1Password Business 運用の検証 #0
Intro
1Password を個人で使うだけでなく、組織全体で利用することで、開発に必要なアカウントを共有したり、CLI を使って自動化するといった、様々なメリットがある。
組織で 1Password を展開する際は、1Password を Business プランで契約し、ドメインに所属するメンバーにアカウントを発行することになるだろう。
その際、組織でどのようなルールを設け、どのような方法で管理し、どのように組織に合わせた設計を行うかは、多くの人が同じような検証を実施することになると思われる。
今回は筆者 (Jxck) が、自分で持っている mozaic.fm のドメインを用いて、ビジネスアカウントを契約し、汎用的な運用方法の素案を検討した。その成果をドキュメントにまとめたので、同じように 1Password の組織展開を考えている際は参考になればと思う。
1Password Business 運用ガイド素案
- 1Password Business 運用ガイド素案 - Google ドキュメント
1Password の設計思想
組織に展開するにあたって、特に注目すべき点は、「1Password の設計思想」だ。
1Password は Password Manager であるため、そのアカウント管理は、通常の Web サービスに作るアカウントの管理などとは異なる。
それをチームで使用する場合、管理者およびチームメンバーはどのように運用すればよいのか、何に気をつけるべきなのか、などは「1Password がどのような設計思想で作られているか」を理解していないと、適切に運用できないだろう。
この設計思想を誤って解釈した運用ルールなどを管理者が策定してしまうと、組織の全ユーザが使いにくい運用を強いられ、結果として全体の安全性が既存される可能性もある。
このドキュメントでは、そのあたりを踏まえた上で、例えば以下のようなガイドも含めている。
- Master Password はどう作るか
- Secret Key はどう守るか
- Group/Vault はどう設計するか
- etc
もちろん、公式のドキュメントがあれば引用しつつ、細かい部分は筆者の解釈も多い。つまり、間違っている可能性もある。
注意
このドキュメントは公式のものではなく、部外者の個人が自分のプランで検証したものである。記載している内容が間違っていたり、1Password 公式の推奨とズレている箇所もあるだろう。
それを留意した範囲であれば、自由に複製し、内部資料などに役立ててもらって構わない。ただし、発生するあらゆる事象は自己責任とし、あくまで参考に留め、重要な部分は各自検証してから展開してほしい。
なお、筆者は 1Password と利害関係があるわけではなく、単なる 1Password の利用者だ。昨今のフィッシング詐欺や、サプライチェーン攻撃の対策として、パスワードマネージャの利用を啓蒙する際、必然的に使っている 1Password を紹介することになる。しかし、それを差し引いても 1Password は機能も設計もよくできているため、積極的に勧めていた。
ところが、それは個人が契約した Personal Plan の中で、個人のクレデンシャルをどう管理するかといった部分が中心だった。今回しっかりと Business Plan を検証したところ、このサービスも組織で展開する上で必要なものが十分に揃っており、非常に使いやすいと感じている。
他のベンダとの Single Sign-On 連携といった、エンタープライズ用途で検証ができていない部分はあるが、基本的に「どんな組織でも共通する運用」については、ある程度カバーしていると考えている。ここから先は、組織の事情に応じて考えることになるだろう。
重要トピックの連載
今日から何回かに分けて、この検証の過程で把握した、1Password を組織で使う上で留意すべきトピックをいくつか選び、ブログの中で解説していく。