Anthropicが「Claude Managed Agents」に2つの新機能を追加した。エージェントのツール実行環境を自社インフラ上に構築できる「セルフホストサンドボックス」がパブリックベータとなり、社内ネットワーク内のプライベートMCPサーバーへ安全に接続できる「MCPトンネル」もリサーチプレビューとして登場した。機密データを一切外部に出さずにAIエージェントを本格活用したいエンタープライズ企業にとって、待望のアップデートだ。

セルフホストサンドボックス:エージェントの「手」を自社管理下に

AIエージェントがコードを実行したりファイルを操作したりするサンドボックス環境を、自社インフラまたは信頼済みのマネージドプロバイダー(Cloudflare・Daytona・Modal・Vercel)上に置けるようになった。

アーキテクチャの分離がポイントだ。文脈管理やエラー回復を担う「エージェントループ」はAnthropicのインフラに残るが、ツールを実際に動かす部分だけが自社の管理下に移動する。この設計により:

  • 機密ファイルやリポジトリがAnthropicのサーバーに届かない
  • 既存の社内ネットワークポリシーや監査ログがそのまま適用される
  • CPUやメモリなどのコンピューティングリソースを自社でチューニングできる

実例として、機関投資家向けAIプラットフォームのRogoはManaged AgentsとVercel Sandboxを組み合わせ、独自の財務データを扱うアナリストエージェントを構築中だ。マーケティングデザインツールを開発するAmplitudeも、Cloudflareとの組み合わせでより細かい可観測性と制御を実現しているという。

MCPトンネル:社内ネットワークを「穴を開けずに」つなぐ

MCPトンネルは、外部からアクセスできない社内ネットワーク上のMCPサーバーへ、エージェントが接続するための仕組みだ。従来なら社内リソースをAIエージェントに使わせるには、パブリックエンドポイントの公開やファイアウォールの穴開けが必要だった。

MCPトンネルの設計は逆転の発想だ。社内に軽量なゲートウェイを1台置き、アウトバウンド接続を1本張るだけで済む。インバウンドのポート開放は不要で、通信はエンドツーエンドで暗号化される。Claude ConsoleからAdmin権限で設定管理できるため、運用面のハードルも低い。

社内データベース、プライベートAPI、ナレッジベース、チケットシステムなど、これまで「外部AIには渡せない」とされてきたリソースが、エージェントのツールとして利用可能になる。Managed AgentsとMessages API両方でサポートされているため、既存のAPI利用者も取り入れやすい。

実務への影響

セキュリティ担当者の視点:AIエージェントの活用をセキュリティリスクを理由に制限してきた組織でも、既存のセキュリティ境界を壊さずに導入できる選択肢が生まれた。「クラウドAIへの外部送信を認めていない」という制約を、システム設計で解決できるのは大きな前進だ。

エンジニア・アーキテクトの視点:MCPトンネルは特に実用的だ。VPNや複雑なネットワーク設定なしに、既存の社内ツールをそのままAIエージェントのツールとして公開できる。社内システムへのアクセスをMCPサーバーとして実装しておけば、エージェントが自律的に横断利用できる基盤ができあがる。

コスト設計の視点:Vercel・Cloudflare・Modalなどのマネージドプロバイダーを使えば、自前でKubernetesクラスターを組む必要がなく、初期投資を最小化できる。サブ秒単位の起動時間と数十万並列サンドボックスに対応するModalのような選択肢もある。

筆者の見解

AIエージェントが本格的にエンタープライズに入っていくためには、「データをどこで処理するか」という問いに答えられる設計が不可欠だった。今回のアップデートは、その問いへの一つの明確な回答だ。

特に注目したいのは、設計の方向性がよく考えられている点だ。エージェントループをAnthropicが管理し続けながら、ツール実行環境だけを切り離して自社の管理下に置く——この分離は、セキュリティと運用の両立として理にかなっている。全部自社でホストするよりも現実的だし、全部クラウドに任せるよりもセキュリティ要件に応えやすい。

自律的に判断・実行・検証を繰り返すハーネスループ型のAIエージェントが実業務に入っていくためには、こうした「信頼できる境界の中で動ける」アーキテクチャが土台として必要だ。MCPトンネルが「社内のあらゆるシステムをエージェントのツールにできる」可能性を開く点は、今後の発展が楽しみなところだ。

日本企業の文脈で考えると、厳格な情報セキュリティポリシーを持つ金融・医療・製造業などの業種で、AIエージェント活用の「現実解」として真剣に検討できるレベルになってきた。「AIは外部にデータを送るから使えない」という理由での先送りが、一つ崩れ始めている。

出典: この記事は New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels の内容をもとに、筆者の見解を加えて独自に執筆したものです。