%20(%E8%83%8C%E6%99%AF%E3%81%82%E3%82%8A).png?width=130&height=39&name=%E6%9C%80%E7%B5%82Start%20Link%20(500%20x%20150%20px)%20(%E8%83%8C%E6%99%AF%E3%81%82%E3%82%8A).png "StartLink"){kind=logo}
ブログ目次
生成AIを活用した開発ツールの導入は、生産性向上と同時にセキュリティリスクへの対処が不可欠です。Claude Codeはローカルマシン上で動作するAIコーディングエージェントであり、コードの生成・編集・実行まで幅広い操作が可能なため、適切なセキュリティ設計なしに企業導入を進めることはできません。
本記事では、Claude Codeの企業導入に際してCISO・情報システム部門・CDOが検討すべきセキュリティ対策を、Anthropic公式の仕組みに基づいて体系的に解説します。
この記事でわかること
- Claude Codeのセキュリティアーキテクチャと権限モデルの全体像
- managed-settings.jsonを使った全社ポリシーの強制適用方法と設計パターン
- サンドボックス機能によるファイルシステム・ネットワークの隔離設定
- 情報漏洩リスクを最小化するためのデータフロー制御とアクセス制限
- Team/Enterpriseプランのセキュリティ機能比較と選定基準
Claude Codeのセキュリティアーキテクチャ
パーミッションベースの実行モデル
Claude Codeは、デフォルトで読み取り専用モードで動作します。ファイルの変更やシェルコマンドの実行には、ユーザーの明示的な承認が必要です。この「許可を得てから実行する」モデルにより、意図しない操作によるインシデントを防止できます。
パーミッションの制御は3つのルールタイプで構成されます。
| ルールタイプ | 動作 | 優先順位 |
|---|---|---|
| deny | 対象ツールの使用を完全にブロック | 最高(常に優先) |
| ask | 使用時にユーザーへの確認を要求 | 中 |
| allow | 確認なしで自動的に実行を許可 | 最低 |
denyルールが最優先で評価されるため、管理者がブロックした操作は、開発者がローカルでallow設定しても実行できない仕組みです。
4つのパーミッションモード
Claude Codeには4つの実行モードがあり、利用シーンに応じて使い分けます。
- Normalモード — リスクのある操作ごとに承認を求める。日常開発のデフォルト
- Auto-acceptモード — ファイル操作は自動承認、シェルコマンドは確認。信頼できる環境での定型作業向け
- Planモード — 一切の変更を禁止する読み取り専用モード。調査・設計レビュー向け
- Bypassモード — 全操作を自動承認。サンドボックス環境限定
Anthropicは2026年の推奨構成として、Normalモードと明示的なdenyルールの組み合わせをデフォルトとしています。
managed-settings.jsonによる全社ポリシー管理
managed-settingsの仕組み
Enterpriseプランでは、IT部門が managed-settings.json を使って全社統一のセキュリティポリシーを強制適用できます。このファイルで定義されたルールは、個々の開発者のローカル設定(settings.json や settings.local.json)では上書きできません。
設定の優先順位は以下のとおりです。
- managed-settings.json(最高優先 — IT/DevOps管理、変更不可)
- .claude/settings.local.json(個人のローカル上書き)
- .claude/settings.json(プロジェクト共有設定)
- ~/.claude/settings.json(個人のグローバル設定)
設計すべきポリシー項目
managed-settings.jsonで定義すべき主要なポリシーは以下のとおりです。
| ポリシー項目 | 設定内容 | リスク軽減効果 |
|---|---|---|
| ツール制限 | 危険なBashコマンドのdeny | 本番環境への誤操作防止 |
| ファイルアクセス制限 | 機密ディレクトリへのアクセスブロック | 情報漏洩の防止 |
| MCPサーバー制限 | 承認済みMCPサーバーのみ許可 | 外部データソース経由の漏洩防止 |
| ネットワーク制御 | 許可するドメインのホワイトリスト | データの外部送信制御 |
| 実行タイムアウト | 最大実行時間の設定 | リソース枯渇の防止 |
denyルールの具体例
企業環境で設定すべき代表的なdenyルールには以下があります。
Bash(rm -rf *)— 再帰的ファイル削除のブロックBash(git push --force)— 強制プッシュのブロックBash(git reset --hard)— ハードリセットのブロックBash(curl * | bash)— リモートスクリプトの直接実行ブロックBash(ssh *)— SSH接続のブロック(必要に応じて)
