「クラウドのAIエージェントを使いたいが、社内データを外に出せない」——日本企業のAI導入で最も多く突き当たる壁が、いま技術的に動き始めています。2026年6月、Anthropicは Workload Identity Federation(WIF)を正式提供(GA) し、加えて Claude Managed Agents 向けに 自己ホスト型サンドボックス(パブリックベータ) と MCPトンネル(リサーチプレビュー) を公開しました。共通するのは一つの設計思想です——エージェントの「頭脳」はベンダーのクラウドに残し、実行・データ・認証情報は自社の境界の中に閉じる。
homula はエンタープライズ向けの AIエージェント・インテグレーターとして、この「どこで実行し、誰が何を持つか」の設計を日々詰めています。本稿では、Anthropic が引き直したエージェントの責任分界点を分解し、日本企業がどう設計判断に落とすべきかを整理します。
なぜ「賢さ」ではなく「どこで動くか」が論点になったのか
エージェントが社内システムを実際に操作するフェーズに入ると、評価軸はモデルの賢さから運用境界へと移ります。エージェントが触るのはファイル、データベース、内部API、チケットシステム——どれも社外に出せない資産です。ここで問われるのは「Claude は賢いか」ではなく、「そのコードはどこで実行され、データはどこを通り、認証情報は誰が握るのか」です。
この問いに対するAnthropicの回答は、エージェントを役割ごとに3つの層へ切り分けることでした。
- 頭脳(オーケストレーション): エージェントループ——次に何をするかの判断、コンテキスト管理、エラー復旧。ここは Anthropic 側に残る。
- 手足(ツール実行): bash・ファイル読み書き・コマンド実行などの実体。ここを自社インフラに移せる(自己ホスト型サンドボックス)。
- 接続(ツールへの到達と認証): 社内MCPサーバーへの到達経路(MCPトンネル)と、API への認証(WIF)。
この3層を分けて考えると、各機能の位置づけが一気に整理できます。
自己ホスト型サンドボックス:実行とデータを境界の中に
Anthropic は2026年5月、米国外初の開発者会議「Code with Claude」(ロンドン)で自己ホスト型サンドボックスを発表し、現在はパブリックベータとして提供しています。仕組みはこうです——オーケストレーション(頭脳)は Anthropic 側に残したまま、ツール実行を自社が管理するインフラに移す。エージェントが読み書きするファイルシステム、起動するプロセス、到達できるネットワークは、すべて自社のポリシー配下に入ります。
実行先は4つのマネージド・プロバイダ(Cloudflare / Daytona / Modal / Vercel)が標準対応し、加えて自社インフラ・プライベートクラウド・エアギャップ環境向けのカスタム・サンドボックスクライアントAPIも用意されています。仕組み上は「ワークキュー」で、自社で動かすワーカーが Anthropic のキューからセッションを取得し、ツール呼び出しをローカルで実行して結果を返します。データが自社ネットワークから出られない、社外から到達できない内部サービスを操作する、自社のコンプライアンス・監査統制の下で走らせる——そうした要件に合致する設計です(Zero Data Retention / HIPAA BAA の対象にもなり得ます)。
重要な但し書きがあります。自己ホスト型でも、ツールの入力と出力(実行結果)は Claude が次の手を判断するために Anthropic のコントロールプレーンに流れます。「コードの実行場所」と「ファイル・ネットワークへの到達」は自社に閉じますが、モデルが結果を読む以上、ツール入出力そのものはゼロにはなりません。「データが一切外に出ない」と誤読せず、何が境界内に留まり、何がモデルに渡るのかを要件と突き合わせて確認してください。
MCPトンネル:内部システムを「公開せずに」ツール化する
ツールの実行場所を自社に寄せても、エージェントが社内のMCPサーバー(社内DB・私設API・ナレッジベース・チケット基盤)に到達できなければ意味がありません。かといって、それらを公開インターネットに晒すのは本末転倒です。MCPトンネル はこの矛盾を、アウトバウンド専用の接続で解きます。自社内に置く軽量ゲートウェイ(cloudflared)が外向きに一本だけ接続を張るため、インバウンドのファイアウォール開放も、公開エンドポイントも、AnthropicのIP許可リストも不要です。
セキュリティは3層で構成されます。
| 層 | 守る対象 |
|---|---|
| 外側のmTLS+IP検証 | 不正なクライアントがトンネルに到達すること |
| 内側のTLS(Anthropic↔自社プロキシ) | 経路上の中継者によるペイロード盗み見 |
| 各MCPサーバーのOAuth | 認証済みトラフィックによるツールの不正利用 |
内側のTLSは自社だけが持つ証明書で終端されるため、転送を担う Cloudflare はペイロードを読めません(接続元IP・タイミング・通信量などのメタデータは取得します)。ただし注意すべきは提供ステータスです——MCPトンネルはリサーチプレビューで「as-is」提供、Cloudflareをサブプロセッサとして利用し、Anthropic はいつでも変更・終了し得ると明記されています。本番の中核に据えるには時期尚早で、まずは限定業務での検証が現実的です。
