「階層化されたシークレットアーキテクチャ」です。

3. Doppler - アプリ開発者にとっての事実上の標準

Doppler(Brian Vallelunga、2018年〜)は2026年5月時点でクラウドネイティブSaaSシークレット管理のリーダーです。本社はサンフランシスコ、Series Bで2,000万ドルを調達し、価格はDeveloper 24/seat/月、Team24/seat/月、Team 52/seat/月、Enterpriseは要相談です。Stripe、DoorDash、Instacart、Adobe、Coca-Colaなどが利用中で、2025年のARRは推定4,000万ドルです。

Dopplerのコア価値は3つです。第一に、doppler run ラッパー。環境変数をシェルに注入せず子プロセスにのみ注入することで .env ファイルを完全に排除します。第二に、自動ローテーション。AWS IAMユーザー、Stripe APIキー、Twilio Authトークンなどの統合シークレットを30/60/90日サイクルで自動ローテーションし、全環境に伝播します。第三に、環境分離。dev/stg/prodなどの環境別に同じキー名に異なる値をマッピングし、環境間プロモーションをGitHub Actionsのように可視化します。

# Doppler CLIインストールとログイン
brew install dopplerhq/cli/doppler
doppler login

# プロジェクトリンク
doppler setup --project my-app --config dev

# シークレット設定
doppler secrets set DATABASE_URL=postgres://localhost/mydb
doppler secrets set STRIPE_API_KEY=sk_test_xxx

# アプリ実行 - 環境変数がdopplerから注入される
doppler run -- npm run dev

# 別環境へのプロモーション
doppler secrets download --no-file --format env > .env.prod

2026年4月DopplerはDoppler Workplace機能を追加し、同じ人が複数の会社に所属する場合にワークスペースを分離する機能を正式GAし、Doppler Audit 機能でシークレットアクセスログをSOC 2 / ISO 27001監査用に7年保管します。

4. Infisical - オープンソース + SaaSのバランス

Infisical(Maidul Islam・Vladislav Matsiiako、2022年〜)はDopplerに最も速く挑むオープンソース + SaaSハイブリッドです。GitHub 16Kスター、2024年Series Aで1,500万ドルを調達しました。価格はFree、Pro $9/user/月、Enterprise(self-hosted含む)で、「self-hostもSaaSも可能」という二重性が採用理由として頻繁に挙げられます。

Infisicalの差別化は4点です。第一に、AGPL-3.0ライセンスのコアでself-hostが合法かつ無料です。第二に、エンドツーエンド暗号化 — クライアントサイド暗号化によりInfisicalサーバーですら平文を見ることができません。第三に、Universal Auth というワークロードアイデンティティ統合でGitHub Actions、Kubernetes Service Account、AWS IAMといったOIDCをそのまま取り込み、発行した認証情報にTTLを適用します。第四に、シークレットスキャン + ブローカー機能infisical scan でコードベースの平文シークレットを検出し、動的シークレット発行(データベースパスワードを毎回新規生成)もサポートします。

# .infisical.json例
{
  "workspaceId": "your-workspace-id",
  "defaultEnvironment": "dev",
  "gitBranchToEnvironmentMapping": {
    "main": "prod",
    "staging": "staging",
    "develop": "dev"
  }
}

2026年3月InfisicalはInfisical PKI(プライベート証明書管理)とInfisical SSH(短期SSH証明書発行)をGAリリースし、「シークレット + PKI + SSH」の統合プラットフォームに進化しました。HashiCorp Vaultの領域を正面から攻める動きです。

5. HashiCorp Vault - エンタープライズシークレットのゴールドスタンダード(IBM買収後)

HashiCorp Vault(2015年〜)はエンタープライズシークレット管理の事実上の標準です。2024年4月IBMがHashiCorpを64億ドルで買収すると発表し、2025年2月に買収完了、VaultはIBM Softwareポートフォリオに編入されました。ライセンスは2023年8月にMPLからBSL(Business Source License)に転換され、OpenBaoがOSI互換フォークとして登場しました。

Vaultのコア価値は他のソリューションと格が異なります。第一に、動的シークレット(Dynamic Secrets) — PostgreSQL、MySQL、MongoDB、AWS、GCPといったシステムに対してリクエストごとに新たな認証情報を生成し、TTL経過後に自動破棄。第二に、Transit Engine — 鍵を露出せずに暗号化/復号化/署名/検証を委任するEncryption-as-a-Service。第三に、PKIエンジン — 内部CAとして証明書を発行・ローテーション。第四に、30以上の認証メソッド — Kubernetes、AWS IAM、AppRole、OIDC、JWT、LDAP、AzureAD、GCPなど。

