Claude Code企業導入セキュリティガイド｜情報漏洩対策とEnterprise選定

2026年3月10日
最終更新: 2026年4月15日

この記事の結論

Claude Codeの企業導入では、managed-settings.jsonによる操作制限・サンドボックス設定・アクセス許可ルールの3つを先に設計することが必須です。TeamとEnterpriseの選定は、SSO要件・監査ログの要否・組織規模で判断します。

ブログ目次

記事の内容を、そのまま実務に落とし込みたい方向け

HubSpot導入、AI活用、CRM整備、業務効率化までをまとめて支援しています。記事で気になったテーマを、そのまま相談ベースで整理できます。

サービス概要を見る無料で相談する

Claude Codeを企業導入する際に最初に決めるべきは、どこまで操作を許可するか、どのデータに触れさせないか、どのプランで統制するかです。Claude Codeはローカル環境でコード生成・編集・実行まで担えるため、適切なセキュリティ設計なしに導入を進めることはできません。詳しくは「Claude Codeでチーム開発を効率化する方法」で解説しています。

本記事では、Claude Codeの企業導入に際してCISO・情報システム部門・CDOが検討すべきセキュリティ対策を、Anthropic公式の仕組みに基づいて体系的に解説します。過去に報告・修正された脆弱性事例やサンドボックスの内部アーキテクチャにも触れ、技術的な裏付けのある判断材料を提供します。AI活用完全ガイドで、AI活用の全体像を把握できます。

この記事でわかること

Claude Codeの企業導入を検討しているCISO・情報システム部門の担当者に向けた記事です。

Claude Codeのセキュリティアーキテクチャと権限モデルの全体像 — ClaudeCodeは、デフォルトで読み取り専用モードで動作します。
過去の脆弱性事例（CVE-2026-21852、CVE-2025-59536）から学ぶ信頼境界の設計 — ClaudeCodeのサンドボックス機能は、OSレベルの隔離技術を活用した多層防御アーキテクチャで設計されています。
managed-settings.jsonを使った全社ポリシーの強制適用方法と設計パターン — Enterpriseプランでは、IT部門がを使って全社統一のセキュリティポリシーを強制適用できます。
サンドボックスの多層防御アーキテクチャ（macOS Seatbelt / Linux名前空間） — ClaudeCodeの基本的な使い方と機能概要については、ClaudeCodeの使い方ガイドを参照してください。
Claude Codeを活用したセキュリティスキャニングの手法 — ClaudeCodeはコードの文脈を深く理解するため、以下のようなセキュリティリスクの発見に有効です。
Team/Enterpriseプランのセキュリティ機能比較と選定基準 — 2026年H1にはBYOK（BringYourOwnKey）構成のサポートも予定されており。

Claude Codeのセキュリティアーキテクチャ

パーミッションベースの実行モデル

Claude Codeは、デフォルトで読み取り専用モードで動作します。ファイルの変更やシェルコマンドの実行には、ユーザーの明示的な承認が必要です。この「許可を得てから実行する」モデルにより、意図しない操作によるインシデントを防止できます。詳しくは「Claude Code × CI/CD」で解説しています。

パーミッションの制御は3つのルールタイプで構成されます。

ルールタイプ	動作	優先順位
deny	対象ツールの使用を完全にブロック	最高（常に優先）
ask	使用時にユーザーへの確認を要求	中
allow	確認なしで自動的に実行を許可	最低

denyルールが最優先で評価されるため、管理者がブロックした操作は、開発者がローカルでallow設定しても実行できない仕組みです。詳しくは「Claude Codeでプロジェクト管理を効率化する方法」で解説しています。

