- Anthropicが2026年5月19日「MCPトンネル」と「セルフホスト型サンドボックス」を発表
- AIエージェントが社内DBやAPIにインターネット経由せず安全接続できる仕組み
- ツール実行を自社環境で動かせるため、データ流出リスクを大幅に下げられる
- Cloudflare、Vercel、Modal、Daytonaの4社がサンドボックスに対応
- 金融・医療・行政など規制業界での企業導入を強く後押しする内容
「AIエージェントを社内システムにつなぎたいけれど、セキュリティが怖い」と感じたことはありませんか?2026年5月19日、Anthropic(クロード開発元)が、まさにその悩みを解決する2つの新機能を発表しました。MCPトンネルとセルフホスト型サンドボックスです。本記事では、何ができるようになるのか、どの企業に効くのか、そして日本市場への影響まで、中学生でもわかる言葉で整理します。
2つの新機能はなにを解決するの?
背景:エージェント導入を止めていた壁
AIエージェント(自分で考えて作業するAI)を企業で使おうとすると、必ずぶつかる壁がありました。
それは「社内の情報をAIに渡したくない」という壁です。
顧客リスト、売上データ、社内チケットシステム。これらは外部に出せない情報ばかり。だからAIエージェントが活躍できる範囲は、これまで「公開情報の読み書き」に限られていました。
2つの新機能で何が変わる?
今回Anthropicが追加したのは、次の2つです。
- MCPトンネル(リサーチプレビュー):社内DBや社内APIへの安全な接続経路
- セルフホスト型サンドボックス(公開ベータ):AIのツール実行を自社環境で動かす仕組み
両方とも、Claude Managed Agents(クロードのエージェント運用サービス)の機能として提供されます。
MCPトンネルとは?社内システムへの安全な裏口
通信の流れ
MCPは「Model Context Protocol」の略です。AIに外部ツールを使わせるための共通プロトコル(通信のルール)と思ってください。
これまではMCPサーバーをAIに使わせる場合、インターネット側に公開する必要がありました。
つまり、外から入れる「玄関」を開けることになり、セキュリティ担当者が首を縦に振りませんでした。
MCPトンネルは、この発想を逆転させます。社内に小さな「ゲートウェイ」(中継役のソフト)を置き、そこからAnthropic側に外向きの1本だけ暗号化された通信を張ります。
受信ポートを開けなくていい
ポイントは「インバウンド(受信)のファイアウォール穴開けが不要」という点です。
会社のネットワークは、外からの通信は厳しくチェックしますが、内側から外への通信は比較的緩いことが多いです。MCPトンネルはこの性質を上手く使っています。
通信はエンドツーエンド暗号化(最初から最後まで暗号で守る方式)。社内DBや社内ナレッジベース、社内チケットシステムを、外に出さずにエージェントの道具として使えるようになります。
どんな業務で活きるか
あるサポートセンターを想像してみてください。顧客からの問い合わせに答えるには、社内の契約DB、過去のチケット履歴、商品マスタを全部見る必要があります。
これまでは、それぞれをAPI公開するか、データをコピーしてAIに渡すか、いずれもセキュリティ部門の許可が降りにくいやり方でした。
MCPトンネルがあれば、社内に閉じたままAIエージェントが直接DBを読みに行けます。
セルフホスト型サンドボックスとは?
「司令塔」と「現場」を分ける発想
もう1つの新機能、セルフホスト型サンドボックスは「司令塔と現場を分ける」発想で作られています。
司令塔(オーケストレーション)はAnthropicのサーバーで動きます。「何をすべきか考える」「途中でエラーが出たら立て直す」といった頭脳の役割です。
一方、現場の作業(ツール実行)は自社のインフラまたは提携プロバイダーで動きます。ファイル操作、コード実行、画像生成といった重い処理がここに当たります。
なぜ分けるのか
分ける一番のメリットは、機密データが社外に出ないことです。
たとえば社内ソースコードのリポジトリを操作させる場合。サンドボックスを自社環境に置けば、ソースコードは自社の壁の中から一歩も出ません。
同時に、ネットワーク監視、監査ログ、データ損失防止ツール、すでに自社で運用しているセキュリティ機能をそのまま適用できます。
対応する4つのプロバイダー
自前構築の手間を省きたい企業向けに、4つのマネージドプロバイダー(運用代行型のクラウド)が初期から対応しています。
- Cloudflare:マイクロVM方式、ゼロトラストセキュリティ、外向き通信を細かく制御可能
- Daytona:状態を保持できる仮想マシン、SSH接続も可能で長時間ジョブに強い
- Modal:AI処理に最適化、サブ秒(1秒未満)で起動
- Vercel:VPCピアリング(社内ネット直結)対応、ミリ秒起動
どれもサーバーを丸ごと借りる必要はなく、必要なときだけ計算リソースを使う形です。
競合と比較してどう違う?