# Vault Policy例 - 特定シークレットに対するread-only
path "secret/data/app/production/*" {
  capabilities = ["read", "list"]
}

# 動的データベース認証情報 - roleを介した発行のみ許可
path "database/creds/readonly" {
  capabilities = ["read"]
}

2025年リリースのVault 1.18ではWorkload Identity Federation が強化され、HCP Vault Secrets(マネージドSaaS)はDopplerと直接競合する価格(0.50/secret/+APIリクエスト課金)に再ポジショニングされました。VaultEnterpriseはノード単位ライセンスで平均0.50/secret/月 + APIリクエスト課金)に再ポジショニングされました。Vault Enterpriseはノード単位ライセンスで平均30,000〜$80,000/年水準です。

6. HashiCorp Boundary - 隣接するワークロードアイデンティティ + セッション管理

Boundary(2020年〜)はVaultの姉妹製品で、シークレット管理自体よりは「短期認証情報でインフラにアクセス」する動的PAM(Privileged Access Management)に集中しています。SSH・RDP・DB・Kubernetes APIといったターゲットに対して「ユーザー → Boundary → ターゲット」セッションをbrokered/proxied方式で開き、Vaultの動的シークレットと結合して永続SSH鍵や永続DBパスワードなしで全アクセスを処理します。

2025年Boundary 0.18ではマルチホップセッションセッション録画(SSH/RDPセッションの映像録画)がGAリリースされ、SOC 2 Type 2 / PCI DSS 4.0の監査要件を満たします。CyberArk PSM、Teleportと競合する領域です。

7. AWS Secrets Manager + Parameter Store - クラウドネイティブの両輪

AWSはシークレット管理ソリューションを2種類提供しています。AWS Secrets Manager はシークレットあたり0.40/+APIリクエストあたり0.40/月 + APIリクエストあたり0.05/10Kで、自動ローテーション(Lambdaベースのrotation function)、KMSエンベロープ暗号化、7年自動バックアップが核心です。AWS Systems Manager Parameter Store はStandard tierは無料(最大10Kパラメータ)、Advanced tierは$0.05/parameter/月で、ローテーション機能はないものの単純なK/Vとしてはコスト効率が高いです。

2025年11月AWSはSecrets Manager Multi-Region Replication を全リージョンに拡張し、Cross-Account Access via Resource Policy を強化しました。RDS、ElastiCache、DocumentDBといったマネージドDBはSecrets Managerと統合され、30/60/90日サイクルで自動ローテーションが可能です。

# AWS SDKでシークレット取得(Python)
import boto3
import json

client = boto3.client('secretsmanager', region_name='ap-northeast-1')
response = client.get_secret_value(SecretId='prod/db/credentials')
secret = json.loads(response['SecretString'])
db_url = f"postgres://{secret['username']}:{secret['password']}@{secret['host']}/{secret['dbname']}"

選択ガイドはシンプルです。ローテーションが必要ならSecrets Manager、単純な環境変数ならParameter Store。 両方ともIAM Roleベースのワークロードアイデンティティをネイティブサポートするため、EC2/ECS/EKS/Lambdaから永続認証情報なしでシークレットを取得できます。

8. Azure Key Vault - シークレット + 鍵 + 証明書統合

Azure Key Vaultはシークレット(Secrets)、鍵(Keys)、証明書(Certificates)の3種類を1つのサービスで扱います。Standard tierは操作あたり0.03/10KPremiumtierHSMサポート)は鍵あたり0.03/10K、Premium tier(HSMサポート)は鍵あたり1/月 + 操作コストです。2025年GAされたAzure Managed HSM はFIPS 140-2 Level 3認証を取得したシングルテナントHSMプールで、政府/金融顧客をターゲットにします。

核心はAzure AD統合です。Managed Identity(System-assigned/User-assigned)を介してVM・App Service・AKS Podが永続認証情報なしでKey Vaultにアクセスし、RBACにより細分化された権限制御が可能です。Key Vault ReferenceはApp Service環境変数にシークレットを直接マッピングする機能で、アプリコードを変更せずにシークレットを外部化します。

9. Google Cloud Secret Manager - シンプルさの美徳

GCP Secret Managerは2020年GAの比較的若いサービスで、シークレットあたり0.06/+アクセス操作あたり0.06/月 + アクセス操作あたり0.03/10Kです。単純なK/Vモデルに自動ローテーション(Pub/Subメッセージでトリガー)、バージョン管理、IAM統合を加えた形です。

差別化要素はWorkload Identity Federation の成熟度です。GCPはGitHub Actions、GitLab CI、Azure AD、OIDCあらゆる外部ID Providerを GCP Service Accountにマッピングでき、GCP以外の環境からも永続鍵なしでGCPリソースにアクセス可能です。2025年GAのSecret Manager Regional Replication はEUデータレジデンシー要件を満たします。

