藤田智也【2026年新機能】MCPトンネルで社内システムへ安全接続|自己ホスト型サンドボックスで機密を社内に留める
Anthropicの新機能「MCPトンネル」と「自己ホスト型サンドボックス」を使うと、機密データを社内境界に留めたままAIエージェントを基幹システムにつなげます。仕組みと情シスの確認ポイントを実務目線で解説します。
AIエージェントを社内システムにつなぐとき、最大の壁は「機密データを外に出してよいか」という一点に集約されます。Anthropicが2026年5月19日に発表した「MCPトンネル」(リサーチプレビュー)と「自己ホスト型サンドボックス」(パブリックベータ)は、この壁に正面から答える機能です。MCPトンネルは社内のデータベースやAPIへ、インバウンドのファイアウォール開放を一切行わずに接続できます。サンドボックスはツールの実行を自社の管理下に置き、機密を社内境界に留めたままエージェントを動かせます。
本記事では、なぜ社内接続が導入の最大の壁になるのか、2つの新機能がそれぞれ何を解決するのか、そして情報システム部門が導入前に確認すべき設計上のポイントを、非エンジニアの推進担当者にも分かるよう整理します。MCPそのものの基礎は MCP(Model Context Protocol)とは何かを解説した記事 で解説しているため、本記事は「社内システムへ安全につなぐ」部分に絞って掘り下げます。
なぜ社内システムへの接続が導入の最大の壁になるのか
社内システムへの接続が止まる理由は、技術の不足ではなく「機密データを社内境界の外へ出せない」という制約にあります。多くの企業で、AIエージェントの本番投入を最後に止めるのはモデルの性能ではなく、コンプライアンス部門の承認です。
The New Stackの取材では、この点が端的に指摘されています。「コンプライアンスチームこそが本番エージェントの真のボトルネックであり、モデルではない」(Daksh Trehan氏)という言葉のとおり、AIエージェントを社内データにつなぐには、長い承認サイクルを越える必要があります(出典: The New Stack)。
具体的なハードルは、大きく次の3つに分かれます。
- データ境界:社内のデータベース・APIをインターネットに公開すると、攻撃面が一気に広がります。情シスはインバウンドの通信口を開けることを嫌います。
- コードと処理の所在:エージェントが自社のコードやファイルを処理する際、それらを外部のデータセンターへコピーする運用は、多くの規程で認められません。
- 監査と権限:誰がどのデータにアクセスしたかを後から追跡できなければ、社内のガバナンス基準を満たせません。
これらは「AIを使うか否か」の議論ではなく、「既存の情報セキュリティ規程をどう満たすか」という運用設計の問題です。Anthropicの2つの新機能は、まさにこの3点を技術的に解く設計になっています。
MCPトンネルの仕組み|インバウンド開放なしで社内データへつなぐ
MCPトンネルは、社内のプライベートなMCPサーバーへ、インバウンドのファイアウォール開放を行わずに接続する仕組みです。AnthropicがClaude Managed Agentsの新機能として2026年5月19日に発表しました(出典: InfoQ)。現時点ではリサーチプレビューで、申請ベースで利用できます。
仕組みの核心は「接続の向き」にあります。社内ネットワークの内側に軽量なゲートウェイを置き、そのゲートウェイがAnthropic側のルーティング基盤へ向けて、外向き(アウトバウンド)の暗号化接続を1本だけ張ります。エージェントはこの経路を通って社内のMCPサーバーに到達するため、外から内へ向かうインバウンドの通信口を新たに開ける必要がありません(出典: InfoQ)。
従来の社内システム連携と比べると、攻撃面の考え方が大きく変わります。
| 観点 | 従来の連携(インバウンド開放型) | MCPトンネル(アウトバウンド型) |
|---|---|---|
| 通信の向き | 外から内へ受け入れる | 内から外へ1本だけ張る |
| ファイアウォール | インバウンドのポート開放が必要 | インバウンド開放は不要 |
| 公開エンドポイント | 公開DNS・公開URLが必要になりがち | 公開DNS・公開エンドポイント不要 |
| 通信の暗号化 | 構成次第 | 端から端まで暗号化 |
| 接続できる先 | 公開した範囲 | 社内DB・API・チケット・ナレッジベース等 |
この方式により、社内のデータベース、プライベートAPI、チケット管理システム、ナレッジベースなどを「インターネットに公開せず」エージェントのツールとして使えます。実際の接続管理は、Claude Console(管理コンソール)の組織設定から行います。
つまりMCPトンネルは、情シスが最も嫌う「インバウンドの通信口を開ける」という工程をなくし、社内ネットワーク側から能動的に1本の暗号化経路を張る発想に切り替えた点が要点です。
自己ホスト型サンドボックス|実行は自社、司令塔はAnthropic
自己ホスト型サンドボックスは、エージェントが行う「ツールの実行」を自社の管理下に置き、エージェントの「司令塔」だけをAnthropic側に残す仕組みです。こちらはパブリックベータとして、すでに利用可能です(出典: InfoQ)。
ポイントは責任の分け方です。文脈の管理・エラーからの復旧・エージェントの実行ループといったオーケストレーション(司令塔)はAnthropicの基盤に残り、ファイルの読み書きやコードの実行といった実際の処理は、自社が管理するインフラまたは指定した管理環境の中で動きます(出典: The Decoder)。これにより、自社のリポジトリ・ファイル・サービスを既存のインフラ内に留めたまま、エージェントを動かせます。
