企業導入のセキュリティ・権限・ガバナンス設計【Claude Code統制とCoworkの盲点】
「Claudeを全社で使わせたいが、情シスとして稟議を通せない」——企業のAI導入で最後に立ちはだかるのが、このセキュリティ・ガバナンスの壁です。誰が・どのデータに・どこまでアクセスでき、その操作が後から監査できるのか。ここが詰め切れていないと、現場がどれだけ盛り上がっても導入は止まります。そして2026年6月時点のClaudeには、企業統制の観点で「Claude Codeは強い/Coworkには重要な盲点がある」という、知らずに導入すると危険な非対称性が存在します。本レッスンでは、忖度なしにその設計の勘所を整理します。
結論を先に:統制は「インターフェースごと」に設計する
最も重要な原則は、Claudeを「1つの製品」として一括で許可・統制しようとしないことです。同じClaudeエンジンでも、開発者向けのClaude Codeと非エンジニア向けのClaude Coworkでは、統制機能のレベルがまったく異なります。要点は3つです。
- Claude Codeは統制が充実:OSレベルのサンドボックス、ネットワーク隔離、MCP許可リスト、設定変更フック、そしてEnterpriseプランでの監査ログが揃っています。
- Coworkは監査ログに「記録されない」:2026年6月時点で、Coworkの活動は監査ログ・コンプライアンスAPI・データエクスポートのいずれにも残りません。これは全プラン(Enterprise含む)共通の制約です。
- MCPが統制の最大の論点:Gmail・Slack・社内DBなどへ実アクセスする接続点であり、許可リストとアクセス権の設計がガバナンスの核心になります。
この前提を押さえたうえで、各レイヤーを順に見ていきましょう。
1. Claude Codeの統制機能:何を制御できるのか
Claude Codeはファイル編集やコマンド実行を自律的に行うため、誤操作や悪意あるコードのリスクが伴います。これに対し、Anthropicは多層の制御点を用意しています。
| 統制機能 | 何ができるか | 使いどころ |
|---|---|---|
| サンドボックスbash | OSレベルでコマンド実行を隔離。許可した範囲外の操作をブロック | 未知のリポジトリ・外部コードを安全に扱う |
| ネットワーク隔離 | 外部通信を遮断、または許可ドメインのみに限定 | データ持ち出し(情報漏えい)の防止 |
| MCP許可リスト | 接続できるMCPサーバを組織側で限定。利用者は勝手に追加できない | 承認外ツールへの接続を技術的に禁止 |
| ConfigChangeフック | 設定変更というライフサイクルイベントで発火する決定論的な制御点 | 危険な設定変更の検知・ブロック |
| 監査ログ | 操作履歴を記録(Enterpriseプラン) | コンプライアンス・事後追跡 |
実務上の鍵は、これらを利用者任せにせず組織側で強制することです。Claude Codeの設定は、管理者がMDM経由で配布する管理ポリシー(managed-settings.json)として上書き不可で配れます。これにより、ツール権限・ファイルアクセス範囲・許可MCPサーバを社内ルールどおりに固定でき、利用者が承認外のMCPサーバを追加することを防げます。「使ってよいツールは技術的に決まっている」状態を作るのが理想です。
2. Coworkの盲点:監査ログ非対応という正直な弱点
ここが本レッスンで最も注意すべき点です。Coworkはマーケ・営業・財務・法務などの非エンジニアが、ローカルフォルダやGoogle Workspace・Microsoft 365・Slack等のコネクタを通じて業務成果物を自律生成できる強力なツールです。しかし統制の観点では、その活動が監査ログ・コンプライアンスAPI・データエクスポートに記録されません(2026年6月時点)。
つまり「あるユーザーのCoworkセッションが、いつ・どのファイルにアクセスしたか」を、Anthropic純正の仕組みだけでは監査担当者に証明できません。Coworkを流れるデータにDLPアラートを native に設定することもできません。
これはバグではなく、現時点の仕様上の限界です。だからこそ、企業統制ではCoworkとClaude Codeを別物として扱い、設計を分ける必要があります。現実的な対処は次のとおりです。
- 用途とデータを分離する:機微情報(個人情報・未公開財務・法務文書)を扱う業務はCoworkで自由に解禁せず、対象データ範囲を絞る。