# GCP Secret Managerからシークレット取得
from google.cloud import secretmanager

client = secretmanager.SecretManagerServiceClient()
name = "projects/my-project/secrets/db-password/versions/latest"
response = client.access_secret_version(request={"name": name})
db_password = response.payload.data.decode("UTF-8")

10. Akeyless - Vaultlessアーキテクチャの挑戦者

Akeyless(Refael Angel・Shai Onn、2018年〜)は「vaultless」というマーケティングメッセージで差別化します。本社テルアビブ、2022年Series Bで6,500万ドルを調達し、JPMorgan・Ciscoなどのエンタープライズ顧客を抱えます。核心はDFC(Distributed Fragments Cryptography) — シークレットを複数のフラグメントに分割して別のクラウド/リージョンに分散保存し、どのフラグメント単独でも復元不可能にします。

機能範囲はVaultとほぼ同等です(シークレット、動的認証情報、PKI、SSH、Encryption-as-a-Service)。価格はSaaSモデルで$0.85/secret/月から。Vault比のメリットは「self-host不要(既に分散)」で、デメリットはオープンソースコミュニティが弱いことです。

11. CyberArk Conjur + Conjur Open Source - エンタープライズPAMのシークレット拡張

CyberArk ConjurはCyberArk(エンタープライズPAM市場1位)が2017年にConjur買収を通じて獲得したシークレット管理製品です。Conjur Open Sourceは無料、Conjur EnterpriseはPAM・Endpoint Privilege Managerといった他のCyberArk製品と統合されて販売されます。

Conjurの差別化要素はPolicy-as-Code です。YAMLベースのポリシー言語でシークレット、ユーザー、ホスト、権限を宣言的に定義し、Gitでバージョン管理します。Kubernetes Authenticatorを介したK8sネイティブ統合が強力で、金融/政府市場でVaultと両雄状態を形成しています。

12. Delinea Secret Server(旧Thycotic)+ BeyondTrust Password Safe

Thycotic Secret Serverは2021年Centrifyと統合しDelinea にリブランディングしました。Windowsベースの PAM市場の伝統的な強者で、Active Directory統合とRDPセッション管理が強みです。BeyondTrust Password Safeは類似のWindows中心PAM市場で競合しています。

この2つのソリューションは「開発者ワークフローよりWindows管理者ワークフロー優先」という点でDoppler/Infisical/Vaultとは色合いが異なります。金融/政府でWindowsサーバーが多い環境に適合し、REST APIとCLI自動化は後順位です。

13. SOPS(Mozilla)- YAML/JSON暗号化の標準

SOPS(Secrets OPerationS、Mozilla 2017年〜)はYAML/JSON/ENV/INI/Binaryファイルの値を部分的に暗号化するツールです。キー名は平文に保ち値のみ暗号化することで、Git diffを意味のあるものとして機能させます。バックエンドKMSとしてAWS KMS、GCP KMS、Azure Key Vault、HashiCorp Vault、PGP、AGE(推奨)をサポートします。

# 平文シークレット
database:
  url: postgres://user:secret_password@host/db
  api_key: sk_live_abc123

# sops -e --age pubkey secrets.yaml 実行後
database:
    url: ENC[AES256_GCM,data:aBcDeFgH...,iv:...,tag:...,type:str]
    api_key: ENC[AES256_GCM,data:...,iv:...,tag:...,type:str]
sops:
    age:
        - recipient: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
          enc: |
              -----BEGIN AGE ENCRYPTED FILE-----
              ...
              -----END AGE ENCRYPTED FILE-----

SOPSのコアな強みはGitOps親和性 です。ArgoCD・FluxといったGitOpsツールがSOPSと統合され、K8sマニフェストにシークレットを暗号化状態でコミットし、クラスター内でのみ復号化します。CNCF Sandbox卒業後2024年にIndependent projectに移行し、現在はGetSops/sops組織がメンテナンスしています。

14. age(Filippo Valsorda)- モダンなファイル暗号化

age(2019年〜、Filippo Valsorda)はGPGの複雑さを拒否して作られたモダンなファイル暗号化ツールです。X25519 + ChaCha20-Poly1305ベースの単一アルゴリズム、鍵ファイルはsshkeygenのように単純なテキストファイル、コマンドラインインターフェースは age -r recipient で完結します。

SOPSと組み合わせたageは2026年のGitOpsで事実上の標準シークレット暗号化方式です。単一ユーザー/チーム鍵をSOPSのrecipientに指定すると、SOPSが自動的にageに委任します。age自体は約1MB未満の単一バイナリで、Go・Rust両方の実装が存在します。

