Claude Code セキュリティ運用の決定版|サンドボックス・権限・組織統制(2026)
チームや全社で Claude Code を安全に回すための運用統制。2026年に追加されたサンドボックス(OS隔離・承認84%削減)とオートモード(分類器承認)を軸に、権限モード・マネージド設定・MCP許可制・監査・段階的な統制設計までまとめます。
目次 クリックで開く
Claude Code を一人で試す段階と、チームや全社で安全に回す段階では、必要なセキュリティ設計が違います。前者は「シークレットを渡さない」設定が中心ですが、後者は権限・隔離・監査を組織のルールとして強制する運用統制が要ります。本記事では、2026 年に追加されたサンドボックスとオートモードを軸に、Claude Code を組織で安全に運用するための設計を、段階を追って整理します。導入前の基本設定は導入前セキュリティチェックリストを前提にしています。
前提:Claude Code の権限モデルを押さえる
運用統制の話に入る前に、土台となる権限モデルを整理します。Claude Code は既定で読み取り中心に動き、ファイル編集・コマンド実行・外部通信といった副作用のある操作には承認を求めます。承認の挙動は権限モードと permissions 設定で変わります。
| 権限モード | 挙動 | 主な用途 |
|---|---|---|
default |
各ツールの初回利用時に承認を求める | 通常の対話的開発 |
plan |
読み取りと計画のみ。編集・実行はしない | 影響範囲の調査・設計フェーズ |
acceptEdits |
ファイル編集を自動承認(実行系は承認) | 編集が多い定型作業 |
bypassPermissions |
すべての承認を省略 | 原則非推奨。隔離環境のみ |
さらに .claude/settings.json の permissions で、allow(自動許可)・deny(禁止)・ask(都度確認)をツール単位・パターン単位で定義します。deny は機密ファイルの読み取り遮断にも使い、ここはシークレット・本番 DB に触れないガードレール設計で詳しく扱っています。運用統制とは、この権限モデルを「個人任せにせず、組織のルールとして固定する」ことに他なりません。
サンドボックス:OS レベルで「触れる範囲」を閉じる
2026 年に追加されたサンドボックスは、承認の考え方を変えるものです。コマンドを一つひとつ承認するのではなく、コマンドが触れてよいファイルとネットワーク経路をあらかじめ定義し、OS がその境界を強制する仕組みです。境界の内側なら自動で実行し、外に出ようとする操作だけを止めます。
仕組み
- OS の隔離機能を利用:macOS では Seatbelt、Linux・WSL2 では bubblewrap という OS 標準のサンドボックス機構を使い、Bash コマンドとその子プロセスに境界を適用します。
- ファイルシステムの隔離:作業ディレクトリ(カレント)配下の読み書きは許可し、その外のファイルの変更はブロックします。
- ネットワークの隔離:インターネットへの接続は、サンドボックス外で動くプロキシサーバーに繋いだ Unix ドメインソケット経由のみに限定します。許可したドメイン以外への外向き通信を遮断できます。
Anthropic は、社内利用でサンドボックスにより承認プロンプトが 84% 削減されたと報告しています。重要なのは、これが「楽になる」だけでなく安全性の向上でもある点です。プロンプトインジェクションや破壊的コマンドが成立しても、被害は境界の内側に封じ込められます。なお、サンドボックスの自動許可(auto-allow)は「境界で封じ込めているから Bash を通す」仕組みで、後述のオートモード(分類器による判定)とは別物です。
運用上は、外部から来る不確かなコンテンツ(Web の取得結果、Issue の本文、サードパーティのコードなど)を扱う作業ほど、サンドボックス内で動かすのが定石です。境界の外に出る必要が生じたときだけ承認が走るので、安全性と生産性を両立できます。
オートモード:分類器に一次承認を任せる
サンドボックスが「触れる範囲」を物理的に閉じるのに対し、オートモードは個々の操作が利用者の意図に沿っているかを分類器に判定させる仕組みです。すべて手動承認(安全だが遅い)と、承認なし(速いが危険)の中間を狙ったものです。
仕組み
Anthropic の解説によれば、トランスクリプト分類器(Sonnet 4.6 で動作)が、各操作を実行前に評価し、人間の承認者の代わりを務めます。判定は 2 段階で、まず高速な単一トークンのフィルタが「止める/通す」を判断し、フラグが立った場合だけ連鎖的思考(chain-of-thought)で詳しく精査します。狙いは、意図に反する危険な操作だけを捕まえ、それ以外は止めずに流すことです。