4つのパーミッションモード

Claude Codeには4つの実行モードがあり、利用シーンに応じて使い分けます。

Normalモード — リスクのある操作ごとに承認を求める。日常開発のデフォルト
Auto-acceptモード（acceptEdits） — ファイル操作は自動承認、シェルコマンドは確認。信頼できる環境での定型作業向け
Planモード — 一切の変更を禁止する読み取り専用モード。調査・設計レビュー向け
Bypassモード — 全操作を自動承認。サンドボックス環境限定

acceptEdits モードでは、ファイルの編集操作（Edit、Write）は確認なしで実行されますが、Bashコマンドの実行時には依然として承認を求めます。コード生成中心の作業では生産性が向上しますが、信頼性の高い環境でのみ使用すべきです。

CI/CD環境で非対話的に実行する場合は、--allowedTools フラグで実行可能なツールを明示的にホワイトリスト指定できます。これにより、パイプライン内での操作範囲を最小限に制限できます。

claude -p "コードをレビューしてください" --allowedTools "Read,Grep,Glob"

Anthropicは2026年の推奨構成として、Normalモードと明示的なdenyルールの組み合わせをデフォルトとしています。

過去の脆弱性事例と信頼検証の仕組み

Claude Codeは積極的な脆弱性報告と迅速な修正を通じて、セキュリティの信頼性を継続的に向上させています。企業導入を検討する上で、過去にどのような脆弱性が発見され、どのように対処されたかを理解しておくことは重要です。

CVE-2026-21852（APIキー漏洩リスク） — 悪意のある .claude/settings.json ファイルをリポジトリに含めることで、開発者のAPIキーが第三者のサーバーに送信される可能性がありました。この脆弱性はAnthropicの「Trust Verification（信頼検証）」機能の導入により修正されています。現在のClaude Codeは、プロジェクト設定ファイルの変更を検出すると、ユーザーに明示的な確認を求めるようになっています。

CVE-2025-59536（リモートコード実行） — 特定の条件下で、悪意のある入力を通じてリモートコード実行が可能になる脆弱性が報告されました。こちらもTrust Verification機能による入力検証の強化で修正済みです。

これらの事例は、Claude Codeがオープンソースコミュニティやセキュリティ研究者からのフィードバックを受けて継続的にセキュリティを改善していることを示しています。企業導入においては、常に最新バージョンを使用し、セキュリティアップデートを迅速に適用する運用体制が重要です。

managed-settings.jsonによる全社ポリシー管理

managed-settingsの仕組み

Enterpriseプランでは、IT部門が managed-settings.json を使って全社統一のセキュリティポリシーを強制適用できます。このファイルで定義されたルールは、個々の開発者のローカル設定（settings.json や settings.local.json）では上書きできません。

設定の優先順位は以下のとおりです。

managed-settings.json（最高優先 — IT/DevOps管理、変更不可）
.claude/settings.local.json（個人のローカル上書き）
.claude/settings.json（プロジェクト共有設定）
~/.claude/settings.json（個人のグローバル設定）

設計すべきポリシー項目

managed-settings.jsonで定義すべき主要なポリシーは以下のとおりです。

ポリシー項目	設定内容	リスク軽減効果
ツール制限	危険なBashコマンドのdeny	本番環境への誤操作防止
ファイルアクセス制限	機密ディレクトリへのアクセスブロック	情報漏洩の防止
MCPサーバー制限	承認済みMCPサーバーのみ許可	外部データソース経由の漏洩防止
ネットワーク制御	許可するドメインのホワイトリスト	データの外部送信制御
実行タイムアウト	最大実行時間の設定	リソース枯渇の防止

denyルールの具体例

企業環境で設定すべき代表的なdenyルールには以下があります。

Bash(rm -rf *) — 再帰的ファイル削除のブロック
Bash(git push --force) — 強制プッシュのブロック
Bash(git reset --hard) — ハードリセットのブロック
Bash(curl * | bash) — リモートスクリプトの直接実行ブロック
Bash(ssh *) — SSH接続のブロック（必要に応じて）
Bash(docker run *) — 未承認コンテナの実行ブロック
Bash(env) / Bash(printenv) — 環境変数の一覧表示ブロック（シークレット漏洩防止）

