1Password(ワンパスワード)は、1Passwordから認証情報、トークン、およびフェデレーションアクセスを検証済みのリクエスト元に仲介する新サービス「1Password Credential Broker」の提供開始を発表した。このサービスはプライベートベータ版として提供される。初期サポートではGitHub ActionsワークロードのID検証に対応し、共通のID基盤を通じて、人、マシンワークロード、AIエージェント間で信頼できるアクセスを拡張していくロードマップが示されている。
ベンダーは、クレデンシャルブローカーを、長期間保持される機密情報がアプリケーション、リポジトリー、構成ファイル、環境変数、およびCI/CDパイプラインにコピーされるのを防ぐ手段として位置付けている。1Passwordの保管庫で認証情報を保護し、使用時に認証済みの要求者にのみ承認済みの認証情報を公開することで、ブローカーは認証情報の拡散を抑制し、ローテーションとガバナンスを改善し、機密情報が漏洩または永続化する可能性のある場所を制限することを目的としている。
プライベートベータ版のフローでは、リクエスト元のワークフローがGitHub ActionsからIDシグナルを提示し、ブローカーはそれを検証してから、設定された認証情報またはトークンをワークロードに配信する。各認証情報のリクエストおよび配信イベントはIDコンテキストとともにログに記録され、セキュリティーチームが誰がどの認証情報をどのような信頼関係の下でリクエストしたかをより明確に把握できるようにするための監査証跡が提供される。
1Passwordは、クレデンシャルブローカーはゼロ知識セキュリティーアーキテクチャーに基づいて構築されているため、1Passwordのインフラストラクチャーが顧客の機密情報に永続的にアクセスできないと説明している。顧客が管理する鍵マテリアルと暗号化による保護がアクセスフローにおいて重要な役割を果たし、信頼できるID検証によって認証情報は承認された要求者のみに公開される。
Credential Brokerは、1Password Unified Accessの一部として位置付けられている。1Password Unified Accessは、人間、アプリケーション、マシン、AIエージェント間でIDと認証情報を保護するプラットフォーム構想だ。別途発表された最近の買収案件であるAponoは、上流の認可レイヤー(対象システム内でIDが実行できる操作を定義するレイヤー)に対応するものと説明されている。一方、Credential Brokerは、認証情報がどこに保存され、どのように配信されるかに焦点を当てている。
出典:1Password
この製品の詳細については、1Password製品ページをご覧ください。