WIF:静的APIキーを捨て、短命トークンへ
3つ目の柱が認証です。Anthropic は 2026年6月17日、WIF を GA しました。これは sk-ant-... という長期間有効な静的APIキーの代わりに、自社が既に運用するIDプロバイダ(AWS IAM / Google Cloud / GitHub Actions / Kubernetes / SPIFFE / Microsoft Entra ID / Okta など)が発行する短命のOIDCトークンで Claude API に認証する仕組みです。ワークロードが署名済みJWTを提示し、Anthropic が自社設定のルールで検証して、組織内のサービスアカウントに紐づく数分で失効するアクセストークンを返します。
要は 「CIや環境に置いて、ローテーションし、漏れる静的シークレットが存在しない」 状態をつくれる。設定は Console 上の3リソース——サービスアカウント(svac_)、フェデレーション発行者(fdis_)、フェデレーションルール(fdrl_)——で表現し、トークン寿命は60〜86400秒(既定3600秒)で制御します。
WIFは万能薬ではありません。Anthropic自身が「フェデレーション認証は上流のIDプロバイダの強度を超えない」と明言しています。WIFが消すのは「静的キーの漏洩・ローテーション負債」であって、IdP側の条件付きアクセス・ワークロードID束縛・監査ログといった統制は引き続き自社の責任です。鍵を消す代わりに、IDプロバイダの統制が一段重要になると捉えるのが正確です。
何が自社に残り、何がベンダーに残るのか
3つの機能を「責任分界点」という一枚の地図に重ねると、こうなります。
| レイヤー | 自社が持つもの | ベンダー(Anthropic)が持つもの |
|---|---|---|
| 頭脳 | — | エージェントループ(判断・文脈・復旧) |
| 実行 | ツール実行環境・ファイル・プロセス・ネットワーク | ツール入出力の受け取り(モデルが結果を読む) |
| 接続 | 社内MCPサーバー・トンネルゲートウェイ・証明書 | トンネルのアクセス制御 |
| 認証 | IDプロバイダ・トークン発行・条件付きアクセス | トークン検証・サービスアカウント |
注目すべきは、これが従来のSaaSにおける責任共有モデルそのものを、エージェントに持ち込んだ点です。「ベンダーに任せる/自社に閉じる」は二者択一ではなく、層ごとに線を引く設計問題になりました。
homulaの観点:日本企業はこの分界点をどう設計するか
この変化は、homula の支援領域と正面から重なります。データ主権や規制で「データを国外に出せない」「基幹に触れるなら社内実行が前提」という制約を抱える日本企業ほど、頭脳はクラウドの最新モデル、実行と認証は自社境界という分離はそのまま導入の現実解になります。
homula の Agens は、MCPを活用したエンタープライズ向け統合プラットフォームとして 200以上のツールと構築ゼロで接続 します。自己ホスト実行やMCPトンネルのように「接続点を自社境界に寄せる」世界では、エージェントから見たツール接続を共通化しておく価値がさらに上がります。クライアントごとに連携を積み増す保守負債を避け、自社のID・ネットワーク統制と素直にかみ合わせられるからです。
そして、上の地図で**「ベンダー側に残る部分(モデルが結果を読む/トークンで動く)」を企業として統制するのが Agens Control です。承認フロー・DLP・5年分の監査ログ・RBACをセットで提供し、「誰が・何に・どの権限で・何をしたか」を横断的に追える状態をつくります。WIFやトンネルが接続の入口を短命トークンと暗号経路で固めても、エージェントがそのツールで何をしてよいか**という操作レベルの認可・承認・監査は、企業側で設計し続ける必要があります(この切り分けはMCPの企業管理認可(EMA)の記事でも触れたとおりです)。
導入の順序としては、(1) 1業務でクラウド実行のままPoC → (2) データ要件が厳しい工程だけ自己ホスト実行・トンネルに寄せ、認証をWIF(IdP起点)へ移行、操作の承認・監査の境界を Agens Control で設計 → (3) 横展開、が無理のない道筋です。homula の AIエージェント・ブートキャンプでは、業務棚卸し・プロトタイプ構築・ROI試算を3〜5日で行い、この最初の一歩を素早く形にします。
まとめ
2026年6月、Anthropic は WIF を正式提供し、自己ホスト型サンドボックスとMCPトンネルでエージェントの実行・接続・認証を自社境界に寄せる選択肢を整えました。要点は3つです。実行は自社インフラに移せる(ただしツール入出力はモデルに渡る)。接続はアウトバウンド専用トンネルで内部システムを公開せずにツール化できる(ただしリサーチプレビュー)。認証は静的キーを捨て短命トークンに移行できる(ただしIdPの強度が前提)。
問われているのは「ベンダーに任せるか、自前で抱えるか」ではなく、頭脳・実行・接続・認証の4層それぞれに、どこで線を引くかです。データ主権と統制を両立させたい日本企業にとって、この分界点の設計こそが、エージェントを本番・全社へ進める成否を分けます。
エージェント導入の論点は、「賢いモデルを選ぶ」から「どこで実行し、誰が何を持つかを設計する」へと移りました。自社のどの業務から、どの層を境界内に閉じるか——その線引きを早めに整理することが、安全な全社展開への近道です。