1Passwordがイスラエル発のApono社を250億〜300億円規模で買収|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月19日更新日時: 2026年06月19日

パスワード・シークレット・アクセス管理サービスを提供する1Passwordは2026年6月15日、公式プレスリリースで、ジャストインタイム（必要な時にだけ）アクセス権を発行する技術を専門とするイスラエル発企業「Apono」を買収したと発表しました。

買収の財務条件は公式には開示されていませんが、イスラエルの経済メディアCalcalistは取引額が2.5億〜3億ドル（約250億〜300億円）規模であると報じています。Aponoはクラウドインフラ・重要リソースへのアクセス権を、ポリシーに基づいて評価した上で動的に発行し、タスク完了後には自動的に削除する仕組みを提供する企業です。これにより「常時有効なアカウント（standing accounts）」や「持続的な特権（persistent privileges）」を不要にし、攻撃者が悪用しうる「使われないまま残された強力な権限」という構造的なリスクを根本から解消することを目指しています。

今回の買収で特に注目されるのは、Aponoの技術が人間・機械・AIエージェントのいずれの「アイデンティティ」にも同一のガバナンスモデルを適用するという設計です。AIエージェントについては、その権限をタスクを委任した人間に紐づけ、宣言された意図（intent）の範囲に限定し、エージェントの振る舞いが承認された範囲から逸脱した場合には即座に権限を制限・取り消す「Intent-Based Access Control（意図ベースのアクセス制御）」という独自の仕組みを持っています。本記事では買収の詳細・Aponoの技術・1Passwordの戦略的意図・組織への示唆を解説します。

1 サマリー
2 Aponoの技術—「ジャストインタイムアクセスガバナンス」とは
3 同時発表の「1Password Credential Broker」
4 1Passwordの戦略的意図——「金庫」から「アクセス層」への進化
- 4.1 CEOコメントが示す問題意識
- 4.2 人間・機械・AIエージェントという3つのサイロの統合
5 マーケットの文脈——イスラエル発セキュリティ企業との競争
6 情報システム担当者・CISOへの示唆
7 参考情報

サマリー

発表日：2026年6月15日（月）
買収企業：1Password（カナダ・トロント拠点。識別・アクセス管理のリーダー企業）
被買収企業：Apono（イスラエル・テルアビブ拠点／本社は米ニューヨーク。ジャストインタイムアクセスガバナンスを専門）
取引額：公式未開示。Calcalist報道：2.5億〜3億ドル（約250億〜300億円）
Apono創業：2022年（一部報道では2021年）。創業者：Rom Carmel（CEO）・Ofir Stein（CTO）。両氏とも約20年のDevOps・サイバーセキュリティ経験を持ち、Carmel氏はイスラエル首相府サイバー部門の出身
Apono従業員数：80名（うち約50名がイスラエル拠点）。1Passwordの約1,400名の社員に合流
Aponoの資金調達歴：累計5,450万ドル（直近は2025年11月のシリーズB・3,400万ドル、U.S. Venture Partners主導）
Aponoの主要顧客：Hewlett Packard Enterprise（HPE）・Jasper・Bloomreach等を含むFortune 500企業
Aponoが対応する基盤：AWS・Azure・Google Cloud・Kubernetes・Snowflake・Databricks。さらにSlack・Jira・PagerDuty・GitHubを含む200以上のエンタープライズツールと連携
位置付け：1Passwordにとって5件目の買収、「AI時代」では3件目（2024年Kolide、2025年Trelica に続く）、またイスラエル企業への初めての買収
同時発表：「1Password Credential Broker」（プライベートベータ）を新規導入。GitHub Actionsのワークロードアイデンティティに対応し、ゼロ知識ボールトに保管された認証情報を必要な瞬間にだけ放出する仕組み
1Passwordの企業価値：約68億ドル（Calcalist報道）
競合関係：CyberArk・Wizをはじめとするイスラエル発企業との競争領域に参入

Aponoの技術—「ジャストインタイムアクセスガバナンス」とは

常時付与された権限という「静かな負債」

Apono共同創業者でCEOのRom Carmel氏は、今回の買収発表で次のように述べています。

「常時アクセス（standing access）は、ほぼすべての企業内に潜む静かな負債です——一度付与され、二度と取り消されない権限のことです。私たちはAponoを、作業が完了した瞬間にアクセスを削除するために構築しました。エンジニア・知識労働者・サービスアカウント・AIエージェントのすべてに対し、タスクが必要とするものに正確に絞り込んだアクセスを、コンテキストと意図に基づいてランタイムで決定します」

Aponoのプラットフォームは、各アクセス要求をポリシーに照らして評価した上で、狭く絞り込まれた一時的な権限を動的に発行し、タスク完了後には自動的に削除します。これにより、攻撃者が悪用できる「常時有効なアカウント」や「持続的な特権」を構造的に排除します。

AIエージェント向けの「Intent-Based Access Control」

今回の買収で最も技術的に注目すべき要素は、AIエージェント向けの「Intent-Based Access Control（意図ベースのアクセス制御）」です。この仕組みは以下の特徴を持ちます。

AIエージェントの権限は、そのタスクを委任した人間に紐づけられる
権限は**宣言された意図（declared intent）**の範囲に限定される
リアルタイムでの振る舞い監視により、エージェントの行動が承認された範囲から逸脱（behavioral drift）した場合には、即座にアクセスを制限または取り消す