# age鍵生成
age-keygen -o key.txt
# Public key: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p

# ファイル暗号化
age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p secrets.txt > secrets.txt.age

# SSH鍵をrecipientとして使用も可能
age -R ~/.ssh/authorized_keys secrets.txt > secrets.txt.age

2024年発表のrage(Rust実装、Jack Grigg)はageのreference実装の一つでメモリ安全性が強みであり、同じ鍵フォーマットを共有します。

15. git-crypt + BlackBox - Git統合暗号化

git-crypt(2013年〜、Andrew Ayer)はGitリポジトリ内で特定ファイルをGPG鍵で透過的に暗号化するツールです。.gitattributessecret.yaml filter=git-crypt diff=git-crypt を指定するとcommit時に自動暗号化、checkout時に自動復号化されます。SOPSとは違いファイル全体を暗号化するため、diffが意味をなさなくなる欠点があります。

BlackBox(StackExchange、2014年〜)は類似コンセプトのより古いツールで、GPGベースのファイル暗号化をGit workflowに統合します。両ツールとも2026年には次第にSOPS + age組み合わせに座を譲る趨勢です。

16. Sealed Secrets(Bitnami)- Kubernetesネイティブ GitOps

Sealed Secrets(Bitnami/VMware、2018年〜)はK8sネイティブのシークレット暗号化ソリューションです。クラスターにcontrollerをインストールするとcontrollerがX.509鍵ペアを生成し、開発者は kubeseal CLIで平文SecretをSealedSecretに封印します。封印されたSealedSecretはGitHubに安全にコミットされ、controllerがクラスター内でのみ復号化して本物のSecretを生成します。

# 平文Secretを作成し、kubesealで封印
kubectl create secret generic db-creds --from-literal=password=secret123 --dry-run=client -o yaml \
  | kubeseal --controller-namespace kube-system -o yaml > db-creds-sealed.yaml

# 封印されたマニフェストをGitに安全にコミット
git add db-creds-sealed.yaml
git commit -m "Add encrypted DB credentials"

Sealed Secretsの欠点はcontroller鍵のローテーションとクラスター間シークレット移行が厄介なことです。この欠点を補うために登場したのがExternal Secrets Operatorです。

17. External Secrets Operator(ESO)- 外部バックエンド抽象化

External Secrets Operator(ESO、2021年〜)はK8s環境で外部シークレットマネージャー(AWS Secrets Manager、GCP Secret Manager、Azure Key Vault、HashiCorp Vault、Doppler、Infisical、1Password、Bitwardenなど30以上のバックエンド)を抽象化するコントローラです。開発者は ExternalSecret CRを定義して「外部シークレットをK8s Secretに同期」する宣言だけ行えばよいです。

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: db-credentials
  namespace: production
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: aws-secrets-manager
    kind: ClusterSecretStore
  target:
    name: db-creds
    creationPolicy: Owner
  data:
    - secretKey: password
      remoteRef:
        key: prod/db/credentials
        property: password

2024年CNCF Sandbox卒業後、2025年にIncubatingに昇格したESOはK8sシークレットパターンの事実上の標準になりました。2026年5月時点でv0.10がGAリリースされ、push mode(K8s Secret → 外部バックエンド)とgenerator(動的認証情報生成)をサポートします。

18. Vault Secrets Operator + CSI Secret Store Driver - K8sシークレット注入パターン

HashiCorpのVault Secrets Operator(VSO) はESOのVault専用版で、Vaultの高度機能(動的シークレット、PKI、Transit)をK8s CRとして直接公開します。ESO比でVault統合の深さがあるものの、Vaultしか使えない制約があります。

CSI Secret Store Driver(Microsoft/Azure主導、Kubernetes SIG-Auth)は別アプローチです。シークレットをK8s Secretオブジェクトに変換せず、PodのボリュームにダイレクトでマウントしますetcdにDF平文が保存されないため、etcd侵害時にもシークレットが露出しません。AWS、GCP、Azure、Vaultの4つのproviderが公式サポートされています。

選択ガイド:外部シークレットマネージャーの多様性が重要ならESO、Vaultの深さが必要ならVSO、etcdにシークレットを置きたくないならCSI Driver。 多くのチームはESO + CSI Driverの組み合わせで運用しています。

19. 1Password CLI + Secrets Automation + SDKs - 開発者ワークフローへの浸透

1Password(AgileBits、1Password Inc.、2006年〜)は2022年Secrets Automation機能をリリースし、開発者シークレット市場に本格参入しました。op CLIで1Password Vaultの項目をシェルから直接参照し、Connect Server(self-hosted REST API)でCI/CD統合が可能で、2024年リリースの1Password SDKs(Go、Python、JS)でコードから直接シークレットを取得できます。