サンドボックスによる多層防御

サンドボックスの内部アーキテクチャ

Claude Codeのサンドボックス機能は、OSレベルの隔離技術を活用した多層防御アーキテクチャで設計されています。

出典: Anthropic Engineering「Claude Code Sandboxing」

プラットフォームごとの隔離技術は以下のとおりです。

プラットフォーム	隔離技術	特徴
macOS	Seatbelt（sandbox-exec）	Appleの組み込みサンドボックス。ファイルシステムとネットワークをプロファイルで制御
Linux	名前空間（Namespaces）+ seccomp	プロセス・ファイルシステム・ネットワークをカーネルレベルで分離
Docker	コンテナ隔離	CI/CD環境向け。ネットワーク制限とボリュームマウントで制御

macOS環境では、SeatbeltプロファイルによりClaude Codeのプロセスが特定のディレクトリ外のファイルにアクセスすることを防止します。Linux環境では、名前空間によるファイルシステムの仮想化とseccompによるシステムコールのフィルタリングを組み合わせた二重の隔離が適用されます。

ファイルシステムの隔離

ファイルシステム隔離では、Claude Codeがアクセスできるディレクトリを明示的に制限し、プロジェクトディレクトリ外のファイルへのアクセスをブロックします。これにより、たとえば ~/.ssh/ や ~/.aws/ といった認証情報ディレクトリへのアクセスが物理的に不可能になります。

Anthropicは2026年以降、すべての環境（開発ワークステーションを含む）でサンドボックスをデフォルト構成として推奨しています。

ネットワークの隔離

ネットワーク隔離により、Claude Codeが通信できるドメインをホワイトリストで制限できます。これにより、コードや機密情報が意図しない外部サービスに送信されるリスクを排除します。

CI/CD環境では、Anthropic APIのエンドポイントとパッケージレジストリ（npm、PyPIなど）のみを許可し、その他の外部通信をブロックする構成が推奨されます。

Claude Codeを活用したセキュリティスキャニング

ビジネスロジック脆弱性の検出

Claude Codeは、従来の静的解析ツール（ESLint、SonarQube等）では検出が困難なビジネスロジックの脆弱性を検出する用途でも活用できます。Claude Codeはコードの文脈を深く理解するため、以下のようなセキュリティリスクの発見に有効です。なお、Claude Codeを活用した経営データの可視化やコンテンツマーケティングの支援についても、具体的な取り組みをご紹介しています。

権限昇格の脆弱性 — ユーザーロールのチェック漏れにより、一般ユーザーが管理者操作を実行できるケース
IDOR（Insecure Direct Object Reference） — オブジェクトIDの推測によって他ユーザーのデータにアクセスできるケース
レースコンディション — 並行処理における状態の不整合（残高チェックと引き落としの間のタイミング問題等）
不適切なエラーメッセージ — スタックトレースや内部情報がユーザーに露出するケース

CI/CDパイプラインにセキュリティスキャンを組み込む場合は、以下のようなプロンプトで実行します。

claude -p "このPRの変更をセキュリティの観点でレビューしてください。
特に認証・認可の実装、入力値の検証、SQLインジェクション、
XSS、CSRF、レースコンディションのリスクを確認してください" \
  --allowedTools "Read,Grep,Glob"

--allowedTools で読み取り専用のツールに限定することで、スキャン自体がセキュリティリスクにならないよう配慮します。

情報漏洩リスクの軽減策

データフローの可視化と制御

Claude Codeを利用する際のデータフローは、大きく3つに分類されます。

入力データ — ソースコード、CLAUDE.md、MCPサーバー経由のデータ
処理 — Anthropic APIでのモデル推論（コードはサーバーに送信される）
出力データ — 生成コード、シェルコマンドの実行結果

Anthropicはゼロデータリテンション（ZDR）ポリシーを提供しており、Enterprise契約ではAPIに送信されたコードや会話内容がモデルの学習に使用されないことが保証されています。

