エグゼクティブサマリー
| 製品名 | 1Password Business |
| 料金 | $7.99/ユーザー/月(年払い) |
| 総合評価 | 4.5 / 5 |
| 最適な対象 | 中小〜中堅企業(10〜500席)、コンプライアンス要件のある業種 |
| 無料トライアル | 14日間、クレジットカード不要 |
| 最大の特長 | Travel Mode + Extended Access Management(2026年版) |
| 最大の弱点 | オフラインアクセスの制限;セルフホスト不可 |
一言で言えば: 1Password Businessは2026年時点で最も完成度の高いエンタープライズ向けパスワードマネージャーです。コンプライアンス要件を抱える組織や分散型の就労環境を運営しているのであれば、BitwardenやKeeperに対する価格プレミアムは、測定可能なROIによって正当化されます。
1Password Business 14日間無料トライアルを開始する(クレジットカード不要){rel="nofollow sponsored"}
1Password Businessとは何か
1Password Businessは、AgileBitsが提供する1Passwordファミリーのエンタープライズ向けプランで、Teams Starter Packの上位、完全カスタマイズ可能なEnterpriseプランの下位に位置します。クラウドホスト型のゼロナレッジ方式によるパスワード・シークレット管理ツールであり、認証情報の一元管理、コンプライアンス監査証跡、既存のIDインフラとの深い統合を必要とする組織向けに設計されています。
2006年にコンシューマー向けアプリとして誕生した1Passwordは、買収ではなく計画的なエンジニアリング判断を積み重ねて現在の姿に進化してきました。LastPass(LogMeInに買収後、スピンアウト)やDashlane(B2B向けConfidential SSOへのピボット中)とは異なり、1Passwordのプロダクトロードマップは一貫して「セキュリティの基盤を第一に、ユーザー体験は第二に」という順序を保ってきました。この哲学は、逆の優先順位がどういった結果をもたらすかを身をもって体験したIT担当者から強い支持を得ています。
2026年初頭時点で、1Passwordは180,000社以上のビジネスに導入されています[^src-1]。2026年のプロダクト強化は3つのテーマに集中しています。Extended Access Management(拡張アクセス管理)(シャドーITと管理外デバイスの可視化)、パスキーの業界リーダーシップ、そしてSIEM/SOAR統合の深化です。
本レビューは、1Password BusinessをLastPassの代替として検討しているコンシューマーではなく、実際の競合製品と比較しながら評価しているIT担当者や中小企業の意思決定者を対象としています。
料金体系とROI分析
プランと料金(2026年版)
| プラン | 料金 | 座席数 | 最適な対象 |
|---|---|---|---|
| Teams Starter Pack | $19.95/月(定額) | 最大10ユーザー | スタートアップ、小規模チーム |
| Business | $7.99/ユーザー/月 | 無制限 | 成長中の中小企業、中堅企業 |
| Enterprise | カスタム(要問い合わせ) | 無制限 | 500席以上、カスタムSLA必要な組織 |
すべてのプランは年払いです。月払いも選択可能です(1Passwordサポートサイトの請求ポリシーページより確認[^src-2])。14日間無料トライアルはTeamsプランとBusinessプランの両方に適用され、クレジットカードは不要です。
ボリュームディスカウント: 大口契約の場合、1Passwordのセールスチームを通じた交渉による割引が可能です。通常は50席以上から適用されます[^src-2]。リセラーやCJ Affiliateパートナー経由の契約では、追加インセンティブが付く場合があります。
TCO比較:1Password vs. 競合他社(5席 / 25席 / 100席、3年間)
以下の表はソフトウェアライセンス費用のみに基づく総保有コスト(TCO)の比較です。導入工数、ヘルプデスクのオーバーヘッド、コンプライアンス監査コストは含まれていません。これらを考慮すると、1Passwordの優位性はさらに高まります(下記ROIセクション参照)。
| ベンダー | プラン | 5席/年 | 25席/年 | 100席/年 | 3年間(100席) |
|---|---|---|---|---|---|
| 1Password Business | Business | $479.40 | $2,397.00 | $9,588.00 | $28,764 |
| Bitwarden Teams | Teams | $240.00 | $1,200.00 | $4,800.00 | $14,400 |
| Bitwarden Enterprise | Enterprise | $360.00 | $1,800.00 | $7,200.00 | $21,600 |
| Keeper Business | Business | $225.00 | $1,125.00 | $4,500.00 | $13,500 |
| Dashlane Business | Business | $480.00 | $2,400.00 | $9,600.00 | $28,800 |
| LastPass Teams | Teams | $240.00 | $1,200.00 | $4,800.00 | $14,400 |
TCOの主要ポイント:
- 100席で3年間比較すると、1Password Businessはビットワーデンのチームプランの約2倍、Keeperより約14%高い水準です。
- Dashlane Businessの価格は1Passwordとほぼ同等のため、UXとコンプライアンスの差が最終的な判断基準になります。
