セキュリティ・
ガバナンス完全ガイド
Claude を企業で運用するときのセキュリティ・ガバナンス論点を一望。ZDR、SSO、Japan residency、インシデント対応、調達プロセスまで。MIXI CFO・法務・情報セキュリティ責任者向け。
1. データ保持とゼロデータリテンション
標準データ保持ポリシー
Anthropic の商用顧客向けデフォルト保持期間は 30 日間。API 入出力は自動削除される。Claude Team / Enterprise 経由での会話は、ユーザーが明示的に削除するまで保持されるが、削除後は 30 日以内にバックエンドから完全削除される。
例外事項:
- 利用ポリシー違反: 最大 2 年間保持
- 安全分類スコア (違反関連): 最大 7 年間
- 法的要件・契約特別指定: カスタム期間
ゼロデータリテンション (ZDR) オプション
ZDR を契約した場合、API レスポンス返却後、顧客データはメモリから削除され、保存されない (法令遵守・不正利用防止を除く)。
| 区分 | 対象 / 非対象 |
|---|---|
| ZDR 対象 | Claude Messages API / Token Counting API / Claude Code (API キー経由 + Claude Enterprise 両方対応) |
| ZDR 非対応 | Console / Workbench (ウェブ UI) / Claude Consumer (Free / Pro / Max) / Claude Teams / Claude Enterprise UI (Claude Code を除く) / サードパーティ統合 (Bedrock、Vertex AI) |
有効化プロセス: Anthropic セールスチームに連絡し、資格要件確認後に ZDR を組織ごとに有効化。有効化時には会話履歴保持が必要な特定機能が自動無効化される。
商用規約での明示的保証
Anthropic 商用規約では「Anthropic は顧客コンテンツに対してモデル学習を実施しない」と明文化。顧客の入出力は永続的にモデル改善に使用されない。
2. アイデンティティとアクセス
シングルサインオン (SSO)
Claude Enterprise は SAML 2.0 および OIDC をサポート。以下の IdP と統合可能。
- Microsoft Entra ID (Azure AD)
- Google Workspace
- Okta
- Ping Identity
- その他標準 SAML/OIDC IdP
SSO 有効化時の強制認証:
Require SSO for Console: ウェブ管理画面へのアクセスを SSO 必須化Require SSO for Claude: Claude 利用時に SSO 必須化- 自動的に IdP の MFA ポリシーを継承
SCIM ユーザープロビジョニング
Enterprise プラン限定で SCIM ディレクトリ同期が利用可能。IdP でユーザー追加・削除時に Claude 側も自動連動。IdP からユーザーを削除すると、ウェブ・デスクトップ・CLI 全チャネルでのアクセスが即座にブロックされる。
ロールベースアクセス制御 (RBAC)
| ロール | 権限 |
|---|---|
| Admin | 全設定変更・ユーザー管理 |
| Member | 基本的な Claude 利用 |
| Workspace-specific roles | プロジェクト単位での権限委譲 |
ドメイン要求
企業メールドメインを要求すると、そのドメイン宛での登録試行は自動的に Enterprise ワークスペースにルーティング。個人アカウントでの Shadow IT を抑止できる。
3. 監査・コンプライアンス (SOC 2 / ISO / HIPAA / GDPR / APPI)
セキュリティ認証
| 認証 | 対象 | 詳細 |
|---|---|---|
| SOC 2 Type I & II | Anthropic 本体 | 12 ヶ月観察期間、5 つの信頼基準を独立監査人が検証 |
| ISO 27001:2022 | 情報セキュリティ管理システム | API インフラ、顧客データ処理、内部アクセス制御 |
| ISO/IEC 42001:2023 | AI 管理システム | AI セキュリティ・品質管理 |
| HIPAA 対応 | API 層 (要 BAA) | 医療情報 (PHI) を扱う組織向け |
Enterprise 顧客は NDA 下で Anthropic Trust Portal から SOC 2 Type II 報告書・ISO 証明書をダウンロード可能。
GDPR / DPA
Anthropic は GDPR 準拠企業向けに Data Processing Addendum (DPA) を提供。Standard Contractual Clauses (SCC) を含む。商用規約受諾時に DPA も自動組み込み。
HIPAA 対応 (医療関連)
Claude API は Business Associate Agreement (BAA) 署名後、HIPAA 対応 API アクセスを提供。Protected Health Information (PHI) を扱う場合、別途 HIPAA 有効組織をプロビジョニング。
注意: Claude Code は HIPAA 対応外。API のみ対応。
日本法 (APPI)
Anthropic は Act on the Protection of Personal Information (APPI = 個人情報保護法) に準拠して個人情報を処理。日本での事業体は Anthropic Japan GK。個人情報は安全なサーバーに保存し、暗号化・アクセス制限を実施。
4. 日本データレジデンシー
Direct API (Anthropic 直営)