機密情報の保護策

保護対象	対策	実装方法
APIキー・シークレット	.envファイルのアクセスブロック	deny + .gitignore
本番データ	本番DB接続コマンドのブロック	denyルール
顧客データ	CIでの機密ファイルスキャン	git-secrets / gitleaks
ソースコード	ZDRポリシーの適用	Enterpriseプラン契約
社内ドキュメント	MCPサーバーのアクセス制限	managed-settings
環境変数	env/printenvコマンドのブロック	denyルール
SSH鍵・AWS認証	サンドボックスでディレクトリ隔離	Seatbelt / Namespaces

コンプライアンスと監査ログ

Enterpriseプランでは、コンプライアンスチームがClaude Codeの利用データにリアルタイムでアクセスできるプログラマティックAPIが提供されています。これにより、以下の監査要件に対応できます。

誰がいつどのツールを使用したか
どのファイルにアクセス・変更したか
どのMCPサーバーに接続したか
APIに送信されたプロンプトの内容

金融機関や医療分野など、厳格なコンプライアンス要件がある業界では、この監査ログ機能がEnterprise選定の決め手になるケースが多く見られます。

Team/Enterpriseプランのセキュリティ機能比較

プラン別セキュリティ機能

セキュリティ機能	Pro/Max（個人）	Team	Enterprise
パーミッション制御	settings.json	settings.json	managed-settings.json
SSO/SAML	なし	なし	SAML 2.0 / OIDC
SCIM（自動プロビジョニング）	なし	なし	対応
利用分析ダッシュボード	なし	基本	詳細
支出制御	なし	組織・ユーザー単位	組織・部門・ユーザー単位
監査ログAPI	なし	なし	リアルタイムAPI
ZDR保証	なし	なし	契約に含む
サンドボックス	個人設定	個人設定	組織強制適用

選定の判断基準

Teamプランが適するケース:

開発チームが5〜20名程度
既存のIdP連携（SSO）が不要
支出管理は組織全体レベルで十分
監査ログの法的要件がない

Enterpriseプランが適するケース:

開発チームが20名以上
SAML/OIDC SSOが必須
部門・プロジェクト単位の支出管理が必要
コンプライアンス監査への対応が必要
managed-settingsによるポリシー強制が必要
CVE対応状況の追跡とバージョン管理の一元化が必要

2026年H1にはBYOK（Bring Your Own Key）構成のサポートも予定されており、暗号化キーを自社管理したい企業にとってはEnterprise一択になります。

導入時のセキュリティチェックリスト

フェーズ別の確認事項

導入前（評価フェーズ）:

自社のセキュリティポリシーとClaude Codeのパーミッションモデルの適合性確認
Anthropicのデータ取り扱いポリシー（ZDR条件）の確認
既存のIdP・SIEM・DLPツールとの統合可否確認
過去のCVE情報の確認とTrust Verification機能の動作検証

導入時（構築フェーズ）:

managed-settings.json（Enterprise）またはsettings.json（Team）の設計
denyルールリストの策定と適用
サンドボックス構成の有効化（macOS Seatbelt / Linux名前空間）
CI/CDパイプラインでの --allowedTools フラグによる権限制限
セキュリティスキャンワークフローの構築

運用開始後:

Claude Codeのバージョン更新とセキュリティパッチの迅速な適用
監査ログの定期レビュー
denyルールの更新（新しいリスクへの対応）
利用分析ダッシュボードによるコスト・使用状況の監視

Claude Codeの基本的な使い方と機能概要については、Claude Codeの使い方ガイドを参照してください。また、AIエージェントのセキュリティモデル全般については、AIエージェント開発入門も参考になります。チーム開発での具体的な権限設計については、Claude Codeでチーム開発を効率化する方法も合わせてご覧ください。

まとめ

本記事では、Claude Codeの企業導入におけるセキュリティ対策について、アーキテクチャの理解から具体的な設定方法までを解説しました。このテーマの全記事はClaude Code実践ガイドでご覧いただけます。

