AnthropicがClaude Managed Agentsを強化——セルフホストサンドボックスとMCPトンネルでエンタープライズ展開の壁を崩す

Anthropicは2026年5月19日、Claude Managed Agentsに2つの重要な機能を追加した。エンタープライズ環境でAIエージェントを安全に展開するための「セルフホストサンドボックス」（パブリックベータ）と、社内MCPサーバーへのアクセスを安全に実現する「MCPトンネル」（研究プレビュー）だ。AIエージェントの企業展開を阻んできたセキュリティの壁に、ついて本格的な回答が出てきた形だ。

セルフホストサンドボックス——エージェントをオンプレで動かす

セルフホストサンドボックスは、Claudeエージェントの実行環境を自社インフラ上に構築できる機能だ。従来、クラウド上のAIエージェントを企業システムと連携させるには、社内ネットワークへの外部アクセスを許可する必要があり、セキュリティポリシー上のハードルが高かった。

この機能を使えば、エージェントの実行環境そのものを社内に置けるため、機密データがクラウドに送出されるリスクを大幅に低減できる。金融・医療・官公庁など、データの国外持ち出しに厳しい制約がある業種では特に重要な選択肢になる。

MCPトンネル——ファイアウォールを越えずに社内サーバーへ接続

MCPトンネルはより技術的に興味深い設計だ。MCP（Model Context Protocol）はAIエージェントがツールや外部サービスを呼び出すための標準プロトコルだが、社内にMCPサーバーを立てた場合、クラウド側のエージェントからアクセスするにはインバウンドの穴をファイアウォールに開ける必要があった。

MCPトンネルはこの問題を解決する。社内のMCPサーバーがアウトバウンド（外向き）専用の暗号化ゲートウェイを通じてAnthropicのエージェント基盤に接続する仕組みで、これにより：

• ファイアウォールにインバウンドの穴を一切開けない
• 社内ナレッジベース、基幹システムAPI、ファイルサーバーなどへクラウドエージェントからアクセス可能
• 通信は暗号化され、エンドツーエンドのセキュリティを確保

このアーキテクチャはCloudflare TunnelやSSHリバーストンネルの考え方に近く、ゼロトラストアーキテクチャとも親和性が高い。企業のセキュリティ担当者に受け入れられやすい設計だ。

なぜこれが重要か——エンタープライズAIの「最後の壁」

AIエージェントが真の業務価値を生み出すためには、社内システムへのアクセスが不可欠だ。顧客データベース、ERPシステム、社内ナレッジ——これらに触れられないエージェントは「よく喋るチャットボット」にすぎない。

これまでIT部門が「社内データをクラウドAIに渡すな」と言えば、それは正論だった。しかし今回の2つの機能は、その「正論」の前提を崩す。セルフホストで実行環境を社内に置き、MCPトンネルで社内システムとつなぐ——このアーキテクチャが整えば、エンタープライズのAIエージェント展開は一気に現実的になる。

実務への影響——日本のIT現場が取るべきアクション

セキュリティ担当者へ: MCPトンネルのアウトバウンド専用設計は、「インバウンドを開けない構成でどこまで安全を担保できるか」という建設的な議論への入り口だ。「AIだから危険」という一律拒否から脱却するタイミングが来た。

エンジニアへ: MCPは今後のエージェントエコシステムの基幹プロトコルになる可能性が高い。社内ツールや社内APIをMCPサーバーとして実装するスキルは、組織内での希少価値を高める。今のうちに設計パターンを習得しておくことを勧める。

IT管理者へ: セルフホストサンドボックスがパブリックベータになったことは、実際に評価できる段階に入ったサインだ。コンプライアンス要件が厳しい業種ほど、PoC（概念実証）フェーズに入る準備を今から進めるべきだろう。

筆者の見解

AIエージェントの「本物の価値」は、社内システムと深くつながったときにはじめて発揮される——これは以前から変わらない持論だ。エージェントが自律的にループで動き続けながら、社内ナレッジや基幹システムにアクセスして複雑なタスクを遂行する。そのアーキテクチャが技術的に射程に入ってきた。

セルフホストサンドボックスとMCPトンネルの組み合わせは、その実現を大きく前進させる設計だと評価している。特にMCPトンネルのアウトバウンド専用設計は、企業ネットワークの現実を踏まえた誠実な解法だ。

ただし、日本の現場への一言として。「セキュリティが確保されれば展開する」という考え方は正しい。しかし「まず禁止して様子を見る」では出遅れる一方だ。今回のようなアーキテクチャが整備されてきた今こそ、IT部門とビジネス部門が同じテーブルに座って「どう使うか」を具体的に議論すべきタイミングだ。AI活用の遅れは、もはや「リスク回避」ではなく「機会損失」として計上すべき時代に入っている。

出典: この記事は Anthropic Claude Managed Agents: MCP tunnels & self-hosted sandboxes の内容をもとに、筆者の見解を加えて独自に執筆したものです。