# op CLIでシークレットを環境変数に注入して実行
op run --env-file .env -- npm start

# .envファイル内容
DATABASE_URL=op://Production/Database/url
STRIPE_KEY=op://Production/Stripe/api_key

1Passwordの強みは既にチームが使用中のパスワードマネージャーをシークレットマネージャーに拡張 する点です。別ツール学習が不要で、1Password Business($7.99/user/月)にSecrets Automationが含まれます。弱みは自動ローテーションや動的シークレットなどの高度機能が弱いことです。

20. Bitwarden Secrets Manager + bws CLI - オープンソース + 合理的価格

Bitwarden(8bit Solutions、2016年〜)は2023年Secrets Managerを別製品としてリリースしました。個人ユーザーは無料、Teams 6/user/+6/user/月 + 0.40/secret/月、Enterprise $12/user/月。1Password比で約30%安価で、サーバーコードはGPL-3.0なのでself-hostが可能です。

bws CLIは op CLIとほぼ同じワークフローを提供し、GitHub Actions・GitLab CI・Jenkins・Kubernetes統合が整っています。2024年Vaultwarden(非公式Rust実装)がself-hostオプションとして人気を得るに伴い、「1Passwordライセンスコストが負担となるチーム」の代替として定着しました。

21. LastPass / Dashlane / Keeper - 侵害後の位置づけ

LastPassは2022年8月・12月の2度の侵害(特に12月の侵害は暗号化Vaultデータ全体が流出)で信頼が大きく揺らぎ、2024年には複数のLastPassユーザーのクリプトアセット盗難事件が追跡・報告されました。それでもLastPass Business($7/user/月)は依然として使われていますが、開発者シークレットマネージャー市場では1Password・Bitwarden比でシェアが急速に減少しています。

Dashlane、Keeper、Roboformといった他のパスワードマネージャーもSecrets Manager機能を追加しましたが、開発者ワークフロー統合の深さは1Password・Bitwardenに比べて不足しています。

22. dotenv-vault・doppler run・vault agent・direnv - ワークフロー統合パターン

シークレットマネージャー自体よりも「アプリにどう注入するか」 のほうがよほど重要な場合が多いです。2026年の主要パターンは4つです。

dotenv-vault(Mot、2022年〜)は .env ファイルをそのままにしつつ、暗号化された .env.vault ファイルに変換してGitにコミット可能にします。クライアントSDKが環境別に復号化鍵を受け取り、ランタイムに復号化します。.env ワークフローを最少の摩擦で維持する方法です。

doppler run / infisical run / op run パターンはシェル環境変数を汚染せず子プロセスにのみ注入する方式です。CI/CDで最も安全です。

Vault Agent はサイドカーとして動作し、Vaultからシークレットを受け取ってファイルや環境変数として公開します。K8s Init ContainerまたはSidecarとして最も多くデプロイされます。

direnv + sops 組み合わせはディレクトリ単位の環境変数自動ロード(direnv)とGitOps親和暗号化(sops)を組み合わせた開発者親和パターンです。NixOSユーザーに特に人気です。

23. gopass・pass - UNIX クラシックの代替

UNIXクラシックのpass(2012年〜、Jason Donenfeld) はGPGで暗号化されたテキストファイルをディレクトリツリーに保存する最もシンプルなモデルです。pass insert facebook/myemail のようなコマンドでシークレットを追加し、Gitリポジトリにそのままコミット可能です。

gopass(2017年〜)はpassと互換性を保ちつつチーム利用のために多重鍵・多重マウント・OTP・オートコンプリートを追加したGo実装です。小規模チームでself-hostオプションとして依然として使われています。弱みはローテーション・監査などのエンタープライズ機能がないことです。

24. GitGuardian・TruffleHog・gitleaks - シークレットスキャン(検出)

既にコードベースに入った平文シークレットを見つけるシークレットスキャンは別の産業です。GitGuardian(Paris、2017年〜)は市場リーダーで、350以上のシークレットタイプを検出し、GitHub/GitLab/Bitbucket統合、自動アラート・ローテーションワークフローを提供します。価格はBusiness $42/dev/月から始まります。

TruffleHog(Truffle Security、2017年〜)はオープンソース + 商用ハイブリッドで、自前ホストが可能で700以上のシークレットタイプを検出します。CLIは無料利用可能で、商用版は検証(verification — 発見した鍵が実際に有効かAPI呼び出しで確認)機能を提供します。

gitleaks(Zach Rice、2018年〜)は完全オープンソースの単一バイナリツールで、pre-commit hookやCI統合でよく使われます。パターン定義ファイル(.gitleaks.toml)でカスタマイズが容易です。

