エージェント導入の最後の関門は「どこで実行されるか」
homulaは、エンタープライズ企業のAIエージェント導入を、セキュリティ・コンプライアンス要件まで含めて設計するAIインテグレーターです。
PoCを越えて本番に乗せる段階になると、多くの企業が同じ壁にぶつかります。「このエージェントは、社内のどのシステムに触れ、その処理は物理的にどこで動くのか」。チャットの賢さではなく、ファイルの書き込み・APIコール・社内DBへの問い合わせといった実行(execution)が、自社のセキュリティ境界の内側で起きるのか外側で起きるのか——これが、情報システム部門が首を縦に振るかどうかの分かれ目になります。
2026年5月19日、ロンドンで開催された「Code with Claude」で、Anthropicはこの論点に正面から答える2つの機能を発表しました。Claude Managed Agents向けの**自己ホスト型サンドボックス(self-hosted sandboxes)とMCPトンネル(MCP tunnels)**です(Anthropic: New in Claude Managed Agents)。これは単なる新機能ではなく、エンタープライズAIの競争軸が「モデルの賢さ」から「エージェントを動かす制御層(コントロールプレーン)」へ移りつつあることを示す出来事です。
何が発表されたのか——「思考」と「実行」の分離
今回の発表の核心は、エージェントの構成要素を**「エージェントループ」と「ツール実行」に切り分けた**ことにあります。
- エージェントループ(オーケストレーション・コンテキスト管理・エラー復旧・リトライ) は、引き続きAnthropicのインフラ上で動く。
- ツール実行(bashコマンド、ファイル書き込み、APIコール、コード実行など、外界へ働きかける一切の動作) は、顧客が指定した環境へ移せる。
自己ホスト型サンドボックスはパブリックベータとして提供され、ツール実行を自社インフラ、あるいはCloudflare・Daytona・Modal・Vercelといったマネージドプロバイダ上で走らせられます。その環境には自社のネットワークポリシー・監査ログ・セキュリティツールがそのまま適用され、ファイルやリポジトリは境界の外に出ません。コンピュートのサイズやランタイムイメージも自社で制御できます(Anthropic: New in Claude Managed Agents)。
Claude Managed Agents は、長時間動き続けるエージェントのための「マネージド実行基盤」です。エージェント定義・クラウド環境・セッション・イベントストリーミング・組み込みツール・運用ハーネスを一式で提供します。今回の更新は、その実行部分だけを自社境界へ引き戻せるようにした、という位置づけです。
MCPトンネル——社内システムを「外に晒さず」エージェントの道具にする
もう一方のMCPトンネルはリサーチプレビューでの提供で、Claude Managed AgentsやMessages APIから、インターネットに公開していない社内のMCPサーバーへ接続できる仕組みです。社内DB・社内API・ナレッジベース・チケット管理システムが、そのままエージェントの「道具」になります。
ポイントは、インバウンドのファイアウォール穴を開けないこと。組織側は軽量なゲートウェイを立て、そこからAnthropic側へアウトバウンドの暗号化接続を張るだけで済みます。技術的には、cloudflared(アウトバウンド専用のトンネルエージェント)とAnthropic側のルーティングプロキシで構成され、暗号化は3層——Anthropicとトンネルエッジ間の相互TLS、Anthropicバックエンドと自社プロキシ間のインナーTLS、そして各MCPサーバー上のOAuth認証——で守られます。インナーTLSを終端する証明書は自社しか保持しないため、経路上のCloudflareでさえ通信内容を読めません(InfoQ: Anthropic Introduces MCP Tunnels)。
day-oneの事例も、4つのプロバイダと綺麗に対応づいています——Amplitude(Design Agent / Cloudflare)、Clay(Sculptor GTMエージェント / Daytona)、DoorDash(社内生産性エージェント / Modal)、Rogo(金融アナリストエージェント / Vercel)。金融や物流など、データの取り扱いが厳しい領域から先行している点は示唆的です。
なぜこれが「コントロールプレーン競争」なのか