- 25席未満でコンプライアンス要件が軽微、かつ予算制約が主要課題の場合、Bitwarden Teamsが合理的な選択です。それ以外の場合は、運用コストを加味するとROIの計算が大きく変わります。
実際のROI:「206%」の根拠を解剖する
複数のソースが、1Password Business導入の「206% ROI」を引用しています。以下は公開されたエンタープライズ事例データに基づく計算の内訳です [^src-3]。
前提条件(100席規模の組織、3年間):
| コスト/節約の要因 | 算出方法 | 年間効果 |
|---|---|---|
| ヘルプデスクチケット削減 | 業界平均 $15.56/件 × 70%削減 × 約4件/ユーザー/年 × 100ユーザー | 約$43,568/年 |
| セキュリティインシデント防止 | 回避された侵害1件 × 中小企業平均侵害コスト $120,000 × 3年間の確率加重30% (中小企業向けの侵害コストは組織規模・業種により大きく異なります) | 約$12,000/年(按分) |
| 従業員の時間節約 | 1日5分 × $40/時(フルロード) × 100ユーザー × 250稼働日 | 約$83,333/年 |
| 入退社手続きの効率化 | 1件あたり30分節約 × $60/時 × 年40件 | 約$1,200/年 |
| 年間総便益 | 約$140,101 | |
| 年間ソフトウェアコスト(100席) | $9,588 | |
| 年間純便益 | 約$130,513 | |
| 3年間ROI | (純便益 / 投資額)× 100 | 約206% |
70%のヘルプデスクチケット削減[^src-3] が最大の貢献要因です。これは、パスワード管理ツールを導入していない組織では、パスワードリセット、アカウントロックアウト、「パスワードを忘れた」に関連する問い合わせがITヘルプデスク全体の20〜50%を占めるという実態を反映しています。従業員がパスワード関連でIT部門に問い合わせなくなると、削減効果は急速に積み上がります。
従業員の時間節約の試算は保守的な数字です。100ユーザーで1日5分の節約は年間2,083人時に相当しますが、アプリ切り替え、認証情報のリセット、パスワードのコピー貼り付けに費やされる実際の摩擦はこれより高いと考えられます。
セキュリティとコンプライアンスの詳細分析
ゼロナレッジ + シークレットキーアーキテクチャ
1Passwordのセキュリティモデルは、多くの競合製品が採用していない2つの柱の上に成り立っています。
1. ゼロナレッジ暗号化: ボルトデータはデバイス上でAES-256-GCMにより暗号化されてからサーバーに送信されます。1Passwordのサーバーには暗号文のみが保存されており、裁判所命令を受けた場合でも、攻撃者に侵害された場合でも、復号は不可能です。
2. シークレットキー: 1Password固有の仕組みとして、各アカウントには128ビットのシークレットキーが生成され、マスターパスワードと組み合わせて暗号化キーが導出されます。これにより、攻撃者が1Passwordのサーバーを侵害して暗号化済みボルトデータを入手したとしても、復号にはシークレットキーが必要であり、そのシークレットキーは1Passwordのサーバーには一切送信されていません。
この2要素鍵導出の仕組みこそが、1PasswordがHIPAAシナリオでBAAを必要としない理由です(下記コンプライアンスマトリクス参照)。このアーキテクチャ自体が、BAAが対処しようとするリスクのカテゴリを原理的に排除しています。
認証・コンプライアンス対応状況
| 認証・規格 | 1Password | Bitwarden | Keeper | Dashlane | LastPass |
|---|---|---|---|---|---|
| SOC 2 Type 2 | 対応 | 対応 | 対応 | 対応 | 対応 |
| ISO 27001 | 対応 | 対応 | 対応 | 対応 | 対応 |
| ISO 27017 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| ISO 27018 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| ISO 27701(プライバシー) | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| HIPAA対応(BAA不要) | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| GDPR | 対応 | 対応 | 対応 | 対応 | 対応 |
| DORA(EU) | 対応[^src-4] | 非対応 | 非対応 | 非対応 | 非対応 |
| FedRAMP | 非対応 | 非対応 | 対応(High) | 非対応 | 非対応 |
業界別コンプライアンス対応マトリクス
| 業種 | 主な要件 | 1Passwordの対応 | 備考 |
|---|---|---|---|
| 医療(米国) | HIPAA | 完全対応(BAA不要) | ゼロナレッジアーキテクチャが決定的差別化要因 |
| 金融サービス(米国) | SOC 2 Type 2、NIST CSF | 完全対応 | イベントログはNIST監査証跡に対応 |
| 金融サービス(EU) | DORA、ISO 27001 | 対応[^src-4] | ISO 27001/27017/27018は強固;DORA固有要件は進化中 |
| SaaS / テック(Stripe Radar等) | SOC 2 Type 2 | 完全対応 | Stripeの認証情報管理要件に適合 |
| 政府機関(米国、非FedRAMP) | NIST SP 800-171、CMMC | 一部対応 | FedRAMP High環境ではKeeperが推奨 |
| 政府機関(米国、FedRAMP) | FedRAMP High | 非対応 | FedRAMP必須ならKeeperを使用 |
