ガイド・ノウハウ
Claude Coworkセキュリティガイド
Claude Coworkのセキュリティは、「Claudeが賢いか」ではなく、どの権限で、どの画面・ファイル・接続先に届くかで判断する必要があります。
チャットだけなら、主なリスクは入力した情報です。Coworkでは、ローカルファイル、接続済みサービス、プラグイン、ブラウザ、アプリ操作まで広がります。つまり、導入判断は生成AIの利用規程だけでは足りず、端末・ブラウザ・コネクタ・監視ログを含めた設計になります。
この記事では、2026年5月18日時点の公式Help CenterをCrawl4AIで確認し、XやRedditで見られる実利用上の不安、さらに直近のClaude in Chrome脆弱性報告も踏まえて、企業導入時のチェックポイントを整理します。
TL;DR
- Cowork本体は有料プラン向けで、Claude Desktop上で動く
- コード実行とシェル実行はPC上の隔離VMで行われる
- 許可したローカルファイルは、読み取りだけでなく書き込みや削除の対象になる
- Computer useはVM内ではなく、実際の画面・アプリを直接操作する
- Computer useは2026年5月時点でPro / Max向け。Team / Enterpriseでは使えない
- Cowork activityはCompliance APIに含まれない。Team / EnterpriseはOpenTelemetryで補う
- Claude in Chromeはβ機能で、組織では許可サイト・拡張機能・実行モードを絞るべき
まず分けるべき5つの境界
Claude Coworkを安全に使うには、「Claudeがどこにいるか」ではなく「どの面で権限を持つか」を分けて考えます。
| 境界 | 何が起きるか | 主な注意点 |
|---|---|---|
| コード / シェル | PC上の隔離VMで実行される | EDRからVM内の意図までは見えにくい |
| ローカルファイル | 許可したフォルダを読み書きできる | 広いフォルダを渡さない |
| コネクタ / Remote MCP | Anthropicクラウド経由で外部サービスに届く | 社内LAN上のMCPへ直接届くわけではない |
| Computer use | 画面・アプリ・ブラウザを直接操作する | VMの外。スクリーンショットに映る情報も対象 |
| Claude in Chrome | ブラウザ内のWebページを読む・クリックする | β機能。拡張機能とサイト権限が攻撃面になる |
「ローカルで動くから安全」「VMがあるから安全」と単純化すると危険です。VMで守られる範囲と、VMの外に出る範囲を分けてください。
Claude Coworkのセキュリティ境界
公式に確認できる安全策
公式Helpで確認できる主な安全策は次のとおりです。
| 安全策 | 内容 |
|---|---|
| 隔離VM | コード実行とシェル実行はメインOSと分かれたVMで動く |
| ファイル範囲 | Claudeは接続したフォルダ内のファイルだけを扱う |
| 削除確認 | 永久削除には明示的な許可が必要 |
| プロンプトインジェクション対策 | モデル訓練とコンテンツ分類で悪意ある指示を検知しようとする |
| Computer useのアプリ許可 | 新しいアプリを使う前に許可を求める |
| Chromeの権限モード | Ask before acting と Act without asking を切り替えられる |
ただし、公式Helpも「攻撃リスクはゼロではない」と明記しています。安全策はありますが、機密データを広く渡しても大丈夫という意味ではありません。
データの扱いで誤解しやすい点
Coworkはローカルファイルを直接扱えるため、「ファイルをアップロードしないから外に出ない」と誤解されやすいです。
実際には、Claudeがファイルを読み、要約し、判断するなら、その内容はClaudeの文脈に入ります。接続済みサービスやRemote MCPも、Anthropicクラウド側から外部サービスへ到達します。
実務では、次のルールに寄せる方が安全です。
- 共有するフォルダは業務単位の専用フォルダにする
- 秘密鍵、顧客台帳、給与、金融、医療、本人確認書類を含むフォルダは渡さない
- 出力先と更新先を明示する
- 削除、送信、公開、支払い、契約変更は自動化しない
- 重要ファイルはバックアップを前提にする
また、Team / EnterpriseのHelpでは、Coworkの会話履歴はユーザーPC上に保存され、管理者が中央管理・エクスポートできないと説明されています。一方で、タスク削除時のバックエンド保管期間に関する記述もあるため、保持要件がある業務では「通常のChatと同じ監査・エクスポートができる」とは見ない方が安全です。
Computer useは別物として扱う
Computer useは、Claudeが画面を見て、クリックし、入力し、アプリを操作する機能です。公式Helpでは、2026年5月時点でPro / Max向けとされています。Team / Enterpriseでは利用できません。