実行環境は、自社インフラのほか、次の4つの管理環境プロバイダーに対応しています。
| プロバイダー | 提供する実行環境の特徴 |
|---|---|
| Cloudflare | microVM・ゼロトラストネットワーク・送信トラフィックの制御 |
| Daytona | 長時間稼働でステートフルな環境・SSHやプレビューURLでのアクセス |
| Modal | AI向けワークロード・CPU/GPUのスケーラブルな割り当て |
| Vercel | サンドボックスの分離・VPCピアリング・認証情報の注入 |
この設計が解くのは、前章で挙げた「コードと処理の所在」の問題です。自社のコードを外部のデータセンターへコピーすることなく、計算資源のサイズやランタイムのイメージを自社で管理しながらエージェントを運用できます。法人での安全利用の前提となるデータの扱いについては、Claudeを法人で安全に使うためのデータ・学習ポリシー で確認すべき観点を整理しています。
なおこれらは、Claude Opus 4.8 やSonnet 4.6 といった現行モデルが担うエージェント機能を、社内インフラの内側で安全に動かすための「土台」にあたる機能です。モデルの性能とは独立した、運用・配置の選択肢が増えたと捉えると分かりやすくなります。
情シスが導入前に確認すべき設計チェック
MCPトンネルと自己ホスト型サンドボックスを評価するときは、「データ境界・権限・監査」の3点を設計の軸に置くと判断がぶれません。新機能の魅力よりも先に、自社の情報セキュリティ規程に照らした確認項目を固めることが、承認を早める近道になります。
導入検討時に最低限おさえたいチェック項目を、3つの軸で整理します。
| 設計の軸 | 確認すべきこと | 関連する新機能 |
|---|---|---|
| データ境界 | インバウンドの通信口を開けずに済むか/自社コードを外部へコピーしないか | MCPトンネル・自己ホスト型サンドボックス |
| 権限 | エージェントがアクセスできるDB・APIの範囲を最小権限に絞れるか | MCPトンネル(接続先の限定) |
| 監査 | どのデータに・いつアクセスしたかのログを自社で追跡できるか | サンドボックスの実行環境側のログ |
| 配置 | 実行環境を自社インフラ/指定プロバイダーのどこに置くか | 自己ホスト型サンドボックス |
| 稼働段階 | リサーチプレビューかパブリックベータかを踏まえ本番投入の時期を見極めているか | 両機能(成熟度が異なる) |
特に注意したいのは、2つの機能の成熟度が異なる点です。自己ホスト型サンドボックスはパブリックベータですでに使えますが、MCPトンネルはリサーチプレビューで申請ベースです(出典: InfoQ)。本番の基幹システムにいきなり全面適用するのではなく、影響範囲の小さい社内ナレッジベースなどから段階的に検証する進め方が現実的です。
こうした「自社の情報セキュリティ規程を満たしながら、AIエージェントを社内業務に定着させる」設計は、機能を導入するだけでは完結しません。テクラル合同会社の社内AI導入支援サービス「ClaudeNow」(claude-now.com)でも、データ境界・権限・監査の設計を含めた社内運用の伴走を行っています。
よくある質問
MCPトンネルと自己ホスト型サンドボックスは何が違うのですか
役割が異なります。MCPトンネルは「社内のデータやAPIへ、インバウンド開放なしでつなぐ通信経路」です。自己ホスト型サンドボックスは「ツールの実行を自社の管理環境で行い、司令塔だけをAnthropic側に残す実行基盤」です。前者は接続、後者は実行と整理すると分かりやすくなります。
いますぐ本番で使えますか
機能によって異なります。自己ホスト型サンドボックスはパブリックベータとしてすでに利用できます。一方でMCPトンネルはリサーチプレビューで、申請ベースの提供です。本番投入の前に、自社のセキュリティ規程との適合を検証する段階を設けることをおすすめします。
既存のファイアウォール設定を大きく変える必要はありますか
MCPトンネルの設計上、インバウンドのポート開放や公開エンドポイントの新設は不要です。社内ネットワークの内側から外向きの暗号化接続を1本張る方式のため、攻撃面を広げずに導入できる点が、従来の連携との大きな違いです。
社内システムへの接続は、これまで「機密を外に出せない」という一点で止まりがちでした。MCPトンネルと自己ホスト型サンドボックスは、その制約を技術で解く選択肢を増やします。まずは影響範囲の小さい領域から、データ境界・権限・監査の3点を軸に検証を始めるのが、確実な第一歩になります。
出典・参考
- Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems|InfoQ(2026年5月)
- Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents|The Decoder(2026年5月19日)
- Anthropic debuts MCP tunnels and self-hosted sandboxes to lock down AI agent infrastructure|The New Stack
- Anthropic enhances Claude Managed Agents with two new privacy and security features|9to5Mac(2026年5月19日)
その作業、AIで自動化できます!
ClaudeやAIエージェントを活用し、複雑な会計ソフトの入力・図面や画像を用いた書類の整理・プロジェクト管理まで、あらゆる業務をAIエージェントが遂行。社内で運用できる状態までご支援します。