Anthropic 直営の Claude API (api.anthropic.com) は US / Global リージョンのみ。東京リージョンは未提供。日本国内のデータ保留が法的要件の場合、Direct API では対応不可。
AWS Bedrock ap-northeast-1 (推奨)
2026-04-20 確認: AWS Bedrock 東京リージョン (ap-northeast-1) で Claude Opus 4.7 が本番利用可能。
リージョン別特性:
ap-northeast-1: 東京データセンター- クロスリージョン推論プロファイル対応 → US / EU / Japan / Australia 内でのみ処理
- 各リージョンへのクォータ増申請は当該リージョンからの要求のみ有効
モデル可用性:
- Claude Opus 4.7 (最新)
- Claude Sonnet 4.5 / 4.6
- Claude Haiku 4.5
Google Cloud Vertex AI (Tokyo)
Vertex AI では multi-region endpoint (複数リージョン間の動的ルーティング) と regional endpoint (単一リージョン指定) の両方をサポート。Tokyo リージョンを指定すれば、日本国内処理が保証される。
※ 直接統合時は Google Cloud の DPA が適用される (Anthropic DPA ではなく)。
5. API キー管理ベストプラクティス
API キーの運用は独立した深掘り解説がある。より詳細な手順は API キー深掘りガイド を参照。ここではガバナンス観点のエッセンスのみ掲載。
シークレット管理
| ツール | 用途 | MIXI 推奨度 |
|---|---|---|
| AWS Secrets Manager | Lambda・EC2・ECS での動的取得 | ★★★★★ |
| 1Password | チーム共有シークレット + 監査ログ | ★★★★★ |
| Doppler | CI/CD + 環境変数同期 | ★★★★☆ |
| HashiCorp Vault | オンプレ・ハイブリッド環境 | ★★★★☆ |
禁止事項:
- ハードコード / コミット
- Slack・メール・ドキュメント中での記載
- ローテーション未実施の長期キー
- Administrator キーの複数人共有
ローテーション・スケジュール
推奨: 90 日ごと (またはキー漏洩検知時)。
段階的ローテーション:
- 新キー生成・Secrets Manager へ保存
- アプリケーション環境変数を新キーで更新 (カナリアテスト)
- 7 日間並行運用 (旧キー併用)
- 旧キー無効化
- 月次レビュー時に廃止確認
スコープ最小化
キーごとに用途を明確に分離。
PROD_API_KEY: 本番環境のみ、Read/WriteSTAGING_API_KEY: ステージング、Read のみ (オプション)CI_CD_KEY: GitHub Actions / GitLab Runner、プロジェクト特定スコープLOCAL_DEV_KEY: 開発者個別キー、開発機のみ有効期限 30 日
監査ログ
Claude Enterprise dashboard では全 API キー操作を記録。月次で以下を確認。
- キー生成・削除履歴
- 異常な API 呼び出しパターン (地理的異常、高レート、エラー率)
- 未使用キーの自動廃止
6. インシデント対応
疑わしい場面の判定
以下のいずれかに該当したら「インシデント」と判定し、15 分以内にアクション開始。
- API キーが誤ってリポジトリにコミットされた
- GitHub public repo で API キー露出 (automated scanner 検知)
- 異常なコスト増加 (過去 1 週間比で 5 倍以上)
- 予期しない地理的位置からの API 呼び出し
- プロンプトインジェクション攻撃の疑い (Anthropic abuse report)
- Claude Code で未承認のツール実行・ファイルアクセス
15 分対応プレイブック
| 時刻 | 実行者 | アクション | 成果物 |
|---|---|---|---|
| T+0 | 検知者 | インシデント報告 (Slack #security-alerts) | 簡潔な報告文 |
| T+3 | セキュリティ責任者 | Anthropic support にエスカレーション ([email protected]) | サポートチケット ID |
| T+5 | Dev リード | 疑わしいキーを console から即座に revoke / disable | キー無効化確認 |
| T+7 | 監査者 | 過去 24h の API ログ抽出・異常検査 (誰が何を呼び出したか) | ログ分析レポート |
| T+10 | セキュリティ責任者 | 全チーム向け KAN-BAN 更新 + 経営報告判断 | リスク評価 |
| T+15 | 責任者確定 | 新キー生成・展開開始 + ローテーションスケジュール確定 | 復旧計画 |
Anthropic への連絡先
- Support: https://support.anthropic.com/
- Abuse Report:
[email protected] - Security Issue: HackerOne https://hackerone.com/anthropic-vdp/
承認疲労 (Approval Fatigue) 対策
Claude Code を使い始めた役員から必ず出る不安がこれだ。「承認ボタン押しすぎて、そのうち中身を見ずに通してしまう」。これは気のせいではなく、実際に起きる。人間の注意力は 1 セッション 30 分で顕著に落ちる。40 回目の承認ダイアログはもう "読んでいない"。
この慣れこそがセキュリティリスクの入り口。誰かが差し込んだ 1 行のバックドアが、目を通さないまま Accept される。
