Keeper SecurityがJetBrains拡張を公開——IDE内シークレット管理で認証情報漏洩を防止
認証情報の漏洩は、サイバーセキュリティ侵害の最大の原因であり続けている。IBMの「Cost of a Data Breach Report 2025」によれば、認証情報の窃取・漏洩が関与したインシデントは全体の約16%を占め、平均被害額は$4.88M(約7.3億円)に達した。GitHubが2025年に導入したSecret Scanning Push Protectionは、パブリックリポジトリへの認証情報プッシュを約100万件以上ブロックしたと報告されているが、それでも開発フローの上流——つまりIDEの中で認証情報がハードコードされる段階を防ぐことはできていなかった。
2026年3月、パスワード・シークレット管理大手のKeeper Securityがこの問題に正面から取り組む新プロダクトを発表した。JetBrains IDE向けの公式シークレット管理拡張機能だ。IntelliJ IDEA、PyCharm、WebStorm、GoLand、PhpStorm、RiderなどJetBrainsのフルラインナップに対応し、開発者がIDEを離れることなくシークレットを安全に取得・注入できるようにする。
なぜIDE内シークレット管理が必要なのか
従来、開発者がAPIキーやデータベース接続文字列を扱う際のワークフローはこうだった。
- パスワードマネージャーやSlackからシークレットをコピー
.envファイルやソースコードにペースト- 開発・テストを実施
- コミット時に
.gitignoreで除外し忘れ、またはうっかりgit add .でステージング - プッシュ後にGitHub Secret Scanningがブロック(パブリックリポの場合のみ)
この5ステップの中で、ステップ2〜4に大きな脆弱性がある。ローカルの .env ファイルはプレーンテキストで保存されるため、マルウェアやディスク盗難で容易に読み取られる。そしてプライベートリポジトリではSecret Scanningのプッシュ保護がデフォルト有効ではないケースも多い。
以下の図は、Keeper SecurityのJetBrains拡張によるシークレット管理の仕組みを示しています。
Keeper SecurityのJetBrains拡張は、このフローを根本から変える。シークレットはKeeper Vaultにのみ保存され、IDE内のプラグインがゼロナレッジ暗号化を通じてリアルタイムに取得する。ソースコードにも.envファイルにも、認証情報のプレーンテキストが一切残らないのだ。
Keeper JetBrains拡張の主要機能
Vault統合によるシークレット参照
拡張機能をインストールしKeeper Vaultにログインすると、IDE内のサイドパネルからシークレットの検索・参照が可能になる。従来のように外部ブラウザやアプリに切り替える必要がない。シークレットの値はクリップボードにコピーするか、設定ファイルへの直接注入(後述)で利用できる。
環境変数の動的注入
最大の目玉機能が、ランタイムへの動的シークレット注入だ。Run Configuration(実行構成)にKeeper参照URIを設定すると、アプリケーション起動時にKeeperが自動的にシークレット値を環境変数として注入する。
# 従来(危険)
DATABASE_URL=postgresql://user:plaintext-password@db.example.com:5432/mydb
# Keeper参照(安全)
DATABASE_URL=keeper://vault/records/xxxx-xxxx/fields/password
この方式なら、docker-compose.yml や application.properties にプレーンテキストのパスワードを書く必要がなくなる。チーム全員が同じKeeper Vault上のシークレットを参照するため、認証情報のローテーション時もVault側を更新するだけで全員の環境に即座に反映される。
ハードコード検出と警告
コードエディタ内でシークレットに類似するパターン(sk-、AKIA、ghp_ などのプレフィックス)を検出すると、IDEのインスペクション機能と連携して警告を表示する。さらにワンクリックでそのシークレットをKeeper Vaultに保存し、コード上の値をKeeper参照URIに置換するクイックフィックスも提供される。
ロールベースアクセス制御(RBAC)
企業利用では、管理者がKeeper管理コンソールからフォルダ・レコード単位でアクセス権限を設定できる。フロントエンド開発者にはフロントエンド用APIキーのみ、バックエンド開発者にはデータベース認証情報のみ——といった細やかな権限管理が可能だ。監査ログも自動記録され、誰がいつどのシークレットにアクセスしたかを追跡できる。
競合ツールとの比較
IDE内でのシークレット管理は、Keeper Securityだけが取り組んでいるわけではない。以下の表で主要な競合・関連ツールを比較する。
以下の図は、主要なIDEシークレット管理ツールの機能・価格比較を示しています。
| ツール | JetBrains対応 | VS Code対応 | 動的注入 | ゼロナレッジ | 価格帯 |
|---|---|---|---|---|---|
| Keeper Security | ✅ 全製品 | ✅ | ✅ | ✅ | $3.75/月〜 |
| 1Password | ❌ | ✅ | ✅(CLI経由) | ✅ | $7.99/月〜 |
| HashiCorp Vault | ❌ | △(プラグイン) | ✅ | △(設定依存) | $1.58/時間〜 |
| AWS Secrets Manager | ✅(AWS Toolkit) | ✅ | ✅ | ❌ | $0.40/件/月 |
| GitHub Secret Scanning | ❌ | ❌ | ❌(検出のみ) | — | 無料〜$21/月 |
Keeper Securityの最大の差別化ポイントは、JetBrainsのフルラインナップをネイティブサポートしている点だ。1PasswordのDeveloper Toolsも優れたシークレット管理を提供するが、JetBrains向けのネイティブ拡張はまだ提供されていない。HashiCorp Vaultはエンタープライズ向けの強力なソリューションだが、セットアップの複雑さと運用コストが中小チームには負担になりがちだ。
技術的な仕組み ── ゼロナレッジアーキテクチャ
Keeperのシークレット管理が他ツールと異なる核心的な設計思想がゼロナレッジアーキテクチャだ。
暗号化フロー