1Password CEOのDavid Faugno氏は、この仕組みがプロンプトインジェクション攻撃・エージェントの逸脱（agent drift）・意図しない振る舞いといった懸念に対応できると説明しています。

統合範囲とユーザー体験

Aponoのプラットフォームは、AWS・Azure・Google Cloud・Kubernetes・Snowflake・Databricksといった主要なクラウド基盤に加え、Slack・Jira・PagerDuty・GitHubを含む200以上のエンタープライズツールと連携しています。これにより、利用者は普段使用しているツール内で直接アクセスを要求できます。

具体的な利用シーンとしては「本番データベースに接続する必要があるエンジニア」「契約社員に一時的なアクセスを許可するIT管理者」「特定のタスクのためにSalesforceが必要な営業オペレーションマネージャー」といった、組織内の様々な役割が想定されています。技術チームはAponoのAPIおよびTerraformを通じて、アクセスポリシーをコードとして定義することも可能です。すべての要求・承認・付与・取消は単一の監査証跡に記録され、SIEM向けのエクスポート機能・主要なコンプライアンスフレームワークへの対応も備えています。

同時発表の「1Password Credential Broker」

今回の買収発表に合わせ、1Passwordは新製品「1Password Credential Broker」のプライベートベータ提供を開始しました。

この機能は、認証情報を1Passwordのゼロ知識ボールト内に保護したまま保管し、検証済みの要求者に対して必要な瞬間にだけ、承認済みの認証情報・トークン・フェデレーテッドアクセスを放出する仕組みです。初期段階ではGitHub Actionsのワークロードアイデンティティをサポート対象としており、長期間有効なシークレットがアプリケーション・リポジトリ・パイプラインに散在することを防ぐ目的があります。

1Password公式ブログは「Credential Brokerは認証情報がどこに存在し、どのように信頼されたアイデンティティに届くかを保護する。一方Aponoは、アクセスが付与された後にそのアイデンティティが何を許可されているか、どれくらいの期間許可されているかを統治する」と両機能の補完関係を説明しています。

1Passwordの戦略的意図——「金庫」から「アクセス層」への進化

CEOコメントが示す問題意識

David Faugno氏は今回の買収に際し、以下のように述べています。

「今日のアイデンティティシステムは、入口（entry）を統治しているが、滞在（stay）は統治していない。誰が入るかを決めるが、一度内部に入った後にそのアイデンティティが何をするかについては見失っている」

「1Passwordは長らく、企業とその利用者がシークレットを安全に保つために信頼してきた『金庫（vault）』でした。Aponoによって、私たちは『アクセス層（access layer）』になります」

人間・機械・AIエージェントという3つのサイロの統合

1Password公式ブログによれば、企業のアイデンティティ管理は従来、人間・機械・それぞれが保持する認証情報とアクセスのために別々のシステムが構築される「サイロ（縦割り）」構造になっていました。Aponoの買収は、これらのサイロを**単一の制御プレーン（control plane）**へ統合することを意図しています。

180,000以上の企業・100万人以上の開発者から信頼を得てきた1Passwordの「人間中心のアプローチ」を、アクセス判断が行われ、多くのセキュリティインシデントが始まるランタイム層にも適用するという狙いです。

マーケットの文脈——イスラエル発セキュリティ企業との競争

The Next WebおよびCalcalistの分析によれば、今回の買収は1Passwordがアクセスガバナンス分野において、CyberArk・Wizをはじめとするイスラエル発の有力サイバーセキュリティ企業と同じ競争領域に参入することを意味します。さらに「NewCore」をはじめとする、人間以外のワークフォース（非人間アイデンティティ）の保護に特化したスタートアップ群も競合として位置づけられています。

今回の買収は1Passwordにとってイスラエル市場への初めての進出でもあり、Faugno氏はイスラエルの「並外れた（tremendous）」セキュリティ人材プールを活用したいとの意向を示しています。

情報システム担当者・CISOへの示唆

今回の買収は、特定の製品発表というだけでなく、業界全体が向き合っている構造的な課題を浮き彫りにしています。

①「常時付与された権限」の棚卸しの重要性：自組織において、過去に付与されたまま取り消されていない権限（standing access）がどの程度存在するかを把握することは、攻撃対象領域（アタックサーフェス）の削減における基本的な第一歩です。

②AIエージェントの権限管理という新たな課題：AIエージェントが企業システム内で自律的にタスクを実行する機会が増える中、「誰がそのエージェントにタスクを委任したか」「そのエージェントがどこまでの範囲で行動することが許可されているか」を明確に紐づけて管理する仕組みの導入が急務になっています。

③ジャストインタイムアクセスモデルへの移行検討：恒久的な権限付与（standing privilege）から、必要な時にだけ動的に発行し自動的に取り消す「ジャストインタイム」モデルへの移行は、業界全体のトレンドとして加速しています。自組織のアクセス管理ポリシーがこの方向性に対応できているかを見直す価値があります。

④M&Aによるセキュリティベンダーの統合動向の注視：パスワード管理・認証情報管理を出発点とするベンダーが、アクセスガバナンス・AIエージェント管理へと事業領域を拡大する動きが続いています。自組織が利用しているセキュリティツールのベンダーロードマップを定期的に確認し、将来の統合・連携の可能性を把握しておくことを推奨します。