ここはCowork本体のVMとは安全性が違います。
| 観点 | 通常のCowork | Computer use |
|---|---|---|
| 実行場所 | コード / シェルは隔離VM | 実際のデスクトップ |
| 対象 | 接続したフォルダ、コネクタ、プラグイン | 画面上のアプリ、ブラウザ、ファイル |
| 画面情報 | 基本は指示とツール出力 | スクリーンショットで画面を理解 |
| 推奨用途 | 調査、整理、生成、ファイル処理 | コネクタがない低リスク画面操作 |
| 避ける用途 | 広い権限での自動化 | 銀行、医療、政府、機密SaaS、支払い |
Computer useを試す場合は、個人PCやテスト用プロファイルで、小さな作業から始めてください。メール、Slack、Drive、CRMなどをそのまま開いた状態で触らせるのは危険です。
Claude in Chromeはβ機能として扱う
Claude in Chromeは、Chrome上でClaudeがWebページを読み、クリックし、フォーム操作できる拡張機能です。公式Helpでは全有料プラン向けのβ機能として案内されています。
2026年5月には、LayerXがClaude in Chromeの信頼境界に関する「ClaudeBleed」レポートを公開しました。LayerXは、別のChrome拡張がClaude in Chromeへ命令を注入し、Gmail、Google Drive、GitHubなどで機密情報の抽出や操作を誘発できると報告しています。Anthropicが拡張機能v1.0.70で緩和策を出した後も、LayerXは一部経路で回避可能だと主張しています。
このレポートは公式Helpではなく第三者研究です。ただし、公式Help自体もClaude in Chromeを高リスクなβ機能として扱い、機密情報を扱う作業に使わないよう警告しています。企業導入では、少なくとも次の運用にしてください。
- Enterpriseでは、必要になるまでClaude in Chromeを有効化しない
- Teamでは、既定で有効でも組織設定で無効化を検討する
- 使う場合は、許可サイトを厳しく絞る
Act without askingは原則禁止する- 会社管理のChrome拡張機能だけを許可する
- ほかの拡張機能が
claude.aiへ干渉できないか確認する - 機密SaaS、金融、医療、管理者画面では使わない
Redditでは、接続不良、会社のセキュリティ製品によるブロック、許可ダイアログの多さ、無効化したはずのChromeツールが残るという不満も見られました。セキュリティ以前に運用が不安定な面もあるため、全社展開ではなく限定パイロットから始めるべきです。
Claude in ChromeとComputer useのリスク整理
MCPとプラグインの信頼境界
Coworkのプラグインは、スキル、コネクタ、サブエージェントを束ねます。便利ですが、導入するとClaudeの到達範囲が広がります。
特に注意すべき点は2つです。
- Remote MCP / カスタムコネクタは、Anthropicクラウドから到達できる公開エンドポイントが必要
- ローカルMCPを含むプラグインは、PC上で通常アプリと同じ権限で動くことがある
「社内ネットワークにあるから安全」「MCPだから安全」という判断はできません。配布元、要求権限、接続先、ログ、トークン保管方法を確認してください。
Team / Enterpriseでは、組織プラグインのMarketplaceを使って配布制御できます。ただし、Enterpriseのグループ上書きは「最も許可が広い設定」が優先されるため、セキュリティ境界としては過信しない方が安全です。禁止したいプラグインは組織全体でNot availableにして、必要なグループだけ許可する設計にします。
Compliance APIだけでは監査できない
Cowork activityは、2026年5月時点でCompliance APIには含まれません。通常の監査ログやエクスポートを前提にしたまま導入すると、あとで調査できない領域が残ります。
Team / Enterpriseでは、OpenTelemetryでCoworkイベントをSIEMや監視基盤に流せます。公式Helpでは、Claude Desktop 1.1.4173以降が必要です。
OpenTelemetryで確認できる主な情報は次の通りです。
| イベント | 見えるもの |
|---|---|
| ユーザープロンプト | Coworkに入力されたプロンプト本文 |
| ツール / MCP呼び出し | サーバー名、ツール名、引数、成功/失敗、実行時間 |
| ファイルアクセス | 読み取り・変更・利用されたファイルパス |
| スキル / プラグイン | セッション内で使われたもの |
| 承認判断 | ユーザーが承認・拒否したか、自動実行されたか |
| API利用 | モデル、トークン、推定コスト、エラー |
注意点もあります。プロンプト本文、ツール引数、ファイルパス、メールアドレスがイベントに含まれるため、SIEMに流す前にフィルタリングや保持期間を決めてください。
Claude Coworkの監視設計