- マスターパスワード → PBKDF2-HMAC-SHA256で256ビット鍵を導出
- 導出鍵で**データ暗号化キー(DEK)**をAES-256-GCMで復号
- DEKで個々のシークレットレコードを復号
- すべての復号処理はクライアント(IDE内拡張)上で実行
- Keeperサーバーには暗号化済みデータのみ保存——Keeper社の社員でも内容を閲覧不可
この設計により、仮にKeeperのサーバーが侵害されたとしても、攻撃者が取得できるのは暗号化済みのバイナリデータのみとなる。マスターパスワードなしでは復号は事実上不可能だ。
JetBrains拡張での実装
JetBrains拡張はKotlin/JVMで実装されており、Keeper SDKを内部的に利用してVaultとの通信を行う。認証にはKeeper SSOまたはマスターパスワード + 2FAが使用される。IDE起動時にセッショントークンをメモリ内にのみ保持し、ディスクには書き込まない。IDEを閉じるとセッションは自動的に破棄される。
導入手順
JetBrains拡張の導入は非常にシンプルだ。
- Keeper Businessアカウントを作成(14日間無料トライアルあり)
- JetBrains IDEの
Settings → Plugins → Marketplaceで「Keeper」を検索しインストール - IDE再起動後、サイドパネルの「Keeper」タブからログイン
Run Configurationの環境変数にKeeper参照URIを設定- アプリケーションを実行——シークレットが自動的に注入される
既存プロジェクトの移行も考慮されている。拡張にはプロジェクト内の .env ファイルをスキャンし、検出されたシークレットをKeeper Vaultに一括インポートする機能が搭載されている。インポート後、.env ファイル内の値をKeeper参照URIに自動置換するオプションもある。
料金体系
Keeper Securityの料金プランを整理する。
| プラン | 月額(1ユーザー) | 年額(1ユーザー) | 日本円換算(年額) | シークレット管理 |
|---|---|---|---|---|
| Personal | $2.92 | $34.99 | 約5,250円 | ❌ |
| Business Starter | $3.75 | $45.00 | 約6,750円 | ✅ |
| Business | $4.50 | $54.00 | 約8,100円 | ✅ + 高度な機能 |
| Enterprise | 要問い合わせ | 要問い合わせ | — | ✅ フル機能 |
JetBrains拡張のシークレット管理機能はBusiness Starter以上のプランで利用可能だ。個人プランでは利用できない点に注意が必要だ。なお、1PasswordのBusiness版($7.99/月〜)と比較すると、Keeper Business Starter($3.75/月〜)は約53%安い計算になる。
日本企業への影響と展望
日本市場での認証情報漏洩の現状
IPAの「情報セキュリティ10大脅威 2026」では、認証情報の不適切な管理に起因するインシデントが組織向け脅威の上位にランクインしている。特に日本のSIer・受託開発の現場では、プロジェクトごとに .env ファイルをSlackやメールで共有するプラクティスが依然として残っており、Keeper Securityのようなツールの需要は高い。
JetBrains IDEの日本での利用状況
JetBrains社の発表によれば、日本はアジア太平洋地域で2番目に大きい市場だ。特にIntelliJ IDEAはJava開発者、PyCharmはデータサイエンティストの間で高いシェアを持つ。Keeper SecurityがJetBrainsを優先的にサポートしたのは、VS Code以外の大規模なIDE市場を押さえる戦略的な判断と言える。
日本語対応の課題
現時点でKeeper JetBrains拡張のUIは英語のみだ。Keeper Vault自体は日本語に対応しているが、IDE内のサイドパネルやインスペクションメッセージは英語表記となる。日本語化は今後のアップデートで対応予定とされているが、具体的な時期は未定だ。
国内規制との整合性
Keeperのゼロナレッジアーキテクチャは、改正個人情報保護法やISMAP(政府情報システムのためのセキュリティ評価制度)の要件と親和性が高い。特にISMAPクラウドサービスリストへの登録が実現すれば、官公庁や自治体のシステム開発でも採用が進む可能性がある。Keeper Securityは既にFedRAMP認証を取得しており、ISMAP対応へのハードルは比較的低いと見られる。
GitHub Secret Scanningとの使い分け
Keeper JetBrains拡張とGitHub Secret Scanning Push Protectionは補完関係にある。
- Keeper拡張: IDE内でシークレットのハードコード自体を防止(予防)
- GitHub Secret Scanning: リポジトリへのプッシュ時にシークレットをブロック(検出)
両方を組み合わせることで、**多層防御(Defense in Depth)**が実現する。Keeperで上流を封じ、万が一すり抜けたものはGitHubでキャッチする——この二重の安全網が理想的な構成だ。
まとめ——今すぐできるアクション
Keeper SecurityのJetBrains拡張は、認証情報漏洩という開発現場の最大のセキュリティリスクに対して、開発者体験を損なわない形で根本的な対策を提供する。特にJetBrains IDEをメインで使うチームにとっては、現時点で最も統合度の高いシークレット管理ソリューションと言える。
具体的なアクションステップは以下のとおりだ。
- 即座に実行: プロジェクト内の
.envファイルと設定ファイルをスキャンし、ハードコードされた認証情報を洗い出す。git log --all -p | grep -E "(sk-|AKIA|ghp_)"でGit履歴内の漏洩もチェック - 今週中に検討: Keeper Security Business Starterの14日間無料トライアルに登録し、JetBrains拡張の動的注入機能を小規模プロジェクトで試す。既に1Passwordを使っているチームは、JetBrains対応の有無を考慮して移行を検討
- 1か月以内に整備: GitHub Secret Scanning Push Protectionをプライベートリポジトリでも有効化し、Keeper拡張と組み合わせた多層防御体制を構築する
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星