Claudeのエージェントに社内データを触らせたい。でも外に出したくない — セルフホスト型サンドボックスの解
AIエージェントに社内のコードベースを読ませたい。社内のAPIを叩かせたい。でもそのデータがAnthropicのサーバーを通るのは困る。
これはClaude Managed Agentsを検討した企業が共通してぶつかるジレンマだった。エージェントのオーケストレーション(どの順序でどのツールを呼ぶか)はAnthropicのインフラで動く。ということは、エージェントが扱うファイルやAPIレスポンスも、一度はAnthropic側を経由するのか?
5月19日、ロンドンで開催されたCode with Claudeイベントで、Anthropicはこの問題に対する答えを2つ発表した。セルフホスト型サンドボックス(パブリックベータ)と、MCPトンネル(リサーチプレビュー)だ。
頭脳はAnthropic、手足は自社インフラ
セルフホスト型サンドボックスのアーキテクチャは「分割実行」と呼ぶのが一番近い。
エージェントの「頭脳」に当たる部分——文脈の管理、エラーハンドリング、ツール呼び出しの判断——はAnthropicのインフラ上で動く。一方、ツールの実際の「実行」は自社のインフラに移る。ファイルの読み書き、コードの実行、APIへのリクエスト、ネットワークの通信先はすべて自社環境内で完結する。
仕組みとしては、自社インフラ上で「環境ワーカー」と呼ばれるプロセスを動かす。Anthropic側がタスクをワークキューに積み、自社のワーカーがそれを取りに行く。ワーカーはセッションごとに実行コンテキストを起動し、ツール呼び出しをローカルで実行して結果を返す。
これで何が変わるかというと、エージェントが触る社内データ——ソースコード、内部ドキュメント、顧客情報——がAnthropicのインフラを通過しなくなる。「AIは使いたいが、データを外に出す社内規定がない」というGDPR対応やセキュリティポリシーの壁をクリアできる。
自社でインフラを用意するのが面倒な場合は、Cloudflare、Daytona、Modal、Vercelがマネージドプロバイダーとして対応している。これらを使えば、分離された実行環境を自前で構築する必要はない。
MCPトンネル:社内APIをインターネットに晒さずにつなぐ
もうひとつの発表がMCPトンネルだ。
社内にMCPサーバーがある場合(たとえば自社のナレッジベースやCRMに接続するMCPサーバー)、従来はそれをインターネットに公開するか、VPN越しにアクセスさせる必要があった。MCPトンネルは、その必要をなくす。
軽量なゲートウェイを社内に設置し、そこからAnthropicへのアウトバウンド接続を1本だけ張る。インバウンドのファイアウォールルールもパブリックエンドポイントも不要。通信はエンドツーエンドで暗号化される。
社内のSlackボット、Jiraのデータベース、独自のRAGパイプライン——こうした内部ツールをClaude Managed Agentsに接続したいが、インターネットに出すわけにはいかない。MCPトンネルはまさにそのシナリオを想定している。
ただし、こちらはまだリサーチプレビューだ。利用するにはアクセスリクエストが必要で、一般公開の時期は未定。
率直に、どこがすごくてどこが足りないか
セルフホスト型サンドボックスの設計思想は合理的だ。「判断はクラウド、実行はオンプレミス」という切り方は、エンタープライズAIの現実的な落とし所だと思う。完全にオンプレミスでLLMを動かすのはコスト的に厳しいが、データだけは手元に置きたいという要求には応えられる。
一方で制約もある。現時点でClaude Platform on AWSではセルフホスト型サンドボックスが使えない。また、セルフホストセッションではMemory機能(過去のセッション情報の保持)が非対応だ。つまり毎回のセッションが独立しており、エージェントに「先週のあの件の続き」を頼めない。
MCPトンネルのリサーチプレビュー段階である点も正直に言えば不安材料だ。本番環境に組み込むには、GAになってからの安定性検証が必要だろう。
何が実現できるようになるか
この2つの機能が揃うと、これまで「セキュリティポリシー上、AIエージェントは使えない」と判断していた企業がClaude Managed Agentsを採用できるようになる。
たとえば金融機関が、顧客データを含む社内システムとClaudeエージェントを連携させるケース。セルフホスト型サンドボックスでデータを自社内に留め、MCPトンネルで社内のコンプライアンスチェックAPIに接続する。エージェントの「判断力」はAnthropicの最新モデルを使いつつ、データは一切外に出ない。
もうひとつ、開発チームにとって実用的なのはCI/CDパイプラインとの統合だ。セルフホスト型サンドボックスをGitHub Actionsのランナーのように構成すれば、Claudeエージェントに自社リポジトリのコードレビューやテスト実行を任せられる。コードがAnthropicのインフラを通らないので、プロプライエタリコードを扱う企業でも導入障壁が下がる。
Anthropicは明らかに「APIでモデルを売る会社」から「エージェントの実行基盤を提供するプラットフォーム」への転換を加速させている。今回の発表は、その戦略にエンタープライズ級のセキュリティ層を足したものだ。
関連記事
税務AIが「数週間→数分」に変わった — KPMGが27.6万人にClaudeを配った背景
KPMGがAnthropicと提携し27.6万人にClaude導入。Digital Gateway統合の中身、税務・PE・サイバーセキュリティでの活用事例、PwCとの比較を解説。
Anthropic Project Glasswing — 静かに始まったClaudeの「防御担当モデル」と、OpenAI Aardvarkへのカウンター
AnthropicがProject Glasswingというサイバーセキュリティ特化モデルを限定公開。限定公開の理由、OpenAI Aardvarkとの役割の違い、企業セキュリティの現場で起きつつある変化を整理する。
「危険すぎて非公開」だったAIが、今日から誰でも使える — Claude Fableの正体
Anthropicが最強モデルClaude Mythosを「Claude Fable」として一般公開。Opus 4.8の約2倍の料金で、セキュリティ・推論・コーディングの最前線モデルが使えるようになる。