# gitleaksでコードベースをスキャン
gitleaks detect --source . --verbose

# pre-commit hookでシークレットコミットを防止
cat > .git/hooks/pre-commit <<EOF
#!/bin/sh
gitleaks protect --staged --verbose
EOF
chmod +x .git/hooks/pre-commit

25. GitHub secret scanning + push protection・GitLab Secret Detection・Spectral

GitHubのSecret Scanning は無料(public repo)またはGitHub Advanced Securityライセンスで利用可能で、200以上のトークンタイプをGitHub-managedパターンで検出し、発行者に直接通知します。2023年GAされたPush Protection はシークレットが含まれるpush自体をブロックすることで、「既に漏洩した後にローテーション」ではなく「漏洩自体を防ぐ」パラダイム転換をもたらしました。

GitLabはSecret Detection をUltimate tierに含め、Spectral(Check Point買収、2021年〜)はGitGuardianと類似のSaaSシークレットスキャンを提供します。

2026年のベストプラクティスは「push protectionで事前ブロック + scanningで事後検出 + 自動ローテーションワークフロー」 の3層防御です。

26. KMS - AWS KMS・GCP KMS・Azure Key Vault HSM・Vault Transit

シークレットマネージャーの下にはより深い層、Key Management Service(KMS) があります。KMSはシークレット自体ではなくシークレットを暗号化する を管理します。エンベロープ暗号化(Envelope Encryption)パターンで、KMSのマスター鍵は決して露出せず、データ鍵(DEK)のみ発行/暗号化/復号化に使用されます。

AWS KMS は鍵あたり1/+APIリクエストあたり1/月 + APIリクエストあたり0.03/10K。GCP KMSAzure Key Vault HSM も類似価格帯。HashiCorp Vault Transit Engine はEncryption-as-a-Serviceで同じパターンをself-hostで提供します。

YubiHSM 2(Yubico)はUSB型のハードウェアHSMで$650程度、小規模チームのroot CA鍵保管に適合します。Cloudflare Keyless SSL はTLS秘密鍵をCloudflareに露出せず顧客データセンターに維持したままハンドシェイク署名のみ委任するモデルです。

27. OIDC・ワークロードアイデンティティ・SPIFFE/SPIRE - シークレットのない未来

2026年の真のシークレット管理方向は「シークレットをより上手に管理することではなく、シークレットが不要なワークロードアイデンティティを使用すること」 です。

GitHub OIDC + AWS IAM OIDC Trust パターンは最も広く採用されました。GitHub Actionsが発行する短期JWTをAWS IAMが信頼することで、AWS Access Keyなしでも GitHub ActionsがAWSリソースにアクセス可能です。2024年GitLab CI、CircleCI、Buildkite、Bitbucket Pipelinesがすべて同じOIDCパターンをサポートしています。

SPIFFE/SPIRE(CNCF Graduated、2022)はワークロードアイデンティティの業界標準です。SVID(SPIFFE Verifiable Identity Document)という短期X.509またはJWT証明書をワークロードに発行することで、シークレットを事前に埋め込まずワークロード間mTLSと権限付与を実現します。

PomeriumTeleportOPA(Open Policy Agent) は隣接領域でポリシーベースのアクセス制御を担当します。Teleportは特にSSH・Kubernetes・DB・WebアプリへのShort-lived certificateベースアクセスを提供することで、永続SSH鍵を排除するのによく使われます。

28. Mobile + Frontend - Expo Secrets・React Native Keychain・Capacitor

モバイルとフロントエンドには異なるシークレットモデルが必要です。ビルド時シークレット(APIキー)、ランタイムシークレット(ユーザートークン)、Keychainシークレット(生体認証保護認証情報)はすべて異なる処理を必要とします。

Expo SecretsEAS Secrets はReact Nativeアプリのビルド時環境変数とランタイム環境変数を分離して扱います。React Native Keychain(oblador)はiOS KeychainとAndroid Keystoreを1つのAPIに統合します。Capacitor Secure Storage(Ionic)はCapacitorアプリで同様の役割を果たします。

ブラウザフロントエンドはそれ自体でシークレットを安全に保存する方法がほぼありません。ベストプラクティスは「ブラウザにシークレットを置かず、すべてのシークレット利用はサーバーAPIの背後に隠す」 です。JWTはHttpOnly+Secureクッキー、OAuthトークンはBFF(Backend-for-Frontend)パターン。

29. コンプライアンス - SOC 2・PCI DSS 4.0・ISO 27001:2022・FedRAMP・HIPAA

シークレット管理は単なる技術問題ではなくコンプライアンス要件でもあります。2026年5月時点の主要要件を整理します。

SOC 2 Type 2 はシークレットアクセスログ7年保管、四半期ごとのアクセスレビュー、自動ローテーションを要求します。PCI DSS 4.0(2024年3月発効)は鍵ローテーション1年以内、HSM使用、鍵保管時の二重統制といったより強い要件を追加しました。ISO 27001:2022 はAnnex A.8.24(鍵の使用・保護)とA.5.16(アイデンティティ管理)でシークレット管理を直接扱います。