- 外部の可観測性で補う:OS・エンドポイント側のログ(EDR、ファイルアクセス監査、OpenTelemetry等での外部収集)でCoworkの活動を間接的に捕捉する。Anthropic純正に依存しない監視を一段重ねる。
- コネクタのアクセス権で絞る:Cowork自体を細かく監査できない以上、接続先(Drive/SharePoint/Slack等)側の共有範囲・権限を最小化して入口で制御する。
- ポリシーで線引きする:「Coworkで扱ってよいデータ/いけないデータ」を明文化し、研修で周知する。
Coworkを否定する必要はありません。生産性は本物です。ただし「監査できない前提で、扱うデータを設計する」のが正解です。
3. MCPのガバナンス:実アクセスを誰に許すか
MCP(Model Context Protocol)は、ClaudeとGmail・Slack・Workspace・DB・APIを繋ぐ標準規格で、チャットの域を超えたread/writeの実アクセスを可能にします。便利さの裏返しで、ここが最大のリスクポイントです。2026年のMCP 2.4仕様では、企業統制向けの機能が強化されています。
| MCP 2.4(2026)の統制機能 | 内容 |
|---|---|
| 高リスク呼び出しのMFA | 影響の大きいツール実行に多要素認証を要求 |
| MCP Admin Console経由の監査ログ | リアルタイムでツール呼び出しを記録(コンソール集中管理) |
| 同意ワークフロー | アクセス時にユーザー/管理者の承認を挟む |
| 企業レベルの集中管理デプロイ | 許可サーバ・権限を組織横断で一括配布 |
設計の要点は最小権限です。同じMCPサーバがClaude DesktopとClaude Codeで共通利用できるため、許可は「人単位×ツール単位×操作(read/write)単位」で絞り込みます。たとえば「営業部はHubSpotとSlackの読み取りのみ、書き込みは承認ワークフロー経由」といった粒度です。なおMCPの監査ログはAdmin Console側で取れますが、前述のとおりCoworkを通した活動そのものの追跡可否とは別問題である点に注意してください。MCPの全体像はMCP完全ガイドで詳説しています。
4. データ保護:学習利用・保持・ZDRの整理
「入力したデータがモデル学習に使われるのでは」という懸念は、企業導入で必ず出ます。2026年6月時点の事実を正確に整理します。
- 商用プランは学習に使われない:Claude for Work / Enterprise などの商用契約では、入力データはモデル学習に使用されません(オプトイン/アウトの切替対象ではなく、契約で担保)。
- ゼロデータ保持(ZDR):対象はAnthropicのAPI、商用APIキー経由の製品(API経由のClaude Codeを含む)、およびEnterpriseプランのClaude Code。応答後にデータを保持しない契約形態です。
- コンプライアンスAPIと選択的削除:Enterpriseでは、利用データへのプログラム的アクセスや、データ保持の選択的削除によって、継続的監視・自動ポリシー適用を構築できます(ただしCowork活動はこの対象外)。
稟議では「どのプラン/どの経路なら学習されず・保持されないか」を経路ごとに示すのが効果的です。社外秘や個人情報を扱う業務は、ZDR対象の経路に寄せる設計を推奨します。
5. 社内ポリシーと権限設計:最初に決める6項目
機能の話だけでは導入は進みません。運用ルールを文書化してこそ統制になります。最低限、次の6項目を最初に定義しましょう。
- 誰が使えるか:プラン(Pro/Max/Team/Enterprise)と利用部門。Coworkは Pro 以上に含まれます。
- 何を入れてよいか:データ区分(公開/社外秘/個人情報/規制対象)ごとに、利用可のインターフェース(Code/Cowork/MCP)を表で定義。
- どのツールに繋げるか:MCP許可リストとコネクタの承認制。デフォルト拒否。
- 書き込み権限の扱い:自動化のwrite操作は承認ワークフロー必須にするか。
- ログと監査の取り方:Codeは監査ログ、MCPはAdmin Console、Coworkは外部監視——と経路別に明記。
- インシデント時の手順:通信遮断・権限剥奪・調査の責任者と連絡経路。
これらは「Claude Code導入ポリシー」「Cowork利用ガイドライン」として別文書に分けるのが、前述の非対称性を運用に落とし込むコツです。Claude業務自動化コースの関連レッスンで、自動化と統制を両立させる実装手順を扱っています。
よくある質問
Coworkは監査できないなら、企業では使わない方がいいですか?
