AI at Work News

OpenAI Opened ChatGPT Advertising to Small Businesses at Any Budget

6月 6, 2026
AI Is Everywhere at Work. Only 1 in 10 Say It Transformed the Job

6月 6, 2026
Vibe Coding's $10.5B Moment: AI Now Starts Most New Software Builds

6月 6, 2026
AI Agents Now Have More System Access Than Your Employees. Few Are Secured

6月 5, 2026
Should You Build Your AI or Buy It? Watch What the Giants Bought.

6月 5, 2026
Uber Caps Employee AI Spending at $1,500 Per Seat After a Budget Blowout

6月 5, 2026
Trump's AI Executive Order Is Deregulatory. Your Compliance Risk Didn't Move

6月 4, 2026
AI Pushed 220 Unicorns Below $1B. Pre-ChatGPT Companies Face a Reckoning

6月 4, 2026
Token Prices Fell 67% This Year. Your AI Bill Is Going Up Anyway

6月 3, 2026
Small Businesses Using AI Report Higher Revenue and Shorter Workdays

6月 3, 2026

日本語

AnthropicがAIエージェントをファイアウォール内に移した。セルフホスト型サンドボックスとMCPトンネルがCTOに意味すること

企業のセキュリティ境界内で動作し、単一のアウトバウンドMCPトンネル接続で繋がるAIエージェント

AIエージェントの試験運用がセキュリティレビューで失敗する最大の理由は、モデルではありません。境界の問題です。そしてAnthropicはその境界を移しました。

2026年5月19日、ロンドンで開催されたCode with Claude において、Anthropicはクロードマネージドエージェントプラットフォームへの2つの追加機能を発表しました。セルフホスト型サンドボックス（現在パブリックベータ）とModel Context Protocol（MCP）トンネル（リサーチプレビュー段階）です。Anthropicの発表によると、両機能は同じ根本的な問題に対処しています。企業は自律エージェントを望んでいますが、セキュリティチームはエージェントの実行環境や内部システムが企業のセキュリティ境界から外に出ることを許可しません。

これはニッチな懸念事項ではありません。ほとんどの規制対象業界のエージェント試験運用を、始まる前に終わらせる反論です。このリリースはその反論を回避するものではありません。取り除くのです。

Anthropicが実際に提供したもの

2つの機能は、関連するが異なる問題を解決します。CTO（最高技術責任者）にとって数分の理解する価値があります。

セルフホスト型サンドボックスは、エージェントの実行環境を顧客の境界内に置きます。クロードマネージドエージェントは、顧客が管理するサンドボックス内で動作します。エージェントがツールを実行する環境と接続するMCPサーバーの両方が、企業の確立されたセキュリティおよびランタイムコントロールの内側に留まります。顧客はサンドボックスの場所を決定します。自社インフラ上か、Anthropicが事前に検証した管理コンピュートプロバイダー（Cloudflare、Daytona、Modal、Vercel）を通じてかです。各プロバイダーは分離とコンピュートを処理し、顧客はランタイムコントロールとセキュリティポリシーを保持します。

MCPトンネルは補完的な問題を解決します。企業はサンドボックスを内部で実行することには支障がないかもしれませんが、プライベートネットワーク上のサービスにエージェントがアクセスする必要がある場合があります。従来のアプローチでは、ファイアウォールに穴を開ける必要がありました。パブリックエンドポイント、インバウンドルール、露出した表面積です。MCPトンネルは異なる方法で機能します。顧客はネットワーク内に軽量なゲートウェイをデプロイします。そのゲートウェイは単一のアウトバウンド接続を確立します。インバウンドのファイアウォールルールはありません。パブリックエンドポイントもありません。トラフィックはエンドツーエンドで暗号化されます。Anthropicのクラウドにあるエージェントは、露出したインバウンドポートを通じてではなく、そのアウトバウンドトンネルを通じて内部サービスにアクセスします。

2つの機能を組み合わせることで、特定のアーキテクチャが可能になります。エージェントは境界内で実行され、プライベートシステムを公開せずに到達し、本番データがベンダーインフラに到達するために境界の外に出ることはありません。

主要な事実

セルフホスト型サンドボックスはパブリックベータ段階：エージェントは企業独自のインフラ内またはCloudflare、Daytona、Modal、Vercel経由で動作します（Anthropic、2026年5月）。

MCPトンネルは顧客がデプロイしたゲートウェイからの単一のアウトバウンド接続を使用し、インバウンドのファイアウォールルールなしでエンドツーエンド暗号化を提供します（Anthropic、2026年5月）。

両機能は2026年5月19日にCode with Claude Londonでクロードマネージドエージェントへの追加として発表されました。

境界が真の障壁だった理由

AIエージェントに関するほとんどのCTO対話は能力に焦点を当てています。モデルができること、ツールの使用をどう処理するか、自社ドメインで誤情報を出力しないか。これらは現実的な問いです。しかし規制対象の環境では、アーキテクチャの対話がそれを先に終わらせるため、能力の対話がそもそも行われないことがよくあります。