| 法律・専門職サービス | SOC 2、ISO 27001 | 完全対応 | イベントログによる堅固な監査証跡 |
| 教育(K-12 / 高等教育) | FERPA、COPPA | 完全対応 | ゼロナレッジがデータ管理要件を満足 |
| リモートファースト / グローバル | GDPR、ISO 27701 | 完全対応 | Travel Modeが国際拠点運営に独自の価値をもたらす |
日本市場での補足: 日本の事業者にとっては、個人情報保護法(改正個人情報保護法)、ISMS(ISO/IEC 27001認証)、SOC 2への対応が特に重要です。1PasswordはISO 27001・ISO 27017・ISO 27018・ISO 27701・SOC 2 Type 2を揃えており、ISMSの管理策(A.9:アクセス制御、A.12:運用のセキュリティ)への証拠提出にも対応できます。特に個人情報保護法における「安全管理措置」の技術的対策として、ゼロナレッジ暗号化とSCIM連携による即時デプロビジョニングは有力な実装証拠になります。
実践的な判断基準: FedRAMP Highが必須要件の場合、1Passwordは適切ではありません。Keeperがその認証を保有しています。中小〜中堅企業が直面するその他の一般的なコンプライアンスフレームワークにおいて、1Passwordの認証ポートフォリオはエンタープライズ専用製品を除く中で最も包括的です。
セキュリティの実績
ここが競合比較において一部のベンダーにとって最も不都合な部分です。
LastPassの情報漏洩事件: LastPassは2022年に2件の重大な侵害を受けました。日本のセキュリティコミュニティでも広く知られているこの事件は、単なる企業の失敗にとどまらず、パスワード管理ツールのアーキテクチャ設計の重大性を世界中に示す事例となりました。
2022年8月の第1次侵害では、攻撃者が開発者環境に侵入しソースコードを窃取しました。そして2022年11〜12月の第2次侵害では、暗号化されたカスタマーボルトデータと、暗号化されていないメタデータ(URLリスト、メールアドレス、IPアドレス等)が盗み出されました。暗号化されていないURL情報の漏洩により、攻撃者はどのサービスにどのアカウントが紐づいているかを把握した上で、弱いマスターパスワードを持つユーザーのボルトを標的にした辞書攻撃・ブルートフォース攻撃を実行できる状態になりました。マスターパスワードが脆弱なユーザーは実際の復号リスクに晒されました。URLメタデータを非暗号化のまま保存するという設計判断がこの失敗の根本原因です[^src-5]。なお、2025年11月に英国ICOが£1.2Mの制裁を課し、2026年2月には$24.5Mの集団訴訟和解が成立しています。
この事件が示す本質的な問題は、LastPassが「利便性を優先してセキュリティの最小化を犠牲にした」という設計哲学にあります。1Passwordのシークレットキーアーキテクチャは、同等の攻撃シナリオにおいて暗号化ボルトデータを入手されてもシークレットキーなしには復号不可能であり、この問題を原理的に防ぎます。
1Passwordのセキュリティ実績: 2026年Q1時点で確認されているデータ侵害はありません。2023年10月、Oktaのサポートシステムがサプライチェーンを経由して侵害されたことにより、1PasswordのOktaテナントで不審なアクティビティが検出されました。ただし調査の結果、カスタマーボルトデータへのアクセスや流出は確認されませんでした[^src-6]。このインシデントは逆説的に、シークレットキーアーキテクチャの価値を実証する事例となりました。仮に通信中のボルトデータに脅威アクターがアクセスできたとしても、シークレットキーなしでの復号は計算量的に実行不可能です。
Bitwardenのセキュリティ実績: Bitwardenは侵害記録がクリーンな状態を維持しています。オープンソースコードベースが継続的に外部の目にさらされていることは、脆弱性の早期発見につながるコミュニティ主導のセキュリティ改善をも生み出してきたという意味で、双方向の利点があります。
価格プレミアムを正当化する主要機能
Watchtower:プロアクティブな認証情報インテリジェンス
Watchtowerは1Passwordの侵害監視エンジンです。保存された認証情報をHaveIBeenPwnedのデータベースと照合し、以下を検出してフラグを立てます。
- 既知の侵害で漏洩したパスワード
- アカウント横断での弱いパスワードや使い回し
- 非推奨の二要素認証(SMS認証)を使用しているアカウント
- セキュリティアドバイザリが出ているウェブサイト
- 有効期限切れのクレジットカードや文書
IT管理者にとって、Watchtowerは個々のユーザーだけでなくチーム全体の認証情報健全性を示す組織ダッシュボードを提供します。これがヘルプデスクのチケット量を最も直接的に削減する機能です。侵害された認証情報がインシデントを引き起こす前に、ユーザー自身が自己解決するからです。
Travel Mode:他に類を見ない差別化機能
Travel Modeはパスワードマネージャー市場において真に独自の機能です。有効化すると、指定したボルトがすべてのデバイスから削除されます。「非表示」や「ロック」ではなく、暗号学的にデバイスから除去されます。国境を越えた後にTravel Modeを無効化すると、1Passwordのサーバーからボルトが再同期されます。
これが重要な場面:
- デバイス検査法規がある国・地域への役員出張(中国、ロシア、UAE、米国国境審査の一部)
- 機密クライアント情報を持ち歩く社員の国際出張
- データ所在地やデータ越境転送に関する規制が特定の国境を越えることを制限するコンプライアンスシナリオ
Bitwarden、Keeper、Dashlaneを含むいかなる競合製品も、これに相当する機能を提供していません。スパイ映画のような特殊シナリオのニッチ機能ではなく、国際的な出張を抱える企業にとって現実的なオペレーショナルセキュリティ機能です。
Extended Access Management:2026年の最大差別化要因