いいえ、用途を選べば有効です。問題は「監査ログが native に出ない」点だけで、機能自体は安全に使えます。社外秘・個人情報を扱わない資料作成や分析にCoworkを限定し、機微業務はClaude Code(監査ログ対応)やMCPの統制下に寄せる——という棲み分けが現実解です。エンドポイント側の外部監視を重ねれば、間接的な可観測性も確保できます。
MCPで社内DBに繋ぐのは危険ではないですか?
権限設計次第で安全に運用できます。MCP 2.4では高リスク呼び出しのMFA、Admin Console経由の監査ログ、同意ワークフローが使えます。read専用アカウントで接続する、書き込みは承認制にする、許可リストで接続先を固定する——という最小権限を徹底すれば、リスクは管理可能な範囲に収まります。
入力した社外秘データがClaudeの学習に使われませんか?
商用プラン(Claude for Work / Enterprise 等)では学習に使用されません。これは契約で担保され、切替トグルの対象ではありません。さらに保持自体を避けたい場合は、ZDR(ゼロデータ保持)対象の経路——API、商用APIキー経由、EnterpriseプランのClaude Code——を選ぶことで、応答後のデータ保持もなくせます。
無料・Proの個人利用と、企業統制はどう違いますか?
サンドボックス・ネットワーク隔離・MCP許可リストといった機能はProでも一部使えますが、組織横断の強制(managed-settings.jsonの上書き不可配布)、監査ログ、コンプライアンスAPI、選択的削除はEnterpriseプランの領域です。全社統制が要件なら、Enterpriseを前提に設計するのが堅実です。
まとめ:非対称性を「設計」に変える
Claudeの企業統制は、単一の許可ボタンではなくレイヤーの積み重ねです。Claude Codeはサンドボックス・ネットワーク隔離・MCP許可リスト・監査ログで強く統制でき、MCPは2.4のMFA・Admin Console監査・同意ワークフローで実アクセスを絞れます。一方でCoworkは監査ログ非対応という弱点があり、これを正直に認めたうえで「扱うデータと外部監視で補う」設計に落とし込むことが、安全な全社展開の分かれ目になります。機能を知り、ポリシーで線を引き、最小権限で配る——この3点を押さえれば、情シスとして自信を持って稟議を通せます。
次のステップ
統制の全体像が掴めたら、次は実装と社内展開です。以下から進めてください。
- 体系的に学ぶ:Claude業務自動化コース(企業導入)/全コース一覧
- 関連知識を深める:MCP完全ガイド/Cowork実務ガイド/企業導入の進め方
- 自社の状況を整理する:活用度診断で導入フェーズを把握し、学習パスで次に学ぶべき範囲を確認
- 現場で試す:プロンプト集でセキュリティレビューや権限設計のテンプレートを活用
無料のメール購読では「すぐ使えるプロンプト50選PDF」を配布中です。導入の壁を一気に越えたい企業様は、株式会社LUCRISのClaude導入支援(ガバナンス設計・MCP統制・社内ポリシー策定の伴走)もご活用ください。
このコース「Claude Code & Cowork 業務実装マスター【企業のAI内製・自動化】」の全レッスン
- L01 Claude Code と Cowork で何が変わるか — 対話AIから「実行するAI」へ 12分
- L02 MCPの仕組み — Claudeを社内ツール・データに繋ぐ標準規格 12分
- L03 Slack連携で実現する業務自動化【ハンズオン】 18分
- L04 Gmail・Google Workspace連携で事務作業を自動化【ハンズオン】 18分
- L05 現場で効く業務自動化パターン12選|Claudeで請求書・議事録・レポートを自動化 14分
- L06 Skills・サブエージェント・プラグインで社内ナレッジを資産化する 18分
- L06 Skills・サブエージェント・プラグインで社内ナレッジを資産化する 18分
- L07 レッスン7:Agent SDKで自社専用AIシステムを作る — PoCから本番運用・コスト設計・信頼性パターンまで 18分
- L07 レッスン7:Agent SDKで自社専用AIシステムを作る — PoCから本番運用・コスト設計・信頼性パターンまで 18分
- L08 企業導入のセキュリティ・権限・ガバナンス設計【Claude Code統制とCoworkの盲点】 16分
- L08 企業導入のセキュリティ・権限・ガバナンス設計【Claude Code統制とCoworkの盲点】 16分