過信は禁物です。分類器はあくまで人間の承認者の代替であり、万能ではありません。本番データ・不可逆操作・送金や外部送信を伴う処理は、オートモードに委ねきらず、人の承認を残す設計が無難です。オートモードは「生産性を上げる中間解」であって、「統制を外す免罪符」ではありません。
エンタープライズ統制:個人設定を組織のルールで上書きする
チーム・全社で使うなら、安全な設定を個人の善意に依存させてはいけません。Claude Code には、設定を階層で管理し、組織の管理者が配布する設定を最優先で強制する仕組みがあります。
| 統制手段 | 役割 |
|---|---|
| マネージド設定(managed settings) | IT 管理者が配布する最上位の設定。ユーザーが上書きできず、permissions や許可する MCP を全社で固定できる。 |
| 許可制の MCP サーバー | 接続してよい MCP をソース管理された設定で限定。野良 MCP の接続を防ぐ。 |
| OpenTelemetry での可視化 | 利用状況・コマンド・トークン消費を計測し、異常な使い方を検知。 |
| ConfigChange hooks | 設定変更をフックで捕捉し、誰が何を変えたかを監査ログに残す。 |
| dev container / VM | 隔離された開発環境で実行し、ホストや本番への影響を遮断。 |
| エンタープライズプロキシ | 外向き通信を企業プロキシ経由に限定し、許可ドメインだけに絞る。 |
許可する MCP の絞り込みは特に重要です。MCP サーバー自体のリスク(レジストリ汚染・公式 SDK の STDIO 実行モデル由来の RCE など)と対策はClaude Code × MCP のセキュリティにまとめています。MCP の接続手順や自社システムの MCP 化はMCP 接続実装ガイドを参照してください。SSO・SCIM による ID 統制(退職時の即時失効など)とあわせて、「誰が・どの権限で・どこに繋ぐか」を組織側で握るのが、エンタープライズ運用の肝です。
運用設計:統制レベルを段階的に上げる
最初から全部を固める必要はありません。利用の広がりに合わせて、統制レベルを段階的に引き上げるのが現実的です。
- 個人・PoC:サンドボックスを既定で有効化し、
permissions.denyで機密ファイルを遮断。まずは安全な土台を作る。 - チーム:共有の
.claude/settings.jsonを Git で管理し、denyルールと許可する MCP をチーム標準として固定。dev container で実行環境を統一する。 - 全社:マネージド設定で標準を強制し、OpenTelemetry と ConfigChange hooks で監査を整備。SSO・SCIM で ID を統制し、本番に触れる処理は CI/CD のゲートと人の承認を挟む。
会計・顧客情報など機微なデータを扱う処理は、この段階設計とは別に「データの行き先」を独立して設計します。学習利用の有無(ZDR)や更新トークンの持たせ方は、ZDR と MCP の境界設計、freee 公式 MCP を繋ぐ前の権限の絞り方を参照してください。
まとめ:統制は「個人の設定」から「組織のルール」へ
Claude Code の運用セキュリティは、サンドボックスで触れる範囲を閉じ、オートモードで承認を賢く間引き、マネージド設定と監査で組織のルールとして固定する――この三層で考えると整理しやすくなります。新機能は生産性を大きく上げますが、それは「統制を外す」ためではなく「安全なまま速くする」ためのものです。個人の善意に頼る運用から、組織の仕組みで担保する運用へ。広げる前に、この移行を設計しておくことが、後からの手戻りを防ぎます。
Claude Code の組織導入・セキュリティ統制を設計しませんか?
権限設計・サンドボックス・マネージド設定・MCP の許可制・監査まで、Aurant が中立の立場で組織展開の設計を支援します。すでに進めている構成のセカンドオピニオンや、情シス・セキュリティ部門との合意形成もお手伝いします。
執筆・監修
Aurant Technologies アーキテクト・コンサルタント
業務システムの段階移行・内製化支援と、AI エージェントのセキュアな導入設計が専門。本記事は公開された一次情報と実プロジェクトの観測値をもとに執筆しています。
AI・業務自動化
ChatGPT・Claude APIを活用したAIエージェント開発、n8n・Difyによるワークフロー自動化で繰り返し業務を削減します。まずはどの業務をAI化できるか診断します。