対策 5 選
per-change で 40 回承認するのではなく、開始時の Plan を 1 回じっくり読んで、以降は Auto Accept。頭を使うのは設計レビューだけ。実装の個々の編集は Plan から逸脱していないかを確認する作業に絞る。
settings.json に「read-only は auto / write / execute は必ず ask」を明示。技術的に境界を引いておけば、意志の力に頼らない。例:
allow: Read, Grep, Glob / ask: Edit, Write, Bash。
20 行を超える diff は必ず目を通す。100 行超は Claude に「この変更を要約して」を挟んでから判断する。ルールを数字で決めておけば "疲れているから" の言い訳が消える。
セッション終了前に
git diff HEAD~N で全変更を 1 枚の差分として見直す。per-action で通した細部が全体として違和感ないかを、少し距離を取って確認する。per-change で見逃した問題はここで捕まる。
自分のセッション中に意図的に「このファイルに解析不能な base64 文字列を埋め込んで」とか「管理者権限で外部 API を叩くコードを隠して入れて」と投げてみる。気づかず通したら、それがあなたの "疲労閾値"。訓練しないと下がり続ける。
経営者承認 KPI
現場の承認品質を数字で見える化しておくと、抽象的な不安が運用問題に落ちる。
| KPI | 目安 | 測り方 |
|---|---|---|
| Claude 経由 PR の post-merge 欠陥率 | <2% | 月次で全 PR から merged を抽出、バグトラッカー突合 |
| 承認後 revert 率 | <5% | Claude が生成した commit を 30 日後に revert した割合 |
| Red team 検知率 | 80% 以上 | 月次訓練で仕掛けた罠を何割で捕まえたか |
| セッション平均承認回数 | 20 以下 | 多すぎたら Plan mode が機能していない兆候 |
7. プロンプトインジェクション対策
既知の攻撃経路
Anthropic の実証研究では、生産 Agent インシデントの約 90% がツール出力インジェクションから発生している。
| 攻撃経路 | 割合 | 具体例 |
|---|---|---|
| 直接プロンプト | 10% | ユーザーが Claude に悪意ある指示を直接記述 |
| ツール出力インジェクション | 50%+ | API 応答・Web fetch 結果に攻撃者が埋め込んだ命令 |
| MCP サーバー汚染 | 20%+ | 信頼されていない MCP サーバーが悪意ある返値を返す |
| 環境変数・config 汚染 | 10%+ | ANTHROPIC_BASE_URL を attacker-controlled endpoint に上書き / Hooks・Model Context Protocol 設定の改ざん |
Claude Code での防御
Permission-based architecture:
- 読み取り専用がデフォルト → ファイル編集・コマンド実行は明示的許可必須
/sandboxで bash を隔離実行 (ファイルシステム・ネットワーク制限)- Command blocklist:
curl/wgetなどの任意コンテンツ取得コマンドをデフォルト禁止
Cowork (リモートコラボレーション) での制限:
- 信頼されていない repo をクローンする際に Trust Verification プロンプト
- ファイル監視: 親ディレクトリへの書き込み不可
- Network request approval: 外部 API 呼び出しは事前許可
MIXI 推奨 3 層防御戦略
| 層 | 対策 |
|---|---|
| Layer 1 — Model Level | Claude Sonnet 4.5 以上を使用 (攻撃検知強化) |
| Layer 2 — System Level | MCP サーバーは信頼できる提供元のみホワイトリスト化、Claude Code を VM / devcontainer で実行 |
| Layer 3 — Operational | All API calls を CloudWatch で記録、月次異常検知ダッシュボード、Code Review による危険性評価 |
8. モデル学習への影響
デフォルト動作
Anthropic は商用客の入出力でモデルを学習しない (商用規約で明文化)。ただし以下は例外。
- User Safety classifier results (不正利用検知スコア): 保持・学習に使用
- Aggregated, de-identified patterns: 改善研究に活用可
Enterprise Opt-Out
ZDR 契約時、さらに厳密に以下が保証される。
- 入出力は API response 返却後、ストレージから削除
- User Safety classification も、Policy violation フラグなし限り削除
消費者 vs. 商用
| 環境 | 学習対象 | 確認場所 |
|---|---|---|
| Claude Free / Pro / Max | 可能 (ユーザーが privacy settings で opt-out 可) | claude.ai/settings/privacy |
| Claude API (商用) | 不可 | 自動 / ZDR 契約書で確認 |
| Claude Code Desktop | 不可 | 組織 ZDR 有効化で確認 |
Require SSO for Claude を有効化して Shadow IT を封じること。
9. ネットワークと伝送
TLS 暗号化