Team / Enterpriseの管理ポイント
Team / Enterpriseで押さえるべき管理点は次のとおりです。
| 項目 | Team | Enterprise |
|---|---|---|
| Cowork有効化 | 組織全体トグル | グループ / カスタムロールで絞り込み可能 |
| Projects | ユーザーPCにローカル保存 | 同左。中央共有・エクスポート前提ではない |
| プラグイン | Marketplaceで配布制御 | グループ別上書きも可能 |
| OpenTelemetry | 利用可能 | 利用可能 |
| Claude in Chrome | 既定で有効 | 既定で無効 |
| Computer use | 対象外 | 対象外 |
特にTeamでは、Coworkの有効化が全員向けになりやすい点に注意してください。まずはPilotメンバーを決め、対象端末、対象フォルダ、利用してよいコネクタ、禁止操作、監視方法を先に決めるべきです。
安全に始める導入手順
企業導入では、いきなり全社有効化しないでください。次の順で進めるのが現実的です。
- 対象業務を「読む・整理する・下書きする」に限定する
- 専用フォルダを作り、機密ファイルを入れない
- 接続するコネクタを最小限にする
- プラグインは公式または組織管理のものだけにする
- Claude in Chromeは無効から始める
- Computer useは個人のPro / Max検証に留め、業務端末では原則使わない
- 送信、削除、公開、支払い、契約変更は明示的に禁止する
- Team / EnterpriseではOpenTelemetryを先に設計する
- 1〜2週間のパイロット後に、利用ログと事故未遂をレビューする
推奨する最初の利用範囲
最初は、議事録整理、資料要約、週次レポート下書き、競合調査メモのような「読み取り中心・下書き中心」の仕事に限定してください。投稿、送信、削除、上書き、外部共有まで任せるのは、監視と承認フローを作ってからです。
予約タスクの注意点
予約タスクは、定期的にClaudeへ仕事を頼める便利な機能ですが、リアルタイムで監視できません。公式Helpでも、低リスクなタスクから始め、機密データや結果が戻せない操作を避けるよう案内されています。
安全に使うなら、次の形にします。
このタスクでは、指定フォルダ内の資料を読み、要約ドラフトだけを作成してください。
ファイルの削除、移動、上書き、外部共有、Slack投稿、メール送信はしないでください。
不明点や権限エラーがある場合は、処理を止めて「要確認」と書いてください。
詳しくはClaude Cowork予約タスクガイドで整理しています。
FAQ
Q1. Coworkは企業で安全に使えますか?
使えますが、チャットと同じ扱いでは危険です。専用フォルダ、許可コネクタ、プラグイン配布、Chrome連携、OpenTelemetryをセットで設計してください。
Q2. VMがあるならローカルファイルは安全ですか?
いいえ。コードやシェル実行は隔離VMですが、許可したローカルファイルは実際に読み書き対象になります。VMは万能の境界ではありません。
Q3. Computer useはTeam / Enterpriseでも使えますか?
2026年5月18日時点の公式Helpでは、Computer useはPro / Max向けです。Team / Enterpriseでは使えません。
Q4. Cowork activityはCompliance APIで取れますか?
取れません。Team / EnterpriseではOpenTelemetryで補完できますが、プロンプト本文やツール引数などの機密情報も含まれるため、SIEM側でのフィルタリングが必要です。
Q5. Claude in Chromeは有効にしてよいですか?
全社でいきなり有効化するべきではありません。β機能として扱い、許可サイト、拡張機能、Act without asking、機密SaaS利用を制限した上で小さく試すのが安全です。
Q6. MCPやプラグインはどこまで信頼できますか?
信頼できる配布元のものだけにしてください。ローカルMCPを含むプラグインはPC上で通常アプリと同等の権限で動く可能性があります。Remote MCPはAnthropicクラウドから到達する公開エンドポイントが必要です。
まとめ
Claude Coworkのセキュリティで最初に覚えるべきことは、次の5点です。
- コード / シェル実行は隔離VM
- ローカルファイルは許可範囲で実際に読み書きされる
- Computer useはVM外で実画面を操作する
- Claude in Chromeはβ機能で、ブラウザ拡張とサイト権限が攻撃面になる
- Cowork activityはCompliance APIに含まれず、OpenTelemetry設計が必要
安全な導入は、「広く使わせる」ことではなく、Claudeに渡す権限を小さくし、監視できる範囲から始めることです。全体像はClaude Cowork完全ガイド、組織導入はClaude Coworkチーム導入ガイド、プラグイン運用はClaude Coworkプラグインガイドも参照してください。