金融サービス、ヘルスケア、政府に隣接する組織のセキュリティチームは、明示的なデータレジデンシーと境界要件の下で運営しています。クエリのコンテキスト、取得した文書、または中間的なアウトプットをベンダーのクラウドインフラに送信することは、多くの場合完全に禁止されています。好みの問題ではありません。ポリシー、時には規制の問題です。

クラウドベースのAIエージェントの従来のモデルは、実行環境をベンダーのクラウドに置いていました。データはエージェントのいる場所まで移動する必要がありました。このリリースが壊すアーキテクチャの前提がこれです。

InfoQの報道は、MCPトンネル機能をVPNインフラやインバウンド露出を必要としないプライベートネットワークアクセスソリューションとして位置づけました。The New Stackは、Anthropicのマネージドコンピュートが以前は利用不可能だった環境でClaudeエージェントを実行する方法として、サンドボックスの柔軟性を強調しました。

エージェントの能力が成熟するのを見ながら、セキュリティアーキテクチャが追いつくのを待っていたCTOにとって、これがその追いつきです。

アーキテクチャの転換を一文で

旧モデル: データをエージェントのいる場所に送る。新モデル: エージェントをデータのある場所で実行するか、制御されたアウトバウンドチャネルを通じてエージェントがデータにアクセスできるようにする。

アウトバウンドのみのMCPトンネルアーキテクチャ: ゲートウェイが1つのアウトバウンド接続を確立し、インバウンドのファイアウォールルールは不要

この区別はアーキテクチャ上重要です。以前は結合していた2つの懸念事項を分離するからです。エージェントの推論が行われる場所（モデル）と、エージェントの実行とデータアクセスが行われる場所（サンドボックスとMCP接続）です。モデルは依然としてAnthropicのインフラで実行されます。しかし実行コンテキスト、ツール、データアクセス、アウトプットは、今や顧客の境界内に留まることができます。

この分離が、規制対象のユースケースでこのアーキテクチャを実行可能にします。モデルベンダーはクエリの入力とアウトプットを見ます（これは常にそうでした）。しかし内部サービス呼び出し、取得した文書、中間的なツールの結果は、公衆インターネットを通過する必要がありません。

これは、業界全体で並行して進んでいるフリートガバナンスとコントロールプレーンの対話とはアーキテクチャ上異なります。MicrosoftのAgent 365プラットフォームは、フリート全体でのエージェントのアイデンティティ、可視性、監視を扱います（誰がどのエージェントを実行しているか、何をしたか、ブロックできるか）。Anthropicの発表はスタック上のより早い段階を扱います。エージェントがどこで実行され、内部システムにどのようにアクセスするか。両方の懸念は現実であり、CTOのチェックリストの異なる部分に属しています。

ガバナンス層のより多くのコンテキストについては、Gartnerのコーディングエージェント再整理の記事がこれらのアーキテクチャ判断を複合させる調達とベンダー依存の側面をカバーしています。

エージェント境界チェックリスト

規制対象または高セキュリティ環境でのクロードマネージドエージェントのデプロイを承認する前に、CTOはこれら6つの質問に明確な回答を得るべきです。エージェント境界チェックリストと呼びましょう。

1. エージェントはどこでツールを実行するか。 実行環境はベンダーのクラウド、自社インフラ、または承認済みのマネージドプロバイダーのどこにありますか。セルフホスト型サンドボックスはClaudeエージェントについてこれを答えられるようにします。以前は答えられませんでした。

2. エージェントはどのように内部システムにアクセスするか。 アクセスにインバウンドのファイアウォールルールやパブリックエンドポイントが必要ですか。MCPトンネルはこれに「インバウンドルールなし、単一のアウトバウンド接続」と答えます。これはセキュリティチームがその内容を評価できるアーキテクチャです。

3. どのデータがパブリックインターネットを通過するか。 境界から出るデータを正確にマッピングしてください。モデルへの入力（これらはAnthropicに届きます）、ツール呼び出しのパラメーター（今やサンドボックス内に収められる可能性があります）、取得した内部文書（ネットワークを出ずにアウトバウンドトンネル経由でアクセス可能になりました）。

4. 誰がランタイムを管理するか。 エージェントが実行される環境に、組織のセキュリティポリシー、ロギング要件、終了コントロールを適用できますか。セルフホスト型サンドボックスではできます。

5. データレジデンシーの姿勢はどうか。 規制要件で特定のデータクラスが地理的な境界を越えられないと指定されている場合、サンドボックスの設定はそれを遵守しますか。マネージドプロバイダーのオプション（Cloudflare、Daytona、Modal、Vercel）はそれぞれ異なるアベイラビリティゾーンとデータレジデンシーのコミットメントを持っています。デプロイ前に確認してください。