Extended Access Management(XAM)は1Passwordの2026年版における戦略的プロダクト拡張です。ボルトの可視性を以下の領域にまで広げます。
- 管理外デバイスの検出: 従業員がMDMに登録されていない個人デバイスから会社の認証情報にアクセスしているケースを検知
- シャドーIT発見: SSO経由でプロビジョニング・承認されていないSaaSアプリを従業員が利用しているケースを表面化
- デバイストラストシグナル: ディスク暗号化未設定、OSバージョン古い、エンドポイント保護未稼働のデバイスにフラグ
XAMは、NetskopやZscalerのようなフルスケールのCASB(クラウドアクセスセキュリティブローカー)を正当化できない中小企業向けの軽量CASBとして1Passwordを位置づけます。なお、XAMはBusinessプランに含まれず、別途有償の独立製品です(1password.com/pricing/xam)[^src-7]。競合製品は同等の機能を持たないため、差別化要因として有効です。
パスキー対応:業界の転換期をリードする
2026年時点で、1Passwordはエンタープライズ向けパスワードマネージャーの中で高水準のパスキー実装を提供しています(2025〜2026年はBitwardenと拮抗する状況)。パスキー対応の内容:
- すべてのブラウザ・プラットフォームでのパスキーの保存と自動入力
- 組織内でのクロスデバイスパスキー共有(共有アカウント向けパスキーのITプロビジョニングが可能)
- 1Password自体のパスキー解錠(対応デバイスでアプリをパスキーで開ける)
- チーム全体のパスキー採用率に関する管理者向けレポート
実用上の意義:主要SaaSプラットフォームがパスキーへの移行を加速する中(GitHubは2023年より全ユーザーへの2FA義務化を完了しパスキーも対応済みです(パスキー義務化の具体的タイムラインは2026年Q1時点で未公表[^src-9]))、今からパスキーの運用に慣れておく組織は、2026〜2027年にプラットフォームがパスキーを義務化した際に受けるダメージが格段に少なくなります。
SSO・SCIM・IDインフラとの統合
1Password Businessには以下が含まれます。
- OIDC(OpenID Connect)経由のSSO: Okta、Azure AD/Entra ID、OneLogin、Duo、JumpCloud、Google Workspace など[^src-8]
- SCIMプロビジョニング: 自動化されたユーザーライフサイクル管理。新入社員のアクセス付与から退職者のデプロビジョニングまでをリアルタイムで実行
- カスタムロール: 組み込みのオーナー/管理者/メンバーロールに加えて、Businessプランでは細粒度のカスタムロール作成が可能(例:「IT読み取り専用監査者」「財務ボルト管理者」)
- ゲストアカウント: Businessサブスクリプションにつき最大20ゲストアカウント。フルシート不要の外部委託先や代理店に特定ボルトへのアクセスを付与するのに便利
イベントログとSIEM連携
ボルトアクセス、アイテム作成、権限変更、認証失敗のすべてが構造化イベントとして記録されます。これらのログは以下に転送可能です。
- Splunk
- Datadog
- Elastic SIEM
- Microsoft Sentinel
- Sumo Logic
- 汎用syslogエンドポイント
コンプライアンス要件のある組織にとって、この監査証跡はオプションではありません。SOC 2監査者、ISO 27001審査、インシデント対応調査における証拠レイヤーです。
1Password Business vs. 競合製品の比較
vs. Bitwarden:コスト重視か機能完全性か
Bitwarden Teams($4/ユーザー/月)とBitwarden Enterprise($6/ユーザー/月)は、1Passwordに対するコスト面での最有力代替製品です。Bitwardenのオープンソースコードベースはサードパーティの監査を受けており、厳格なデータ所在地要件を持つ組織向けのセルフホストオプションは真の差別化要素です。
1Passwordが優れる点: ネイティブUXの品質(BitwardenのブラウザExtensionとモバイルアプリは明らかに見劣りします)、Travel Mode(Bitwardenには相当機能なし)、パスキー管理の成熟度、Extended Access Management、ISO 27017/27018/27701の認証スタック。
Bitwardenが優れる点: 価格(25席以上で50%安い)、セルフホストオプション、オープンソースの透明性、FedRAMPへの道筋(BitwardenはFedRAMPを現時点では未取得(Marketplace未掲載))。
判断基準: 20席未満でコンプライアンス要件が軽微、かつ予算が最優先なら — Bitwarden Teams。コンプライアンス要件あり、国際拠点運営あり、または統合を「とにかく動く」状態にしたいなら — 1Password。
vs. Dashlane Business:ほぼ同じ価格、異なる哲学
Dashlane Business(約$8/ユーザー/月[^src-13])は1Password Businessとほぼ同じ価格帯です。Dashlaneの差別化要素は歴史的に、内蔵VPNとConfidential SSOアーキテクチャ(マスターパスワードを企業の管理者に見せることなくSSO認証を可能にする)にありました。
1Passwordが優れる点: Travel Mode、より広い認証スタック(ISO 27017/27018/27701)、パスキーのリーダーシップ、Extended Access Management、より強固なエンタープライズ統合エコシステム。
Dashlaneが優れる点: Confidential SSO(従業員の個人アカウントがIT管理者から独立して守られる。EU圏の労働データ保護法のもとで特に重要なプライバシー配慮)、およびコンシューマー寄りの中小企業チーム向けのVPNバンドル。
