Anthropicは2026年6月29日、Amazon BedrockおよびGoogle Cloud経由でClaude Codeを利用する企業向けに、自社インフラ上で運用できる管理基盤「Claude apps gateway」を発表した。開発者ごとにクラウド認証情報を発行し、設定ファイルを各端末へ手作業で配布し、利用状況を個別ツールで追跡するという、これまでの運用負荷の高いやり方を置き換えるものだ。

何が変わるのか

これまでBedrockやGoogle Cloud経由でClaude Codeを使う場合、企業は開発者一人ひとりにクラウド認証情報を割り当て、設定を手動で端末に配布し、利用量やコストを可視化する仕組みを別途用意する必要があった。Claude apps gatewayは、この3つの課題を1つのセルフホスト型コンテナに集約する。

Claude apps gatewayの4つの機能

Linux上でPostgreSQLをバックエンドに動くステートレスなコンテナとして提供され、次の役割を持つ。

  • ID管理: Google Workspace、Microsoft Entra ID、Okta、その他標準準拠のOIDCプロバイダーに対してOpenID Connectのリライング・パーティとして動作し、短命セッションを発行する。開発者の端末に長期間有効な秘密情報を置かない設計だ。
  • ポリシー: サーバー側で一度定義したmanaged settingsをサインイン時にクライアントへ配布し、以降すべてのリクエストで強制する。利用可能なモデルやデフォルト設定を一元的に調整できる。
  • テレメトリ: リクエストごとの利用状況をOTLP経由で、自社が管理するコレクターに送信する。
  • ルーティングと支出上限: Claude API・Amazon Bedrock・Google Cloudへの推論ルーティング(フェイルオーバー可)に加え、組織・グループ・ユーザー単位で日次/週次/月次の支出上限を設定できる。

Claude APIを明示的に使う構成にしない限り、推論トラフィックや利用データがAnthropicに送信されることはない。またAnthropicはゲートウェイが使うプロトコル自体を公開しており、他社が同等機能を独自実装できるようにもしている。

実務への影響

日本企業がAWSやGoogle Cloudをメインクラウドとして選び、そこ経由でClaude Codeを導入する場合、これまでは開発者ごとのAPIキー管理やコスト把握が情シス部門にとって地味に重い運用負担だった。個々人が野良でAPIキーを発行する状態が続くと、退職者の権限剥奪漏れやコスト超過といったリスクが積み上がる。Claude apps gatewayは、これを既存のEntra IDやOktaといったIDプロバイダーにそのまま乗せる形で解消できる点が実務的だ。

活用の入口はシンプルで、gateway.yamlにOIDC発行者とアップストリーム認証情報を設定し、IdP側にOIDCアプリを1つ登録するところから始まる。展開時はクライアント側のmanaged-settings.jsonforceLoginMethodforceLoginGatewayUrlを指定すれば、初回起動時に自動的にゲートウェイへ接続する。すでにEntra IDで社内SSO基盤を持つ企業であれば、追加のID基盤を新設せずに展開できる点は評価してよい。

筆者の見解

このアップデートは「禁止ではなく安全に使える仕組みを用意する」という王道の発想で、好感が持てる。開発者が各自でAPIキーを発行して使うシャドーIT状態を放置するより、公式に便利な入り口を用意してそこに乗ってもらう方が、結果的に統制もセキュリティも効きやすい。これは生成AIツール全般に言えることで、Microsoft Entra IDのような既存のID基盤へそのまま統合できる設計は素直に王道だと思う。

Microsoft自身も、EntraやFoundryを軸にした企業向けAIガバナンスの整備を進めている。認証・ポリシー・支出管理を一箇所にまとめるという発想では、これまで積み上げてきた統合力を活かせば正面から勝負できる力があるはずで、他社のこうした動きを一つの刺激として、その強みをもっと前面に出してほしいところだ。

企業のIT管理者にとっての教訓はシンプルで、AIエージェントの利用を個人任せの野良運用にせず、公式に管理された経路を用意することが、結局は一番の近道だということだ。


出典: この記事は Introducing the Claude apps gateway for Amazon Bedrock and Google Cloud の内容をもとに、筆者の見解を加えて独自に執筆したものです。