サンドボックスによる隔離
ファイルシステムの隔離
Claude Codeのサンドボックス機能は、ファイルシステムとネットワークの2つの境界で隔離を提供します。ファイルシステムの隔離では、Claude Codeがアクセスできるディレクトリを明示的に制限し、プロジェクトディレクトリ外のファイルへのアクセスをブロックします。
Anthropicは2026年以降、すべての環境(開発ワークステーションを含む)でサンドボックスをデフォルト構成として推奨しています。
ネットワークの隔離
ネットワーク隔離により、Claude Codeが通信できるドメインをホワイトリストで制限できます。これにより、コードや機密情報が意図しない外部サービスに送信されるリスクを排除します。
CI/CD環境では、Anthropic APIのエンドポイントとパッケージレジストリ(npm、PyPIなど)のみを許可し、その他の外部通信をブロックする構成が推奨されます。
情報漏洩リスクの軽減策
データフローの可視化と制御
Claude Codeを利用する際のデータフローは、大きく3つに分類されます。
- 入力データ — ソースコード、CLAUDE.md、MCPサーバー経由のデータ
- 処理 — Anthropic APIでのモデル推論(コードはサーバーに送信される)
- 出力データ — 生成コード、シェルコマンドの実行結果
Anthropicはゼロデータリテンション(ZDR)ポリシーを提供しており、Enterprise契約ではAPIに送信されたコードや会話内容がモデルの学習に使用されないことが保証されています。
機密情報の保護策
| 保護対象 | 対策 | 実装方法 |
|---|---|---|
| APIキー・シークレット | .envファイルのアクセスブロック | deny + .gitignore |
| 本番データ | 本番DB接続コマンドのブロック | denyルール |
| 顧客データ | CIでの機密ファイルスキャン | git-secrets / gitleaks |
| ソースコード | ZDRポリシーの適用 | Enterpriseプラン契約 |
| 社内ドキュメント | MCPサーバーのアクセス制限 | managed-settings |
コンプライアンスと監査ログ
Enterpriseプランでは、コンプライアンスチームがClaude Codeの利用データにリアルタイムでアクセスできるプログラマティックAPIが提供されています。これにより、以下の監査要件に対応できます。
- 誰がいつどのツールを使用したか
- どのファイルにアクセス・変更したか
- どのMCPサーバーに接続したか
- APIに送信されたプロンプトの内容
金融機関や医療分野など、厳格なコンプライアンス要件がある業界では、この監査ログ機能がEnterprise選定の決め手になるケースが多く見られます。
Team/Enterpriseプランのセキュリティ機能比較
プラン別セキュリティ機能
| セキュリティ機能 | Pro/Max(個人) | Team | Enterprise |
|---|---|---|---|
| パーミッション制御 | settings.json | settings.json | managed-settings.json |
| SSO/SAML | なし | なし | SAML 2.0 / OIDC |
| SCIM(自動プロビジョニング) | なし | なし | 対応 |
| 利用分析ダッシュボード | なし | 基本 | 詳細 |
| 支出制御 | なし | 組織・ユーザー単位 | 組織・部門・ユーザー単位 |
| 監査ログAPI | なし | なし | リアルタイムAPI |
| ZDR保証 | なし | なし | 契約に含む |
| サンドボックス | 個人設定 | 個人設定 | 組織強制適用 |
選定の判断基準
Teamプランが適するケース:
- 開発チームが5〜20名程度
- 既存のIdP連携(SSO)が不要
- 支出管理は組織全体レベルで十分
- 監査ログの法的要件がない
Enterpriseプランが適するケース:
- 開発チームが20名以上
- SAML/OIDC SSOが必須
- 部門・プロジェクト単位の支出管理が必要
- コンプライアンス監査への対応が必要
- managed-settingsによるポリシー強制が必要
2026年H1にはBYOK(Bring Your Own Key)構成のサポートも予定されており、暗号化キーを自社管理したい企業にとってはEnterprise一択になります。
導入時のセキュリティチェックリスト
フェーズ別の確認事項
導入前(評価フェーズ):
- 自社のセキュリティポリシーとClaude Codeのパーミッションモデルの適合性確認
- Anthropicのデータ取り扱いポリシー(ZDR条件)の確認
- 既存のIdP・SIEM・DLPツールとの統合可否確認
導入時(構築フェーズ):