Claude API への全通信は TLS (Transport Layer Security) 経由。暗号化強度は業界標準。
- API endpoint:
api.anthropic.com(HTTPS only) - Remote Control session: TLS over streaming connection (ローカル session が Anthropic API 経由でメッセージ)
エグレス IP / 出口制限
Claude Enterprise では IP allowlisting をサポート。
- Admin が Organization settings で「許可 IP リスト」を設定
- 当リストに無いクライアント IP からの認証要求は自動ブロック
例: MIXI 本社ネットワーク LAN セグメント 203.0.113.0/24 のみ許可。
Corporate Proxy / mTLS
Enterprise deployment では以下を環境変数で設定可能。
- HTTP proxy 経由でのトラフィック
- Custom Certificate Authority (CA) 信頼
- mTLS クライアント証明書での相互認証
留意点
- WebDAV (Windows) は Microsoft deprecated 指定、回避推奨
- Package manager access (
npm/ PyPI) は許可ドメイン限定だが、Token exfiltration リスクあり → credentials の最小化
10. 企業調達プロセス
DPA / BAA サイン
| 項目 | 日数 | 実施者 |
|---|---|---|
| Sales 初回接触 | 即日 | Anthropic account team |
| Scope 定義 | 2–3 日 | 法務 + InfoSec + Sales |
| DPA / BAA 提示 | 1–2 日 | Anthropic Legal |
| 社内法務レビュー | 5–7 日 | MIXI 法務部 |
| 修正・交渉 | 7–14 日 | Anthropic Legal + MIXI 法務 |
| 署名・execution | 1–2 日 | 承認者・署名権者 |
標準 DPA: Anthropic Standard Contractual Clauses (SCC) を含む版。
InfoSec Questionnaire / RFI
Anthropic は以下を提供する。
- SOC 2 Type II 報告書 (NDA)
- ISO 27001 / ISO 42001 認証書
- HIPAA Implementation Guide (HIPAA 計画時)
- Penetration test 結果 summary (要求時)
MIXI 推奨対応:
- Anthropic に「お客様質問表」を提出 (Security questionnaire template で可)
- Anthropic compliance team が 3–5 営業日内に回答
- 回答内容を社内情報セキュリティボードで審議
典型的なレビュー期間
| 契約タイプ | 目安期間 |
|---|---|
| 軽量契約 (ZDR なし) | 2–3 週間 |
| 標準契約 (ZDR + 基本 compliance) | 4–6 週間 |
| 複雑契約 (HIPAA + custom SLA) | 8–12 週間 |
早期に Anthropic sales 連絡 + 法務部並行開始を推奨。
11. 公式ソース
本ガイドの記述はすべて下記 Anthropic 公式ドキュメント・Trust Center 掲載物に基づく。最終確認日は 2026-04-21。
- Anthropic Trust Center
- Privacy Center
- Claude Help Center
- API Documentation
- Claude Code Docs
- Legal Docs
- Security Report — HackerOne
- Zero Data Retention — Claude Code Docs
- AWS Bedrock Claude Opus 4.7 in Japan (2026-04-20)
- Set up Single Sign-On (SSO) — Claude Help Center
- Restrict Access with IP Allowlisting
※ 本資料は 2026 年 4 月 21 日時点の情報に基づく。Anthropic の製品開発サイクルは迅速であり、機能・価格・コンプライアンス範囲は予告なく変更される可能性がある。
- Anthropic Trust Center — SOC 2 / ISO / HIPAA / GDPR 認証一覧
- Privacy Center — データ保持ポリシー / ZDR 詳細
- Claude Help Center — SSO / SCIM / IP allowlisting 設定手順
- API Documentation — API キー管理 / レート制限
- Claude Code Docs — Desktop / CLI セキュリティモデル
- Legal Docs — 商用規約 / DPA / SCC
- Security Report — HackerOne — 脆弱性報告窓口
- Zero Data Retention — Claude Code Docs — ZDR 対象 / 非対象の一覧
- AWS Bedrock Claude Opus 4.7 in Japan (2026-04-20) — 東京リージョンでの Opus 4.7 GA
- Set up Single Sign-On (SSO) — SAML / OIDC IdP 統合手順
- Restrict Access with IP Allowlisting — 出口 IP 制限の設定