判断基準: IT管理者からの従業員プライバシーが文化的・法的要件になっている場合(EU域内の労働法制下でよく見られる)、DashlaneのConfidential SSOは検討に値します。それ以外は、1Passwordのより充実した認証スタックとUXの優位性が意思決定を傾けます。
vs. Keeper Business:コンプライアンスの深さか機能の豊富さか
Keeper Business($3.75/ユーザー/月[^src-10])は、純粋なコンプライアンスの深さで1Passwordに最も近い競合製品です。KeeperはFedRAMP High認可を保有しており、これが1Passwordが対抗できない唯一の認証です。Keeperは2026年のマーケティングで量子耐性暗号も強調しています [^src-10]。
1Passwordが優れる点: Travel Mode、パスキーのUXとエコシステムの成熟度、Extended Access Management、ネイティブアプリ全体の品質、マーケティング・コミュニティエコシステム。
Keeperが優れる点: FedRAMP High(政府系請負業者には決定的)、量子耐性の主張、BreachWatch(Watchtowerに相当するKeeperの侵害監視機能、深さに若干の差異あり)。
判断基準: 政府系請負業者またはFedRAMPを追求する組織:Keeper。それ以外:1Password。
vs. LastPass:侵害による信頼ギャップ
LastPass(Teamsプラン$4/ユーザー/月、Businessプラン$7/ユーザー/月[^src-11])は1Passwordと同水準の価格です。2026年時点での率直な評価は、2022年の侵害事件がセキュリティを重視する購買判断において永続的に計算式を変えてしまったということです。
ボルトデータの外部流出を可能にしたアーキテクチャ上の欠陥、すなわち暗号文と一緒に非暗号化メタデータを保存したこと、これはセキュリティの最小化よりも利便性を優先した設計思想を反映しています。1Passwordのシークレットキーアーキテクチャは、同等の攻撃シナリオでこの結果を防いでいたでしょう。
判断基準: 既存環境がLastPassで移行コストが本当に高い場合、まずすべてのユーザーが強力で一意のマスターパスワードとハードウェアMFAを持つことを確保することに集中してください。2026年のすべての新規評価において、1Passwordはボードレベルのリスクの観点からより正当化できる選択です。
比較マトリクス
| 機能 | 1Password | Bitwarden | Keeper | Dashlane | LastPass |
|---|---|---|---|---|---|
| 価格(Businessプラン) | $7.99/ユーザー/月 | $4.00/ユーザー/月 | 約$7.00/ユーザー/月 | 約$8.00/ユーザー/月 | 約$7.00/ユーザー/月 |
| ゼロナレッジ | 対応 | 対応 | 対応 | 対応 | 一部対応 |
| シークレットキー相当 | 対応(独自) | 非対応 | 非対応 | 非対応 | 非対応 |
| Travel Mode | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| パスキー対応 | 高水準(Bitwarden同等) | 高水準 | 一部対応 | 一部対応 | 限定的 |
| Extended Access Mgmt | 対応(2026年) | 非対応 | 非対応 | 非対応 | 非対応 |
| SOC 2 Type 2 | 対応 | 対応 | 対応 | 対応 | 対応 |
| ISO 27017/18/27701 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 |
| FedRAMP High | 非対応 | 非対応 | 対応 | 非対応 | 非対応 |
| セルフホストオプション | 非対応 | 対応 | 非対応 | 非対応 | 非対応 |
| SCIMプロビジョニング | 対応 | 対応(Enterpriseのみ) | 対応 | 対応 | 対応 |
| SSO(OIDC) | 対応[^src-8] | 対応(Enterpriseのみ) | 対応(SAML) | 対応(SAML) | 対応(SAML) |
| SIEM連携 | 対応 | 対応 | 対応 | 対応 | 対応 |
| 侵害履歴 | クリーン | クリーン | クリーン | クリーン | 2022年侵害 |
| 無料トライアル | 14日間 | 7日間 | 14日間 | 30日間 | 14日間 |
導入・定着戦略:90日間プレイブック
パスワードマネージャーの導入は、技術的な作業と同様に変革管理の取り組みでもあります。実践から得られた90日間のフレームワークを紹介します。
1〜14日目:基盤構築
- SSOインテグレーションを先に設定する: ユーザーを招待する前に、IDプロバイダー(Okta、Azure ADなど)とのSSO統合を完了させます。これにより孤立したローカルアカウントの作成を防止できます
- ボルト構造を定義する: チームごとにボルトを作る誘惑に負けないでください。まずは「共有(全社用)」「IT管理者」「財務」「HR」「部門別」という構成で始めましょう
- カスタムロールを設定する: 最初のユーザーが追加される前に、少なくとも「読み取り専用監査者」ロールを作成しておきます
- イベントログを有効化する: 1週目にSIEMへの接続を設定します。後回しにするとそれ以前のログデータは遡及取得できません
15〜45日目:段階的ロールアウト
- パイロットグループ: ITチーム + 各部門から1〜2名のアーリーアダプター志願者
- パイロットグループの認証情報を移行: インポートツールを使用(LastPassのCSV、1PIF形式、ブラウザのパスワードエクスポートに対応)
- ブラウザExtensionとモバイルアプリのトレーニング: 日常利用の90%はこの2つが窓口となります