ポイントを振り返ります。

パーミッションベースの実行モデル（deny/ask/allow）を理解し、denyルールで危険な操作を確実にブロックすることがセキュリティの基盤です。CI/CD環境では --allowedTools フラグで実行可能なツールを最小限に制限します
過去の脆弱性（CVE-2026-21852、CVE-2025-59536）はTrust Verification機能で修正済みですが、常に最新バージョンを使用し、セキュリティアップデートを迅速に適用する運用体制が重要です
Enterpriseプランのmanaged-settings.jsonにより、IT部門が全社統一のセキュリティポリシーを強制適用でき、開発者側での上書きを技術的に防止できます
サンドボックス機能（macOS Seatbelt / Linux名前空間）でファイルシステムとネットワークを隔離し、ゼロデータリテンション（ZDR）ポリシーで送信データの保護を担保することが重要です
Claude Codeのコード理解力を活かしたセキュリティスキャニングにより、従来の静的解析では検出困難なビジネスロジックの脆弱性を発見できます

CRMを活用した業務効率化やAIとの連携に関するご相談は、CRM特化型コンサルティングのStartLinkまでお気軽にお問い合わせください。

よくある質問（FAQ）

Q1. Claude Codeに送信したソースコードはAIの学習に使われますか？

Anthropicの標準ポリシーでは、API経由で送信されたデータはモデル学習に使用されません。Enterpriseプランでは、ZDR（ゼロデータリテンション）が契約に含まれ、データの保持期間や利用目的について法的な保証が提供されます。

Q2. managed-settings.jsonを開発者がローカルで無効化することは可能ですか？

できません。managed-settings.jsonはEnterpriseプランでIT部門が一元管理する設定ファイルであり、個々の開発者のローカル設定（settings.json、settings.local.json）よりも常に優先されます。denyルールを開発者側でallowに変更することは技術的に不可能です。

Q3. Claude Codeは社内ネットワーク外に通信しますか？

Claude Codeは、Anthropic APIへのモデル推論リクエストを送信するため、インターネット接続が必要です。サンドボックスのネットワーク隔離機能を使えば、通信先をAnthropicのAPIエンドポイントと承認済みドメインに限定できます。完全なオフライン環境では利用できません。

Q4. SOC 2やISO 27001の認証は取得されていますか？

Anthropicは SOC 2 Type II の認証を取得しています。ISO 27001については公式サイトで最新の取得状況を確認してください。Enterprise契約では、セキュリティに関する追加の保証やカスタム要件への対応も相談可能です。

Q5. 既存のDLP（データ漏洩防止）ツールとの連携は可能ですか？

Enterpriseプランの監査ログAPIを利用すれば、既存のSIEMやDLPツールにClaude Codeの利用ログを連携できます。APIで取得できるデータには、使用ツール、アクセスファイル、プロンプト内容などが含まれるため、既存のセキュリティ監視ワークフローに組み込むことが可能です。

Q6. 過去に発見された脆弱性は現在も影響がありますか？

CVE-2026-21852（APIキー漏洩）およびCVE-2025-59536（リモートコード実行）は、いずれもTrust Verification機能の導入により修正済みです。最新バージョンのClaude Codeを使用していれば影響はありません。Anthropicは脆弱性報告プログラムを運用しており、発見された問題は迅速に修正されています。

株式会社StartLinkは、事業推進に関わる「販売促進」「DXによる業務効率化（ERP/CRM/SFA/MAの導入）」などのご相談を受け付けております。サービスのプランについてのご相談/お見積もり依頼や、ノウハウのお問い合わせについては、無料のお問い合わせページより、お気軽にご連絡くださいませ。

著者情報

今枝拓海 / Takumi Imaeda

株式会社StartLink 代表取締役。累計150社以上のHubSpotプロジェクト支援実績を持ち、Claude CodeやHubSpotを軸にしたAI活用支援・経営基盤AXのコンサルティング事業を展開。
HubSpotのトップパートナー企業や大手人材グループにて、エンタープライズCRM戦略策定・AI戦略ディレクションを経験した後、StartLinkを創業。現在はCRM×AIエージェントによる経営管理支援を専門とする。