FedRAMP High は米国政府システムに対してFIPS 140-2 Level 3以上のHSM、鍵分離保管、複数認証管理者を要求し、HIPAA はPHIアクセス時のすべてのシークレット利用ログを6年以上保管することを要求します。

ツール選択はコンプライアンス認証書を確認すべきです。AWS Secrets Manager・GCP Secret Manager・Azure Key Vault・HashiCorp Vault EnterpriseはSOC 2 / ISO 27001 / FedRAMPをすべて保有します。Doppler・InfisicalもSOC 2 Type 2を保有しています。

30. 韓国の採用事例 - NAVER・KAKAO・NCSOFT・金融保安院

NAVER Cloud Secret Manager(2022 GA)はNAVER Cloud Platform内部サービスでKMSと統合されて運用されます。NAVER内部では自社開発のシークレット管理プラットフォームが使われ、外部顧客向けにはNAVER Cloud Secret Managerが提供されます。

KAKAOENT(カカオエンターテインメント)は自社KMSインフラ上にHashiCorp Vaultを運用する事例として2024年if(kakao)カンファレンスで発表されました。ゲーム/エンタメ子会社を統合管理するマルチテナントVault構成です。

NCSOFTカカオバンクToss(Viva Republica) など主要韓国テック企業はほとんどがVaultまたは自社ソリューションを運用しています。金融保安院(FSI) の「電子金融監督規定」と「金融分野クラウド利用ガイドライン」は韓国金融業界のシークレット管理の事実上の標準要件を定義します。鍵ローテーション周期、鍵分離保管、クラウドKMS利用時の追加統制などの要件が含まれます。

31. 日本の採用事例 - Sakura Cloud・Mercari・Smartbank・NTT

Sakura Cloud Secret Manager(2023 GA)は日本国内クラウドのシークレットマネージャーで、データレジデンシー(国内保管)要件の強い政府/金融顧客をターゲットにしています。MercariSmartbank はいずれもGCP Secret Manager + HashiCorp Vaultの組み合わせを運用していることが知られており、Mercariは2024年Engineering BlogでVault Workload Identityマイグレーション事例を共有しています。

NTT Communications は自社シークレット管理サービスを提供し、日本政府クラウド(政府共通プラットフォーム)に統合されています。DeNACyberAgentLINE Yahoo といった企業もVaultベースの運用事例を公開発表しています。

日本市場の特異点はAPPI(個人情報保護法)とデータレジデンシー要件 です。AWS Secrets Manager東京リージョン、GCP Secret Manager東京/大阪リージョンが強制されるケースが多く、Sakura CloudやIIJといった国内事業者ソリューションのシェアがクラウド全体基準より高いです。

32. 実際のインシデント - Uber 2022・Microsoft AI 38TB・CircleCI 2023

3つの大規模インシデントが2022〜2023年にシークレット管理パラダイムを変えました。

Uber 2022年9月侵害 — 外部委託職員の認証情報をフィッシングで奪取した攻撃者がUber内部PowerShellスクリプトに埋め込まれていたPAM(Thycotic)管理者認証情報を発見することで侵害が始まりました。これによりG-Suite、AWS、Slack、GitHubなどほぼ全システムへのアクセスが可能になりました。教訓は「自動化スクリプトに永続認証情報を埋め込まずワークロードアイデンティティを使え」 でした。

Microsoft AI Researcher SASトークン流出(2023年6月発見、9月公開) — Microsoft AIチームのある研究員がGitHubにモデル重みを公開するために使ったAzure Storage SAS URLが事実上期限切れなくコンテナ全体に書き込み権限を付与していました。38TBの内部データ(個人ファイル、パスワード、3万件以上のTeamsメッセージ)が外部に露出した状態で1年以上維持されました。教訓は「SASトークンのような期限のない認証情報を絶対に作るな」と「自動シークレットスキャンで認証情報流出を検出せよ」 でした。

CircleCI 2023年1月侵害 — CircleCI職員のノートPCにインストールされたマルウェアがセッションクッキーを奪取してMFAバイパスで内部システムにアクセスし、顧客のすべての環境変数とコンテキストが露出しました。CircleCIはすべての顧客にシークレットローテーションを要請し、この事件は「CI/CDシステムに平文シークレットを保管せず外部シークレットマネージャーを通じて動的に注入せよ」 というパターン転換を加速させました。

33. コスト比較 - 実際の価格(2026.05基準)

