生成AIを活用した開発ツールの導入は、生産性向上と同時にセキュリティリスクへの対処が不可欠です。Claude Codeはローカルマシン上で動作するAIコーディングエージェントであり、コードの生成・編集・実行まで幅広い操作が可能なため、適切なセキュリティ設計なしに企業導入を進めることはできません。
本記事では、Claude Codeの企業導入に際してCISO・情報システム部門・CDOが検討すべきセキュリティ対策を、Anthropic公式の仕組みに基づいて体系的に解説します。
Claude Codeは、デフォルトで読み取り専用モードで動作します。ファイルの変更やシェルコマンドの実行には、ユーザーの明示的な承認が必要です。この「許可を得てから実行する」モデルにより、意図しない操作によるインシデントを防止できます。
パーミッションの制御は3つのルールタイプで構成されます。
| ルールタイプ | 動作 | 優先順位 |
|---|---|---|
| deny | 対象ツールの使用を完全にブロック | 最高(常に優先) |
| ask | 使用時にユーザーへの確認を要求 | 中 |
| allow | 確認なしで自動的に実行を許可 | 最低 |
denyルールが最優先で評価されるため、管理者がブロックした操作は、開発者がローカルでallow設定しても実行できない仕組みです。
Claude Codeには4つの実行モードがあり、利用シーンに応じて使い分けます。
Anthropicは2026年の推奨構成として、Normalモードと明示的なdenyルールの組み合わせをデフォルトとしています。
Enterpriseプランでは、IT部門が managed-settings.json を使って全社統一のセキュリティポリシーを強制適用できます。このファイルで定義されたルールは、個々の開発者のローカル設定(settings.json や settings.local.json)では上書きできません。
設定の優先順位は以下のとおりです。
managed-settings.jsonで定義すべき主要なポリシーは以下のとおりです。
| ポリシー項目 | 設定内容 | リスク軽減効果 |
|---|---|---|
| ツール制限 | 危険なBashコマンドのdeny | 本番環境への誤操作防止 |
| ファイルアクセス制限 | 機密ディレクトリへのアクセスブロック | 情報漏洩の防止 |
| MCPサーバー制限 | 承認済みMCPサーバーのみ許可 | 外部データソース経由の漏洩防止 |
| ネットワーク制御 | 許可するドメインのホワイトリスト | データの外部送信制御 |
| 実行タイムアウト | 最大実行時間の設定 | リソース枯渇の防止 |
企業環境で設定すべき代表的なdenyルールには以下があります。
Bash(rm -rf *) — 再帰的ファイル削除のブロックBash(git push --force) — 強制プッシュのブロックBash(git reset --hard) — ハードリセットのブロックBash(curl * | bash) — リモートスクリプトの直接実行ブロックBash(ssh *) — SSH接続のブロック(必要に応じて)Claude Codeのサンドボックス機能は、ファイルシステムとネットワークの2つの境界で隔離を提供します。ファイルシステムの隔離では、Claude Codeがアクセスできるディレクトリを明示的に制限し、プロジェクトディレクトリ外のファイルへのアクセスをブロックします。
Anthropicは2026年以降、すべての環境(開発ワークステーションを含む)でサンドボックスをデフォルト構成として推奨しています。
ネットワーク隔離により、Claude Codeが通信できるドメインをホワイトリストで制限できます。これにより、コードや機密情報が意図しない外部サービスに送信されるリスクを排除します。
CI/CD環境では、Anthropic APIのエンドポイントとパッケージレジストリ(npm、PyPIなど)のみを許可し、その他の外部通信をブロックする構成が推奨されます。
Claude Codeを利用する際のデータフローは、大きく3つに分類されます。
Anthropicはゼロデータリテンション(ZDR)ポリシーを提供しており、Enterprise契約ではAPIに送信されたコードや会話内容がモデルの学習に使用されないことが保証されています。
| 保護対象 | 対策 | 実装方法 |
|---|---|---|
| APIキー・シークレット | .envファイルのアクセスブロック | deny + .gitignore |
| 本番データ | 本番DB接続コマンドのブロック | denyルール |
| 顧客データ | CIでの機密ファイルスキャン | git-secrets / gitleaks |
| ソースコード | ZDRポリシーの適用 | Enterpriseプラン契約 |
| 社内ドキュメント | MCPサーバーのアクセス制限 | managed-settings |
Enterpriseプランでは、コンプライアンスチームがClaude Codeの利用データにリアルタイムでアクセスできるプログラマティックAPIが提供されています。これにより、以下の監査要件に対応できます。
金融機関や医療分野など、厳格なコンプライアンス要件がある業界では、この監査ログ機能がEnterprise選定の決め手になるケースが多く見られます。
| セキュリティ機能 | Pro/Max(個人) | Team | Enterprise |
|---|---|---|---|
| パーミッション制御 | settings.json | settings.json | managed-settings.json |
| SSO/SAML | なし | なし | SAML 2.0 / OIDC |
| SCIM(自動プロビジョニング) | なし | なし | 対応 |
| 利用分析ダッシュボード | なし | 基本 | 詳細 |
| 支出制御 | なし | 組織・ユーザー単位 | 組織・部門・ユーザー単位 |
| 監査ログAPI | なし | なし | リアルタイムAPI |
| ZDR保証 | なし | なし | 契約に含む |
| サンドボックス | 個人設定 | 個人設定 | 組織強制適用 |
2026年H1にはBYOK(Bring Your Own Key)構成のサポートも予定されており、暗号化キーを自社管理したい企業にとってはEnterprise一択になります。
Claude Codeの基本的な使い方と機能概要については、Claude Codeの使い方ガイドを参照してください。また、AIエージェントのセキュリティモデル全般については、AIエージェント開発入門も参考になります。
本記事では、Claude Codeの企業導入におけるセキュリティ対策について、アーキテクチャの理解から具体的な設定方法までを解説しました。
ポイントを振り返ります。
CRMを活用した業務効率化やAIとの連携に関するご相談は、CRM特化型コンサルティングのStartLinkまでお気軽にお問い合わせください。
Anthropicの標準ポリシーでは、API経由で送信されたデータはモデル学習に使用されません。Enterpriseプランでは、ZDR(ゼロデータリテンション)が契約に含まれ、データの保持期間や利用目的について法的な保証が提供されます。
できません。managed-settings.jsonはEnterpriseプランでIT部門が一元管理する設定ファイルであり、個々の開発者のローカル設定(settings.json、settings.local.json)よりも常に優先されます。denyルールを開発者側でallowに変更することは技術的に不可能です。
Claude Codeは、Anthropic APIへのモデル推論リクエストを送信するため、インターネット接続が必要です。サンドボックスのネットワーク隔離機能を使えば、通信先をAnthropicのAPIエンドポイントと承認済みドメインに限定できます。完全なオフライン環境では利用できません。
Anthropicは SOC 2 Type II の認証を取得しています。ISO 27001については公式サイトで最新の取得状況を確認してください。Enterprise契約では、セキュリティに関する追加の保証やカスタム要件への対応も相談可能です。
Enterpriseプランの監査ログAPIを利用すれば、既存のSIEMやDLPツールにClaude Codeの利用ログを連携できます。APIで取得できるデータには、使用ツール、アクセスファイル、プロンプト内容などが含まれるため、既存のセキュリティ監視ワークフローに組み込むことが可能です。