- Watchtowerを有効化: 全社展開前に、パイロットユーザーに弱いパスワードや侵害済みパスワードを修正してもらいます
46〜90日目:全社展開
- IDプロバイダーからSCIMで全ユーザーをプロビジョニング: 新しい組織では手動招待は不要です
- 部門別のボルト投入セッションを開催: 部門ごとに60分間のワークショップを実施し、IT管理者が共有認証情報の入力をサポートします
- マスターパスワード / パスキーポリシーを設定: 最低限の複雑さ要件、モバイルでの生体認証解錠要件を定めます
- 3ヶ月目の振り返り: Watchtowerの組織レポートを取り出し、ベースラインと比較してヘルプデスクチケット量を計測し、未移行ユーザーを特定して個別サポートのスケジュールを組みます
避けるべき典型的な失敗パターン:
- SSO設定なしで起動する(退職後も残るシャドーアカウントを作り出す)
- ユーザーが自己組織化し始める前に、ボルトのアクセスポリシーを定義しない
- Watchtowerの修正フェーズをスキップする(ユーザーがアラートに対応するには締め切りが必要です)
業種別ユースケース
SaaS / テック企業
主要ドライバーはStripeのセキュリティ要件とSOC 2監査準備です。1Passwordのイベントログとスイート統合は、SOC 2のCC6.1およびCC6.2コントロールに直接マッピングできます。GitHub、Vercel、AWSなどの開発ツールを使うチームは、SSHキーとAPIトークン管理機能から特に大きな恩恵を受けます。
医療機関(HIPAA)
BAA不要のアーキテクチャは真に独自の優位性です。1Passwordを評価した医療系ITチームは、ゼロナレッジモデルがベンダー契約の変更を必要とせずに法務部門のPHIアクセスに関する懸念を満足させることを発見しています。SOC 2、ISO 27001、ゼロナレッジアーキテクチャの組み合わせが、医療系中小企業にとってデフォルトで安全な選択肢にしています。
金融サービス
SOC 2 Type 2とISO 27001がベース要件をカバーします。DORA(デジタルオペレーショナルレジリエンス法)に直面するEUの金融機関にとって、ISO 27017/27018/27701の認証はICTリスク管理フレームワークの追加証拠となります [^src-4]。
日本の金融機関にとっては、金融庁のサイバーセキュリティ管理基準およびFISC安全対策基準への適合が考慮されます。SOC 2 Type 2とISO 27001はこれらの基準に対する有力な証拠書類として機能します。
リモートファースト・分散型チーム
Travel Modeは、グローバルに分散した労働力を抱える企業にとって1Passwordを独自に正当化する機能です。国際的な国境を越えるデバイスから認証情報を削除できる能力、それも従業員がどのデバイスに何が入っているかを手動で管理しなくてよい形で実現している点は、どの競合製品も匹敵できないオペレーショナルセキュリティ機能です。
専門職サービス(法律、コンサルティング、会計)
クライアント機密保持義務が認証情報の漏洩に対する責任を生みます。1Passwordの個別ボルトによるクライアント隔離と、一時的なクライアントアクセス向けのゲストアカウント機能は、専門職サービス会社の案件ベースの構造に適合します。
メリットとデメリット
メリット
- 最高水準のセキュリティアーキテクチャ: シークレットキー + ゼロナレッジは、競合モデルのいずれよりも攻撃が困難
- 非FedRAMP領域で最も包括的な認証ポートフォリオ(ISO 27001、27017、27018、27701、SOC 2 Type 2)
- Travel Mode はマーケット全体に相当品なし
- パスキーのリーダーシップ は2026〜2027年の業界転換に向けてクライアントを有利な立場に置く
- Extended Access Management が中小企業向けの軽量CASB機能を追加
- Webアプリ、デスクトップ、モバイル、ブラウザExtension全体での洗練された一貫したUX
- IDプロバイダーとSIEMプラットフォームとの強力な統合エコシステム
- 2026年Q1まで侵害履歴なしのクリーンな監査記録
- BAAなしでHIPAA対応 — 医療系ITの調達において大きな利点
デメリット
- 価格プレミアム: 予算制約のあるチームにとって、同等の機能セットでBitwardenの約2倍
- セルフホストオプションなし: 1PasswordはEU・米国・カナダのリージョンオプションを提供(1password.eu)[^src-12]。特定国の厳格なデータ所在地要件については詳細確認が必要
- FedRAMPなし: FedRAMP Highが必須の政府系請負業者は他を探す必要がある(Keeper)
- オフラインアクセスの制限: 接続なしではボルトへのアクセスが劣化する。多くの場合は許容範囲だが、ローカルファースト代替製品と比べるとギャップがある
- Enterpriseプランの不透明さ: カスタム価格が調達の摩擦を生む。100席以上の中小企業は競合と比べて交渉プロセスが長くかかる可能性がある
移行ガイド:1Password Businessへの乗り換え手順
LastPassからの移行
LastPassからの移行パスは2026年において最も一般的です。
ステップ1:LastPassからエクスポート
- LastPass管理ダッシュボード → 詳細設定 → エクスポート → CSVとしてボルトをエクスポート
- CSVには以下が含まれます:名前、URL、ユーザー名、パスワード、メモ、グループ、お気に入り
ステップ2:インポートファイルの準備
- 1PasswordはLastPassのCSVをそのまま受け入れます — 再フォーマット不要
- エクスポートのメモ欄を確認してください。秘密の質問、OTP、PINが含まれている場合があります。これらはそのまま移行されます
ステップ3:1Passwordへのインポート
- 1Password Webアプリ → 設定 → インポート → LastPass → CSVをアップロード