OpenAI Assistants/Responses APIとの違い
同じく企業向けのAIエージェント基盤として、OpenAIのAssistants APIやResponses APIが先行しています。
OpenAI側もサンドボックスやファイル単位の権限制御を提供していますが、司令塔と現場をネットワーク的に分離する発想は今回のClaudeほど明確ではありません。
つまり、データの物理的な置き場所をどこまで顧客側が握れるか、という点でAnthropicが一歩踏み込んだ形です。
Microsoft Copilot Studio/Google Agentspaceとの違い
MicrosoftやGoogleも企業向けのエージェント基盤を展開しています。これらは自社クラウド(Azure、Google Cloud)に強く統合された設計です。
一方Claude Managed Agentsは、特定クラウドに縛られず、複数のサンドボックスプロバイダーを選べる柔軟性が特徴です。
「うちはAWSだから」「いやAzureだから」と社内事情がバラバラな企業でも、選択肢が広いというわけです。
3社の比較表
ざっくり整理すると、こうなります。
- Claude Managed Agents:司令塔と現場を分離、複数プロバイダー対応、規制業界向き
- OpenAI Assistants:機能数で先行、利用シェアも大きいが分離度はやや浅い
- Microsoft Copilot Studio:Azure統合が強み、Microsoft 365との親和性が高い
日本市場への影響は?
金融・医療・行政の壁が下がる
日本企業がAIエージェント導入で最も気にするのは、個人情報保護法、業界ガイドライン、内部統制の3つです。
とくに金融機関、医療機関、自治体は「データを国外に出さない」「監査ログを完全に取る」要件が厳しく、AIエージェント導入の最大の壁になっていました。
セルフホスト型サンドボックスとMCPトンネルがあれば、データ実体は社内に閉じ込めたままAIを使えます。これは日本市場での導入加速に直結します。
SIerにとっての追い風
日本ではSIer(システム開発を請け負う会社)が企業システムを構築するケースが多いです。
今回の機能拡張は、SIerにとって「Claudeを使った企業向けエージェント基盤」を提案しやすくなる材料になります。
NTTデータ、富士通、NEC、各社が手掛けるAI案件で、選択肢の1つとして名前が上がる可能性が高まりました。
国内の類似サービスとの関係
国内ではNTTのtsuzumi、富士通のTakane、日立のGenerative AIプラットフォームなど、国産LLMやエージェント基盤の開発が進んでいます。
これらは「データを国内に閉じる」点が売りですが、Claudeのセルフホスト機能は「米国製でも実データは国内に閉じられる」状態を作り出します。
つまり国産勢にとっては、競争がさらに激しくなる材料です。
どう使い始める?
セルフホスト型サンドボックス
こちらは公開ベータなので、すぐに試せます。
Claude Consoleにログインし、組織設定からManaged Agentsの設定を開き、対応プロバイダー(Cloudflare、Daytona、Modal、Vercel)の中から接続したいものを選びます。
各プロバイダー側でアカウントとAPIキーを準備しておけば、数十分で接続が完了します。
MCPトンネル
こちらは限定リサーチプレビューのため、利用にはアクセス申請が必要です。
Anthropicの企業営業窓口から申し込み、用途や規模の審査を受ける流れになります。本格商用は今後数か月以内に拡大予定とされています。
よくある質問(FAQ)
Q1. 個人や中小企業でも使える?
セルフホスト型サンドボックスは、技術的には誰でも試せます。ただしClaudeのAPI利用料に加え、選んだプロバイダー(VercelやModalなど)の費用も発生するため、本格運用には月数万円〜の予算が必要です。MCPトンネルは現時点では企業向けの限定プレビューです。
Q2. データはAnthropicに送られないの?
司令塔(オーケストレーション)の処理ではAnthropic側に「指示や応答のテキスト」は送信されます。ただしツール実行で扱うファイル本体や社内DBの中身は、自社環境から出ない設計です。何が送られて何が送られないか、用途ごとにきちんと整理することが大切です。
Q3. オンプレミス完全運用はできる?
いいえ。司令塔部分はAnthropicのクラウドで動くため、完全なオンプレミス(自社内だけで完結する運用)はできません。完全オフライン要件がある場合は、Llamaなどのオープンモデルを自社運用する選択肢を検討します。
Q4. 既存のClaudeユーザーは何か対応が必要?
既存のClaude.aiやAPIの一般利用には影響ありません。今回の機能はあくまでClaude Managed Agentsという企業向けサービスの追加機能です。エージェント運用をしていないなら特に対応は不要です。
まとめ:エンタープライズAIの転換点
今回の発表は、AIエージェントが「実験段階」から「本番業務」へ進む大きな一歩です。
- MCPトンネルで社内システムへの安全接続が実現
- セルフホスト型サンドボックスでデータ流出リスクを最小化
- Cloudflare、Vercelなど4社が初期対応し、選択肢が広い
- 金融・医療・行政など規制業界での導入が一気に進む可能性
- 日本企業のセキュリティ要件をクリアしやすくなり、SIer案件も増える見込み
もしあなたの会社で「AIエージェントを社内に入れたいがセキュリティで止まっている」状況なら、まずはClaude Consoleでセルフホスト型サンドボックスの公開ベータを触ってみるのが、次の一歩としておすすめです。
参考文献
- New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels(Anthropic公式ブログ)
- Anthropic enhances Claude Managed Agents with two new privacy and security features(9to5Mac)
- Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems(InfoQ)
- Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents(The Decoder)
- Claude agents can finally connect to enterprise APIs without leaking credentials(VentureBeat)
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
