APIキーやデータベースの認証情報が、.envファイル・Slack・Gitのコミットログにバラバラになっていないでしょうか。その状態はシークレットの漏洩リスクを高め、チームが大きくなるほど管理コストが雪だるま式に増えていきます。
Infisicalはその問題を正面から解決するオープンソースのシークレット管理プラットフォームです。APIキー・DBの認証情報・環境変数を一か所に集約し、GitHub・AWS・Kubernetes・Vercelなど主要なサービスへ安全に配布できます。GitHubスター数は2万6,000を超え、1日あたり5億件以上のシークレットを処理しています。
この記事でわかること:
- Infisicalが解決するシークレット管理の課題
- シークレット同期・ローテーション・スキャンなど主な機能
- セルフホストとクラウドの選択肢と料金
- AI エージェントとの連携機能「Agent Vault」
シークレット管理で何が起きているか
開発チームが抱える典型的な問題は「シークレットの散在」です。ローカルの.envファイル、CIサービスの環境変数設定、Slackに貼られたAPIキー、最悪の場合はGitのコミット履歴。どこに何があるかわからなくなり、鍵のローテーションも後回しになりがちです。
セキュリティ事故の多くは、使われなくなったAPIキーや誰が持っているかわからない認証情報から始まります。スタートアップ段階では問題にならなくても、チームや本番環境が増えると一気に管理が破綻します。
Infisicalとは
Infisicalは2022年8月にオープンソースで公開されたシークレット管理プラットフォームです。TypeScriptで書かれており、MITライセンスで利用できます。Hugging FaceやNetflixなどが採用しており、エンタープライズ向けの機能も備えています。
単なるシークレットの保管庫ではなく、シークレットを「作成 → 配布 → ローテーション → 監査」まで一貫して管理する仕組みを提供します。
主な機能
シークレットの一元管理と同期
ダッシュボードから開発・ステージング・本番環境ごとにシークレットを管理します。変更を加えると、紐づけた外部サービスへ自動で同期が走ります。対応している同期先はGitHub Actions・AWS Secrets Manager・Vercel・Kubernetes・Terraform・Ansible・GCP Secret Managerなど多岐にわたります。
CLIを使えばローカル開発でもInfisicalから直接シークレットを読み込んで実行できます。
infisical run -- npm start
このコマンドだけで、.envファイルなしにアプリを起動できます。
動的シークレットとローテーション
固定のパスワードを長期間使い回すと、漏洩時の被害が大きくなります。Infisicalの「動的シークレット」は、アクセスのたびに一時的な認証情報を生成し、TTLが切れると自動で失効します。PostgreSQL・MySQL・RabbitMQなどのデータベースに対応しています。
既存の固定シークレットに対しては、定期的なローテーションを自動化できます。AWS IAM・PostgreSQL・MySQLのローテーションが標準でサポートされています。
シークレットスキャン
140種類以上のシークレットパターンをコード・GitHubリポジトリ・CIパイプライン上でスキャンします。プレコミットフックを設定すれば、誤ってコミットしようとした段階でブロックできます。
infisical scan install --pre-commit-hook
証明書管理(PKI)
X.509証明書のライフサイクル管理も含まれています。内部CAの作成・外部CAとの統合(Let’s Encrypt・DigiCertなど)・証明書の自動更新・失効管理まで一元化できます。証明書の有効期限が近づくとアラートを出す機能もあります。
AIエージェント向け機能
Infisicalのホームページに現在大きく掲げられている新機能が「Agent Vault」と「Agent Sentinel」です。
Agent Vaultは、AIエージェントにAPIアクセスを与えながらシークレット本体を見せない仕組みです。Claude CodeやCursorのようなAIエージェントがツールを呼び出す際、認証情報をプロンプトに含めることなく安全に外部サービスへアクセスできます。
Agent SentinelはMCPエンドポイントへのアクセスを集中管理します。どのエージェントが何のツールにアクセスしたかを可視化し、ポリシーで制御できます。
導入方法
DockerとGitがあればローカルでも動かせます。
git clone https://github.com/Infisical/infisical
cd infisical
cp .env.example .env
docker compose -f docker-compose.prod.yml up
起動後、http://localhost:80 にアクセスしてアカウントを作成すればセットアップは完了です。
すぐ試したいだけであれば、Infisical Cloudの無料プランが手軽です。インフラの準備なしに、ブラウザからシークレットの管理を始められます。
料金
Infisical Cloudは3つのプランがあります。
Freeプラン(永久無料): ダッシュボード・API・CLI・Kubernetes Operator・Webhookに加え、基本的な2要素認証が使えます。個人や小規模チームの試作に十分な機能が揃っています。
Proプラン(1IDあたり月18ドル): シークレットのバージョン管理・ポイントインタイムリカバリ・RBAC・シークレットローテーション・一時アクセス管理が追加されます。本番運用で必要になる機能が揃うプランです。
Enterpriseプラン(要問い合わせ): 専用インフラ・SCIM・LDAP認証・動的シークレット・AI Security Advisorなど大規模組織向けの機能が加わります。
セルフホスト版はコアがMITライセンスのため、エンタープライズ機能が不要なら自社インフラ上で無償利用できます。
Vault・Dopperとの違い
類似のツールにHashiCorp VaultとDopplerがあります。
Vaultは非常に高機能ですが、設定の複雑さが課題です。中小チームが本番環境へ持ち込むには学習コストが大きく、専任のインフラエンジニアがいる組織向けです。
DopplerはUXが洗練されたSaaS型サービスで使いやすいですが、セルフホストには対応していません。データを自社管理したい場合には選択肢から外れます。
InfisicalはUIのわかりやすさとセルフホストの両立、OSSのコア部分を無償で使えるコスト面で、両者の中間に位置します。AIエージェントとのセキュリティ統合を標準で備えている点は、現時点でInfisical固有の強みです。
まとめ
Infisicalは「シークレットが散在している」問題を解決するOSSプラットフォームです。Dockerで数分でローカル起動でき、無料プランから使い始めてチームの成長に合わせてProへ移行できます。AIエージェントの普及でシークレット管理の重要性が上がっているなかで、Agent Vault・Agent Sentinelのような機能をコアに組み込んでいるのは時代に合っています。まずFreeプランかセルフホストで試してみる価値があるでしょう。