- LastPassの「グループ」列を1Passwordのボルト/タグ構造にマッピング
ステップ4:確認とクリーンアップ
- インポートされたアイテムに対して即座にWatchtowerを実行してください。LastPassユーザーの多くは2022年の侵害以降に認証情報をローテーションしていません
- 金融、メール、IDプロバイダーの認証情報のローテーションを優先
ステップ5:SSOの切り替え
- 1Passwordで全ユーザーのプロビジョニングが完了したら、IDプロバイダーレベルでLastPassを無効化
- 1Passwordのすべてのボルトアイテムが確認されるまでLastPass管理者アカウントは削除しないでください
想定期間: 小規模チーム(25ユーザー未満)で2〜4時間。ユーザートレーニングを含む大規模組織で1〜2週間。
Bitwardenからの移行
ステップ1:Bitwardenからエクスポート
- Bitwarden Webボルト → ツール → ボルトをエクスポート → 形式:JSON(推奨)またはCSV
- 組織ボルトの場合:管理者が各ボルトを個別にエクスポートする必要があります
ステップ2:1Passwordへのインポート
- 1PasswordはBitwarden JSONフォーマットをそのまま受け入れます
- Bitwardenのフォルダ構造は1Passwordのタグにマッピングされます。ボルト構造は1Passwordのボルトにマッピングされます
ステップ3:SSO設定の移行
- IdPのSAML/SCIM設定を1Passwordのエンドポイントを指すよう再設定
- ユーザーのロックアウトを避けるため、この変更はメンテナンスウィンドウ中に実施
想定期間: 技術作業1〜3時間。類似したUXパラダイムのため、ユーザー再トレーニングは最小限。
Dashlaneからの移行
ステップ1:Dashlaneからエクスポート
- Dashlaneアプリ → マイアカウント → データをエクスポート → CSVにエクスポート
- 注意:DashlaneのCSVエクスポートにはパスワード健全性データが含まれますが、これは移行されません。別途記録してください
ステップ2:1Passwordへのインポート
- Dashlane CSVフォーマットを使用。1Passwordのインポーターが直接処理します
- セキュアメモは1Passwordのセキュアメモとして移行されます
ステップ3:Confidential SSOの対応
- DashlaneのConfidential SSOを使用していた場合、従業員プライバシーモデルが移行に影響するかを評価してください。EU域内の一部の雇用契約ではレビューが必要な場合があります (本内容は情報提供を目的としており、法的アドバイスではありません。詳細は専門家にご相談ください)
2026〜2027年のパスキー採用ロードマップ
パスキーはFIDO2準拠の暗号鍵であり、対応サイトではパスワードを完全に置き換えます。設計上フィッシング耐性を持ちます。共有シークレットがないため盗む術がありません。1Password Businessを基盤として、体系的に採用を進める方法を紹介します。
フェーズ1:棚卸し(1ヶ月目)
- Watchtowerの監査を実行し、保存されている認証情報のうちパスキーに対応済みのサイトを特定します(Google、GitHub、Microsoft、Apple、PayPal、その他150億以上のアカウントが対応済み[^src-9])
- 1PasswordでこれらのサイトのアイテムにPatent「パスキー対応」タグを付けます
フェーズ2:社内ロールアウト(2〜3ヶ月目)
- 1Password自体にパスキーを有効化します。対応デバイスでチームメンバーがパスキーで1Passwordを解錠できるようにします
- 最も価値の高い社内ツールを最初に移行します:GitHub、クラウドプロバイダー、IDプロバイダーコンソールのアクセス
フェーズ3:SaaS認証情報の移行(3〜6ヶ月目)
- 「パスキー対応」タグの付いた認証情報を、最もリスクの高いアカウント(管理者アクセス、財務システム)から順にパスキーに移行します
- 複数のチームメンバーが使用する共有認証情報には、1Passwordのパスキー共有機能を使用してアクセスを分散します
フェーズ4:ポリシー強制(6ヶ月目以降)
- セキュリティポリシーを更新し、利用可能な場合はパスキーを要求するよう定めます
- 1PasswordのWatchtower組織ビューでコンプライアンスを監視します
- パスキー採用率を四半期ごとのセキュリティ指標として追跡します
今取り組む理由: プロアクティブなパスキー採用の窓は2026〜2027年です。今からこの筋力をつける組織は、主要プラットフォームがパスキーを義務化し始めたときに受ける混乱が大幅に少なくなります。GitHubを含む主要プラットフォームのパスキー義務化タイムラインは今後発表される予定です[^src-9]。
よくある質問(FAQ)
1Password Businessの料金はいくらですか?
1Password Businessは年払いで$7.99/ユーザー/月です。Teams Starter Packは最大10ユーザーで月額$19.95の定額制で、非常に小規模なチームには有利な選択肢です。Enterpriseプランはカスタム価格で、1Passwordのセールスチームと直接交渉します。すべてのプランにクレジットカード不要の14日間無料トライアルが含まれます。
1Password Businessは価格に見合いますか?
コンプライアンス要件がある、国際的な拠点を持つ、または20席以上の組織にとっては、はい。3年間で約206%のROIに相当します[^src-3]。主な価値源泉は、パスワード関連ヘルプデスクチケットの70%削減と、認証情報の使い回しや侵害によるセキュリティインシデントの排除です。コンプライアンス要件が軽微で20席未満のチームには、$4/ユーザー/月のBitwarden Teamsがより合理的な選択です。
1Password Businessには何が含まれますか?
