Claude Управляє агентами відкритий самоврядний пісочниця та MCP зашифрований канал, Anthropic хоче доставити середовище виконання в корпоративну внутрішню мережу

Anthropic 19日にClaude Managed Agentsに新たに2つの企業向け機能を追加：セルフホスティングサンドボックスとMCPチャネル。前者はツールの実行をAnthropicクラウドから顧客の自社インフラに移行させるもので、後者はAIエージェントの接続全体をエンドツーエンドの暗号化で保護し、ファイアウォールのポートを外部に公開する必要をなくすものだ。
（前提：AnthropicがClaude Managed Agentsをリリース：AIエージェントインフラの接続コストは$0.08/時間、開発時間を大幅短縮）
（補足：Claudeとは何か？費用、機能、Claude Code、Coworkの完全解説 — 2026年最も詳細なAnthropicガイド）

本文目次

トグル

• サンドボックスの外側へ：4つのパートナーそれぞれの焦点
• MCPチャネル：企業のAI導入最大の課題を解き明かす
• なぜこれが見た目以上に重要なのか

Anthropicは19日にClaude Managed Agentsに新たな企業向け機能を追加：セルフホスティングサンドボックスとMCPチャネル。この選択は、OpenAIやGoogleの主流企業戦略と対照的だ。

後者2つの企業プランは、多くの場合、ツールやデータ、実行環境をベンダーのクラウドに預けることを求めるが、Anthropicは逆に「編成はこちらで行い、実行は顧客側に送る」構造を採用している。

サンドボックスの外側へ：4つのパートナーそれぞれの焦点

いわゆる「サンドボックス」とは、AIエージェントがツールを実行する際の隔離環境のことだ。想像してみてほしい、タスク終了ごとにクリアされる仮想作業台のようなもので、エージェントの動作が外部システムに影響を与えたり、敏感な情報が漏洩したりしないようにするものだ。過去にはこの作業台はAnthropicが管理していたが、今は企業に制御権を返している。

構造上の区分は明確だ：Anthropicは引き続きエージェントループ（agent loop）を担当し、編成、コンテキスト管理、エラー復旧といった「頭脳」の仕事を担い、ツールの実行は顧客のインフラに移す。

4つのパートナーはそれぞれ異なる企業ニーズに対応している：

Cloudflareは軽量化とゼロトラストセキュリティを重視。マイクロVMと軽量なアイソレート（コンテナより軽い実行単位）を採用し、秘密情報の注入（secretsの不ローカル保存）、監査・修正可能な出口トラフィック、Cloudflareの内部ネットワークへの接続をサポート。

Daytonaは「フル機能の組み合わせ可能なコンピュータ」と位置付け、長時間の状態維持を重視。エージェントは一時停止(pause)と復元(restore)が可能で、タスク中断による進捗喪失を防ぐ。SSH接続やプレビューURLもサポートし、中間結果のレビューが必要なワークフローに適している。

ModalはAIワークロード向けに設計されており、サンドボックスと既存のfunctions、storage、networkingが同一インフラを共有。起動時間はサブ秒級で、数万の並列サンドボックスに拡張可能と主張。CPUとGPUの両方でオンデマンド課金をサポートし、大規模並列推論やトレーニングに適している。

Vercelは隔離とデータのローカル保存を重視。VMレベルの安全隔離を採用し、VPCピアリング（仮想プライベートクラウド間の直接接続）や「自分のクラウドを持ち込む」オプションを提供。起動時間はミリ秒級。最も重要な設計は、証明書がファイアウォールの境界で注入され、サンドボックス内部には絶対に入らない点だ。

MCPチャネル：企業のAI導入最大の課題を解き明かす

MCP（Model Context Protocol、モデルコンテキストプロトコル）は、AIエージェントが外部ツールやデータに接続するための標準インターフェースだ。問題は、企業にとって最も価値のあるシステム—内部データベース、プライベートAPI、ナレッジベース、チケットシステム—がほとんどファイアウォールの背後にあり、外部に公開されていないことだ。

これにより矛盾が生じる：エージェントを有効に機能させるにはこれらのプライベートシステムに接続する必要があるが、接続するには企業は入 inboundファイアウォールルールを開放したり、公開エンドポイントを設定したりしなければならず、セキュリティチームにとっては受け入れ難い。

MCPトンネルはこの問題を直接解決する。企業はプライベートネットワーク内に軽量なゲートウェイ（閘門）を展開し、これが単一の出站接続を確立し、内部から外部へと通信を行う。外部からの待ち受けは不要だ。これにより、入 inboundファイアウォールルールや公開エンドポイントは不要となり、トラフィックは全てエンドツーエンドの暗号化で保護される。

セキュリティ部門にとって、この構造はVPNやリバースプロキシの概念に似ている：内部からの接続が発信され、外部から内部システムに直接アクセスされることはない。エージェントはこのトンネルを通じてプライベートのMCPサーバーにアクセスし、内部システムへの接続を規範的に取得できる。

MCPトンネルはManaged AgentsとMessages APIの両方をサポートし、組織の管理者はClaude Consoleのworkspace settingsから一元管理でき、各開発者ごとに設定を行う必要はない。

なぜこれが見た目以上に重要なのか

今年4月にさかのぼる。Anthropicは4月8日に初めてManaged Agentsをリリースし、価格は約$0.08/時間。これは「企業が自前のエージェントインフラを構築する時間とコストを節約させる」ことを目的としたものだ。当時の外部の解釈は、主に時間単位の課金によるエージェントレンタルサービスに集中していた。

今回のアップデートは、より深い戦略的意図を明らかにしている：Anthropicは単に「Claudeを使う企業」を奪うだけでなく、「企業AIインフラの構造支配権」を獲得しようとしている。

セルフホスティングサンドボックスは、厳格なデータ主権を求める金融、医療、政府といった企業にとって試す価値のある選択肢となる。MCPトンネルは、AIエージェントが企業環境で最もつまずきやすい問題—「絶対に外部に公開されない内部システム」への接続—を解決する。

計算資源は外部委託できても、データはそうできない。Anthropicは、データを現状に留め、エージェントの頭脳をそこに送ることを選んだのだ。