VentureBeatはこの動きを、**「Claudeの次の戦場はモデルではなく“エージェント・コントロールプレーン”だ」**と評しました(VentureBeat)。モデル単体の性能はどの陣営も十分高くなり、差がつくのは「エージェントの稼働を支える運用機構をどこが握るか」へ移った、という見立てです。
ここには表裏があります。マネージド実行基盤は導入を速くする一方で、ワークフロー・ツール権限・認証情報・監査ログ・メモリ・サンドボックス実行・監視が単一プロバイダの環境に集まると、乗り換えは「モデルを差し替える」ではなく「インフラを移設する」ほど重くなります。実際、セッションデータはAnthropic管理のデータベースに保存されるため、特定ベンダーへの依存が高まるという指摘もあります(VentureBeat)。今回の自己ホスト化は、この懸念に対する**「実行とデータだけは自社に残せます」という回答**でもあるわけです。
| 論点 | フルマネージド(実行もクラウド) | 自己ホスト型サンドボックス + MCPトンネル |
|---|---|---|
| 導入の速さ | 速い | やや手間(ゲートウェイ/環境構築) |
| データ所在 | プロバイダ側 | 自社境界内に保持 |
| 社内システム接続 | 公開・連携が前提 | インバウンド開放なしで接続 |
| 既存の統制(監査/DLP/RBAC) | 別途すり合わせ | 自社の既存統制がそのまま効く |
| ベンダー依存 | 高い | 実行・データ層は分離できる |
自己ホスト化は「丸ごと自社管理」ではない点に注意が必要です。エージェントループとセッションデータは依然Anthropic側に残ります。**「思考はクラウド、実行とデータは自社」**という分担を正しく理解したうえで、どの層に何を置くかを設計することが前提になります。
homulaの観点——統制は「単一ベンダーの中」では完結しない
今回の発表が日本企業に投げかける本質は、機能の有無ではありません。**「自律実行の自由度を上げるほど、隔離・承認・監査を設計の前提に置く」**という、エンタープライズAIの基本原則の再確認です。これは先日のOpenAIワークスペース・エージェント(関連記事)や、ソブリンAIの実装とも一直線に繋がる論点です。
そして重要なのは、統制を単一ベンダーの管理画面の中だけで完結させないことです。現実の業務は、Claudeも、OpenAIも、社内のn8nやLangGraphによる自動化も、複数のSaaSもまたいで動きます。VentureBeatが引く調査でも、プロバイダ純正と外部オーケストレーションを併用する**「ハイブリッド型」のコントロールプレーン**が最有力の構成として挙がっています。だからこそ、特定プロバイダに寄り切らず、横断的に統制を効かせる「束ね役」が要ります。
homulaはここを、ベンダー中立のインテグレーターとして設計します。AgensはMCPを活用し、200以上のツールと構築ゼロで接続する共通基盤を提供します。Agens Controlは、その上で承認フロー・DLP・RBAC・5年分の監査ログを、プロバイダをまたいで一元的に効かせます。Claudeの自己ホスト型サンドボックスのような「実行を自社に残す」仕組みは、こうした横断統制の土台と組み合わせてこそ、本番運用に耐えるものになります。具体的な業務での当てはめは、業務棚卸しからPoC・ROI試算までを3〜5日(最短5日でPoC)で行うAIエージェント・ブートキャンプで素早く見極められます。
まとめ
2026年5月19日のCode with Claudeで、Anthropicはエージェントの「思考」と「実行」を切り分け、実行とデータアクセスを自社境界内へ引き戻す道を開きました。自己ホスト型サンドボックスはパブリックベータ、MCPトンネルはリサーチプレビューで、インバウンド開放なしに社内システムをエージェントの道具にできます。背景にあるのは、競争軸が「モデルの賢さ」から「エージェント・コントロールプレーンを誰が握るか」へ移ったという構造変化です。
日本企業が問うべきは「どのモデルが賢いか」ではなく、「誰のエージェントに、何を、どこで実行させ、どこで人が承認し、すべてを後から監査できるか」。その統制は単一ベンダーの中で閉じず、複数のAIと社内システムを横断して効く必要があります。実行を自社に残せる選択肢が増えた今こそ、束ね方と統制の設計を先に固めることが、本番化の成否を分けます。
新しい仕組みを試すなら、本番に乗せる前に「実行場所・承認点・監査」をどう設計するかを先に決めておくのが近道です。自社の業務とコンプライアンス要件に合った組み合わせを、早めに整理することをおすすめします。