100人開発チーム、10K シークレット、月間100万シークレットアクセスを仮定して比較します。

ソリューション月コスト(USD)備考
Doppler Team$5,200$52 × 100 seat
Infisical Pro$900$9 × 100 user
HCP Vault Secrets$5,000 + API$0.50 × 10K secrets
Vault Enterprise$6,000〜ノード単位ライセンス
AWS Secrets Manager$4,050$0.40 × 10K + API
GCP Secret Manager$630$0.06 × 10K + API
Azure Key Vault$300〜操作ベース
1Password Business$800$7.99 × 100
Bitwarden Teams$4,6006×100+6 × 100 + 0.40 × 10K
SOPS + age$0オープンソース、インフラコストのみ

価格だけ見るとSOPS + ageが圧倒的ですが、運用負担(鍵ローテーション、メンバー異動時の鍵再配布、GitOps統合)を加味すると、Doppler/InfisicalといったSaaSが総合的に安価になりうる場合があります。

34. 意思決定ツリー - どのソリューションを選ぶか

規模とコンプライアンス要件に応じたガイドです。

1〜10人スタートアップ — 1Password Business + GitHub Actions OIDCの組み合わせ。追加ツールなしで80%カバーされます。シークレットローテーションが必要になったらDoppler Developer($24)追加。

10〜100人シリーズB+スタートアップ — Doppler TeamまたはInfisical Pro。K8sを使うならESOをバックエンドと一緒に。シークレットスキャンはgitleaks(無料)+ GitHub Push Protection。

100〜1000人成長段階 — Doppler/Infisicalをメインに、AWS Secrets ManagerをRDS・ECSといったAWSネイティブワークロードに直接統合。シークレットスキャンはGitGuardianまたは商用TruffleHog。

1000人+エンタープライズ、金融/政府 — HashiCorp Vault Enterprise + Boundary + HCP Vault。SPIFFE/SPIREでワークロードアイデンティティ統合。CyberArk ConjurはPAMと結合する場合に検討。コンプライアンス(SOC 2 / PCI / FedRAMP)認証が必須。

K8s中心チーム — External Secrets Operator +(Doppler / Infisical / AWS Secrets Manager / Vault)。Sealed Secretsはシンプルなケースのみ、GitOps親和性が核心ならSOPS + age + ArgoCD。

35. 移行ガイド - .envからシークレットマネージャーへ

既存の .env ベースプロジェクトをシークレットマネージャーへ移行する6ステップです。

  1. スキャンと整理gitleaks detect で既にコミットされたシークレットを見つけ、発見されたら直ちにローテーションします。git filter-repo でヒストリーから除去するのは補助手段 — 既に漏洩したシークレットはローテーションが最優先です。

  2. シークレットマネージャー選定とセットアップ — 上記の意思決定ツリーに従ってツール選定。Doppler/Infisicalともに無料tierでPoC可能です。

  3. 開発者ワークフロー決定doppler runinfisical runop run といったラッパーを選定し package.json または Makefile に統合します。

  4. CI/CD移行 — GitHub Actions Secretsをマネージャーに移行し、OIDCで短期認証情報のみ発行するように変更します。すべての永続認証情報(AWS Access Key、GCP Service Account Key)をOIDCに置き換え。

  5. 本番ワークロード移行 — K8sならESOインストール後、徐々にSecretをExternalSecretに切り替え。ECS/LambdaなDも環境変数参照をSecrets Manager ARNに置き換え。

  6. 検証と運用 — モニタリングとアラート設定。ローテーションスケジュール登録、四半期ごとのアクセスレビュー自動化、シークレットスキャンCI統合。

36. むすび - 2026年シークレット管理の原則

2026年シークレット管理の5つの原則で締めくくります。

第一に、シークレットをコードから分離 します。.env ファイルはローカル開発環境のみ、他のすべての環境はマネージャーから注入。

第二に、ワークロードアイデンティティで永続認証情報を排除 します。GitHub OIDC、AWS IAM Roles、GCP Workload Identity、SPIFFE/SPIRE — 可能なすべての場所で短期認証を使用します。

第三に、自動ローテーション をすべてのデータベース認証情報、APIキー、TLS証明書に適用します。ローテーションが困難なシークレットは使用を禁止します。

第四に、事前ブロック + 事後検出の二重防御 を適用します。Push Protection + シークレットスキャンで漏洩を阻止し検出します。

第五に、監査とレビュー を自動化します。すべてのシークレットアクセスログをSIEMに送り、四半期ごとのアクセスレビューを自動でトリガーします。

シークレットは「保管」の問題ではなく「ライフサイクル」の問題です。発行 → 利用 → ローテーション → 廃棄まで全プロセスをシステムが自動で扱うプラットフォームが2026年の標準です。

参考資料

Discuss on TwitterView on GitHub