- managed-settings.json(Enterprise)またはsettings.json(Team)の設計
- denyルールリストの策定と適用
- サンドボックス構成の有効化
- CI/CDパイプラインでの利用ガイドラインの策定
運用開始後:
- 監査ログの定期レビュー
- denyルールの更新(新しいリスクへの対応)
- 利用分析ダッシュボードによるコスト・使用状況の監視
Claude Codeの基本的な使い方と機能概要については、Claude Codeの使い方ガイドを参照してください。また、AIエージェントのセキュリティモデル全般については、AIエージェント開発入門も参考になります。
まとめ
本記事では、Claude Codeの企業導入におけるセキュリティ対策について、アーキテクチャの理解から具体的な設定方法までを解説しました。
ポイントを振り返ります。
- パーミッションベースの実行モデル(deny/ask/allow)を理解し、denyルールで危険な操作を確実にブロックすることがセキュリティの基盤です
- Enterpriseプランのmanaged-settings.jsonにより、IT部門が全社統一のセキュリティポリシーを強制適用でき、開発者側での上書きを技術的に防止できます
- サンドボックス機能でファイルシステムとネットワークを隔離し、ゼロデータリテンション(ZDR)ポリシーで送信データの保護を担保することが重要です
- 導入前の評価フェーズから運用後の監査ログレビューまで、フェーズ別のセキュリティチェックリストに沿って段階的に対策を進めることが成功の鍵です
CRMを活用した業務効率化やAIとの連携に関するご相談は、CRM特化型コンサルティングのStartLinkまでお気軽にお問い合わせください。
よくある質問(FAQ)
Q1. Claude Codeに送信したソースコードはAIの学習に使われますか?
Anthropicの標準ポリシーでは、API経由で送信されたデータはモデル学習に使用されません。Enterpriseプランでは、ZDR(ゼロデータリテンション)が契約に含まれ、データの保持期間や利用目的について法的な保証が提供されます。
Q2. managed-settings.jsonを開発者がローカルで無効化することは可能ですか?
できません。managed-settings.jsonはEnterpriseプランでIT部門が一元管理する設定ファイルであり、個々の開発者のローカル設定(settings.json、settings.local.json)よりも常に優先されます。denyルールを開発者側でallowに変更することは技術的に不可能です。
Q3. Claude Codeは社内ネットワーク外に通信しますか?
Claude Codeは、Anthropic APIへのモデル推論リクエストを送信するため、インターネット接続が必要です。サンドボックスのネットワーク隔離機能を使えば、通信先をAnthropicのAPIエンドポイントと承認済みドメインに限定できます。完全なオフライン環境では利用できません。
Q4. SOC 2やISO 27001の認証は取得されていますか?
Anthropicは SOC 2 Type II の認証を取得しています。ISO 27001については公式サイトで最新の取得状況を確認してください。Enterprise契約では、セキュリティに関する追加の保証やカスタム要件への対応も相談可能です。
Q5. 既存のDLP(データ漏洩防止)ツールとの連携は可能ですか?
Enterpriseプランの監査ログAPIを利用すれば、既存のSIEMやDLPツールにClaude Codeの利用ログを連携できます。APIで取得できるデータには、使用ツール、アクセスファイル、プロンプト内容などが含まれるため、既存のセキュリティ監視ワークフローに組み込むことが可能です。
カテゴリナビゲーション:
- Claude Code実践 — このカテゴリの記事一覧
- AI活用 — AI活用の全カテゴリ
- HubSpot - AI Studio — ブログトップ
株式会社StartLinkは、事業推進に関わる「販売促進」「DXによる業務効率化(ERP/CRM/SFA/MAの導入)」などのご相談を受け付けております。 サービスのプランについてのご相談/お見積もり依頼や、ノウハウのお問い合わせについては、無料のお問い合わせページより、お気軽にご連絡くださいませ。
関連キーワード:
サービス資料を無料DL
著者情報
今枝 拓海 / Takumi Imaeda
株式会社StartLinkの代表取締役。
HubSpotのトップパートナーである株式会社H&Kにて、HubSpotのCRM戦略/設計/構築を軸として、 国内・外資系エンタープライズ企業へコンサルティング支援を実施。
パーソルホールティングス株式会社にて、大規模CRM/SFA戦略の策定・PERSOLグループ横断のグループAI戦略/企画/開発ディレクションの業務を遂行経験あり。
株式会社StartLinkでは、累計100社以上のHubSpotプロジェクト実績を元にHubSpot×AIを軸にした経営基盤DXのコンサルティング事業を展開。