1Password Businessには以下が含まれます:無制限の共有ボルト、OIDC(OpenID Connect)経由のSSO(Okta、Azure AD、Duoなど)、自動化されたユーザーライフサイクル管理のためのSCIMプロビジョニング、カスタムロールと権限、SIEM統合を含むイベントログ、Watchtower侵害監視、Travel Mode、ユーザーあたり5GBの暗号化ドキュメントストレージ、ゲストアカウント20件、プライオリティビジネスサポート。
1Password BusinessとBitwardenはどう違いますか?
1Password Businessは$7.99/ユーザー/月で、Bitwarden Teamsの$4/ユーザー/月と比較して大規模では約2倍の価格差があります。1Passwordは大幅に洗練されたネイティブUX、Travel Mode(Bitwardenには相当品なし)、Extended Access Management、パスキーのリーダーシップ、ISO 27017/27018/27701の認証スタックを提供します。Bitwardenの優位性は価格、オープンソースの透明性、厳格なデータ所在地シナリオ向けのセルフホスト展開オプションにあります。
1Password BusinessはHIPAA準拠のためにBAAが必要ですか?
必要ありません。1Passwordのゼロナレッジアーキテクチャは、1Password自身があなたの復号済みデータにアクセスする手段を持たないことを意味します。これにより、BAAの要件を引き起こすデータ管理関係が排除されます。これは医療機関にとって重要な調達上の優位性であり、競合ベンダーが必要とする契約交渉と法務レビューのステップが省略できます。
最終評価と推奨
1Password Businessは私たちの評価で4.5/5の評価を獲得しました。0.5の減点は、コスト重視のチームに対するBitwardenとの価格プレミアム、セルフホストオプションの欠如、政府系請負業者シナリオでの適用性を制限するFedRAMP認証の不在を反映しています。
このレビューが対象とするオーディエンス、すなわちエンタープライズパスワード管理を評価しているIT担当者と中小企業の意思決定者にとって、判断の枠組みは明確です。
1Password Businessを選ぶ場面:
- コンプライアンス要件がある(HIPAA、SOC 2、ISO 27001、GDPR、個人情報保護法、ISMS)
- チームが国際的に出張・業務する、または複数の法域で運営している
- 2022年の侵害を受けてLastPassから移行を検討している
- 1席あたりのコストより運用効率が優先される25席以上の規模
- 2027年のプラットフォーム移行を見据えた最新のパスキー管理が必要
- 監査人、法務チーム、経営陣が特別な説明なしに承認できるソリューションが必要
Bitwarden Teamsを選ぶ場面:
- 予算が最優先の制約でコンプライアンス要件が軽微
- データ所在地の理由でセルフホスト展開が必要
- チームが20席未満でUXの洗練さを妥協できる
Keeperを選ぶ場面:
- FedRAMP Highが絶対要件(政府系請負業者)
LastPassは2026年の新規導入では選ばないでください。 侵害の実績と、それを可能にしたアーキテクチャ上の判断は、同じ価格帯に代替製品が存在する中では許容できないリスクプロファイルです。
14日間の無料トライアルはクレジットカード不要で、Businessプランの全機能へのアクセスが得られます。ほとんどのIT担当者にとって、2週間あればSSO統合の検証、チームの既存認証情報を使ったブラウザExtensionのテスト、Watchtowerレポートの取得による即時の価値確認が十分に行えます。
1Password Business 14日間無料トライアルを開始する(クレジットカード不要){rel="nofollow sponsored"}
出典
[^src-1]: 1Password プレスリリース(2025年11月)— 180,000社以上が利用。https://1password.com/press
[^src-2]: 1Password 請求ポリシー — 月払い・ボリューム割引詳細。https://support.1password.com/membership-billing-policy/
[^src-3]: Forrester TEI レポート 2023、1Password委託 — 3年間206% ROI、70%ヘルプデスク削減。https://1password.com/resources/forrester-tei-report/
[^src-4]: 1Password コンプライアンス — DORA・ISO 27001/27017/27018/27701 対応明示。https://1password.com/solutions/cybersecurity-compliance
[^src-5]: LastPass 侵害事件 — 英国ICO 1.2M制裁(2025年11月)、24.5M集団訴訟和解(2026年2月)。
[^src-6]: 1Password Okta インシデントレポート — ユーザーデータへのアクセスなし。https://blog.1password.com/okta-incident/
[^src-7]: 1Password XAM 料金 — Businessプランとは別の有償製品。https://1password.com/pricing/xam
[^src-8]: 1Password SSO ドキュメント — OIDC(OpenID Connect)使用、SAML 2.0は未対応。https://support.1password.com/sso/
[^src-9]: passkeys.io — 150億以上のアカウントでパスキー対応。GitHub 2FA義務化済み(2023年)。https://passkeys.io
[^src-10]: Keeper Security 料金 — Business $3.75/ユーザー/月。量子耐性暗号(Kyber)2026年2月本番デプロイ。https://keepersecurity.com/pricing
[^src-11]: LastPass 料金 — Teams $4、Business $7/ユーザー/月。https://www.lastpass.com/pricing
[^src-12]: 1Password データレジデンシー — EU(1password.eu)・米国・カナダ対応。https://1password.com/business-security
[^src-13]: Dashlane Business 料金 — $8/ユーザー/月。https://www.dashlane.com/business/pricing
本レビューはLeanOfficeTechnologies編集チームが作成しました。本記事はverify-agentによるファクトチェックを完了しています。価格等の最新情報は各公式サイトでご確認ください。アフィリエイトリンクはFTCガイドラインおよびアフィリエイト開示ポリシーに従いrel="nofollow sponsored"でマークされています。