6. エージェントアクションの監査証跡はあるか。 エージェントが何をし、どの内部システムを呼び出し、どのデータに触れたかを再現できますか。これは純粋にサンドボックスについてではなく、MCPサーバーの実装が有用なログを発行することも必要です。しかしサンドボックスアーキテクチャは、意味のあるロギングを可能にする基盤です。

これらの質問は、Anthropicだけでなく、あらゆる企業向けエージェントのデプロイに適用されます。しかしセルフホスト型サンドボックスとMCPトンネルの機能は、規制対象環境でのClaudeエージェントについて質問1から4の回答が初めて本当に満足のいくものになった瞬間です。

ビジネスユニットレベルでのエージェント監視に関する関連する懸念については、収益オペレーションにおけるエージェント型AIのガバナンス分析がこのインフラ層チェックリストとよく補完します。

プレビュー段階のものとその意味

セルフホスト型サンドボックスはパブリックベータ段階にあります。これは機能がテストのために一般に利用可能ですが、本番SLAのコミットメントがない可能性があることを意味します。MCPトンネルはリサーチプレビュー段階です。アクセスには申請が必要で、APIサーフェスは変更される可能性があります。CTOはトンネル機能を今すぐ設計するが、厳しいタイムラインで本番環境に投入しないものとして扱うべきです。

マネージドプロバイダーエコシステム（Cloudflare、Daytona、Modal、Vercel）は、ベアメタルのサンドボックスを運用できない組織に、AnthropicのマネージドインフラのGA（一般提供）を待たずに準拠したコンピュート環境への現実的な経路を提供します。

Reworkを使用してエージェントが最終的に接続する運用ワークフローを調整している組織にとって、サンドボックスアーキテクチャの問いは今すぐ提起する価値があります。どのワークフローがエージェント実行の候補で、その候補はセキュリティチームが適用する境界要件を満たしているか、という問いです。

よくある質問

セルフホスト型AIエージェントサンドボックスとは何ですか。

セルフホスト型AIエージェントサンドボックスとは、AIエージェントがツール呼び出しと計算を実行する、顧客が管理する分離された実行環境です。AIベンダーのクラウドインフラ内で実行する代わりに、エージェントは顧客が所有するまたは承認済みプロバイダーと契約したコンピュート環境内で実行します。これにより、エージェントの実行、ツール呼び出し、中間的なアウトプットが顧客のセキュリティ境界内に留まります。

MCPトンネルとは何ですか。

MCPトンネルとは、MCP（Model Context Protocol）サーバーのためのプライベートネットワークアクセスの仕組みです。内部のMCPサーバーをインバウンドのファイアウォールルールでパブリックインターネットに公開する代わりに、顧客はネットワーク内に軽量なゲートウェイをデプロイします。そのゲートウェイはAIエージェントインフラへの1つのアウトバウンド接続を確立します。エージェントはインバウンドの露出なしにそのトンネルを通じて内部サービスにアクセスします。トラフィックはエンドツーエンドで暗号化されます。

これはAnthropicが内部データを一切見ないことを意味しますか。

正確にはそうではありません。基盤モデル（Claude）は依然として入力を処理し、アウトプットを生成します。それらのリクエストはAnthropicのインフラに届きます。セルフホスト型サンドボックスとMCPトンネルが変えるのは、ツールの実行、内部サービス呼び出し、取得した文書がベンダーのクラウドに移動する代わりに企業ネットワーク内に留まれるということです。Anthropicが見る範囲は変わりますが、モデルとのインタラクション自体はクラウドベースのままです。厳格なデータ処理要件を持つ組織は、サンドボックスアーキテクチャとともにAnthropicのデータ処理契約を確認すべきです。

CTOが今週すべきこと

コストがほとんどかからず、アーキテクチャの対話を準備する3つの行動です。

MCPトンネルへのアクセスを申請してください。 この機能はリサーチプレビュー段階にあり、アクセスはゲートされています。今すぐプレビューに参加することで、まだ形を作っている段階でアーキテクチャを評価できます。プレビュー期間中のAnthropicとのフィードバックループは、GA後よりも速いです。
最優先のエージェントユースケースにエージェント境界チェックリストを適用してください。 セキュリティレビューで中断または失敗した試験運用がおそらくあります。上記の6つの質問をその具体的なユースケースに適用してください。チェックリストのどこで失敗しましたか。このアーキテクチャはそのギャップに対処していますか。このエクササイズは半日かかり、CISOとの具体的な対話の素材が得られます。
データレジデンシー要件に対してサンドボックスプロバイダーのオプションをマッピングしてください。 組織にコンピュートを実行できる場所に地理的または規制上の制約がある場合、今すぐCloudflare、Daytona、Modal、Vercelのデータレジデンシーのコミットメントを確認してください。調達の途中でミスマッチを発見するまで待たないでください。

6か月前にセキュリティレビューで失敗したエージェント試験運用が今や実行可能な経路を持つかもしれません。それを確認するために半日の価値はあります。

参考情報

Victor Hoang

Co-Founder & CMO, Rework