セキュリティ境界を越えずに、AIエージェントが社内の知識を使う

AnthropicのMCP tunnelsが解いたジレンマ

規制産業が抱えてきたジレンマ

エンタープライズAI導入において、金融・医療・公共セクターが長らく直面してきた構造的な問いがある。

AIエージェントを本番環境で機能させるには、社内データや知識基盤へのアクセスが必要だ。しかしそのアクセスは、機密データや内部システムをクラウドプロバイダーに露出させるリスクを伴う。セキュリティを優先すればエージェントの能力が制限され、能力を優先すればセキュリティが犠牲になる。

Anthropicは2026年5月、ロンドンで開催した開発者カンファレンス「Code with Claude」でClaude Managed Agentsに2つの新機能を追加した。自社管理サンドボックスと、MCP tunnelsだ。

MCP tunnelsは、エージェントが社内のプライベートネットワーク内にあるMCPサーバーにアクセスできるようにする。軽量なゲートウェイが単一のアウトバウンド接続を確立し、エンドツーエンドで暗号化される。インバウンドのファイアウォールルールも、パブリックエンドポイントも不要だ。内部データベース・プライベートAPI・ナレッジベース・チケットシステムをエージェントのツールとして使えるようにしながら、それらを社外に出さない。

「知識はセキュリティ境界の内側に置いたまま、エージェントに使わせる」

この設計の本質は明快だ。エージェントのオーケストレーション・コンテキスト管理・エラーリカバリはAnthropicのインフラ上に残り、実際のツール実行は顧客管理の環境内で行われる。

REWIREフレームワークが「I＝Intelligence」次元で問う組織知識基盤の設計と、直接接続している。組織固有のコンテキストをAIが解釈できる形で活用するための「接続層」が、セキュリティを損なわずに実現できるようになった。

多くの組織が「社内の知識はある、しかしAIに届かない」という状態に直面してきた。その原因のひとつが、セキュリティ要件による接続の壁だった。MCP tunnelsはその壁を、ゼロトラストアーキテクチャで解消する設計だ。

エンタープライズ実装への3つの示唆

1. セキュリティと能力のトレードオフが解消されつつある。規制産業でのエージェント本番展開を妨げていた主要な障壁のひとつが取り除かれた。設計によって両立できることが示された。

2. 内部知識基盤の整備が急務になった。MCP tunnelsが機能するためには、内部MCPサーバー、つまり組織知識へのアクセス層が整備されている必要がある。インフラの設計が先にある。

3. エンタープライズAIのセキュリティ設計の標準が変わりつつある。他のLLMプロバイダー・エージェント機能を追加するSaaS・AIネイティブ企業は全て、このゼロトラストセキュリティモデルを基準として評価されるようになると感じている。エンタープライズに売り込む全てのAI企業が、この設計基準に対応することを求められる時代が来るのではないだろうか。

AIxができること

AIxでは、REWIREフレームワークをベースに、エンタープライズのAI変革を支援しております。

① AI人材のマッチング・チーム組成 セキュリティ設計・MCP実装・データ基盤構築に精通した専門人材を、要件定義からアサインまで一貫してサポートしております。

② 経営層・AI推進担当者向けアドバイザリー REWIREの6次元のどこが止まっているかを診断し、優先順位と打ち手を整理。ご関心のある方はお気軽にお問い合わせください。

参考情報

• Anthropic公式: New in Claude Managed Agents — https://claude.com/blog/claude-managed-agents-updates

• InfoQ: Anthropic Introduces MCP Tunnels — https://www.infoq.com/news/2026/05/claude-mcp-tunnels/

• VentureBeat: Securing AI agent credentials with MCP tunnels — https://venturebeat.com/orchestration/claude-agents-can-finally-connect-to-enterprise-apis-without-leaking-credentials