Claude Cowork セキュリティ完全ガイド — 企業導入のための安全性チェックリスト
この記事の要約
Claude Coworkは企業で安全に使えるのか?サンドボックスの技術的仕組み、データの流れ、管理者コントロール、コンプライアンス対応まで。導入稟議用チェックリスト付き。
TL;DR — 30秒でわかる結論
Claude Coworkはローカルで動作するLinux仮想マシン内のサンドボックスでAIを実行する。ファイルはユーザーのPC上で処理され、Anthropicサーバーにはプロンプトと応答のみが送信される。Enterprise版ではSSO、SCIM、監査ログ、カスタムデータ保持期間を設定可能。SOC 2 Type II取得済み、GDPR準拠。この記事の末尾に導入稟議用チェックリスト15項目を掲載。
この記事の対象読者と目的
この記事は、Claude Coworkの導入を検討している情報セキュリティ担当者・情シス部門・経営層を対象としている。「Coworkは企業で安全に使えるのか?」という問いに対し、技術的なアーキテクチャから管理者コントロール、コンプライアンスまでを網羅的に解説する。
導入稟議書にそのまま転記できるチェックリストも用意した。Coworkの基本機能についてはClaude Cowork完全ガイドを参照してほしい。
セキュリティアーキテクチャの全体像 — なぜCoworkは「安全」と言えるのか
Claude Coworkのセキュリティは多層防御(Defense in Depth)の設計思想に基づいている。単一のセキュリティ対策に依存するのではなく、複数のレイヤーを重ねることで、1つの層が突破されても次の層が防御する構造だ。
| レイヤー | 技術 | 役割 |
|---|---|---|
| L1: ホストOS | macOS / Windows | ユーザーのメインシステム。Coworkはここに直接触れない |
| L2: 仮想マシン | Apple Virtualization Framework / Windows Sandbox | メインOSから完全に隔離された実行環境 |
| L3: コンテナ分離 | bubblewrap(Linux) | VM内でさらにファイルシステムを制限 |
| L4: システムコール制限 | seccomp BPF | 許可されたシステムコールのみ実行可能 |
| L5: 権限モデル | Claudeの許可ダイアログ | ファイルアクセス・コマンド実行に明示的な承認を要求 |
このアーキテクチャの最大の特徴は、AIが動作する環境がユーザーのメインシステムから物理的に隔離されていることだ。Claude Desktopアプリのインストールサイズが大きい理由は、Ubuntu 22.04ベースのLinux VMをまるごと同梱しているためである。
サンドボックスの技術的仕組み — 3つの隔離レイヤー
第1層: 仮想マシンによるハード分離
CoworkはmacOSではApple Virtualization Framework(VZVirtualMachine)、WindowsではWindows Sandboxを使い、ホストOSから完全に分離されたLinux VMを起動する。
この仮想マシンは以下の特性を持つ。
- 独立したファイルシステム: ホストOSのファイルに直接アクセスできない
- 独立したネットワークスタック: ホストのネットワーク設定から分離
- 独立したプロセス空間: ホストOS上で動作する他のアプリケーションに干渉しない
ユーザーが「このフォルダを読んで」と指示した場合のみ、該当ディレクトリがVM内にマウントされる。マウント範囲外のファイルにはAIは一切アクセスできない。
第2層: bubblewrapによるソフト分離
VM内部ではさらにbubblewrap(Flatpakプロジェクトで使われるサンドボックスツール)が動作し、ファイルシステムのアクセスを制限する。
- 書き込み可能パスの明示的指定:
sandbox.filesystem.allowWriteで許可されたパスのみ書き込み可能 - セッションごとの隔離: 各会話セッションは
/sessions/ディレクトリ内で個別のサンドボックスを持つ - バインドマウント方式: 必要なディレクトリのみをVM内にバインドマウントし、それ以外は見えない
第3層: seccomp BPFによるシステムコール制限
最も低レイヤーの防御として、seccomp BPF(Berkeley Packet Filter)がLinuxカーネルレベルでシステムコールをフィルタリングする。
- Unixドメインソケットの作成をブロック: ローカルIPC経由の脱出を防止
- TIOCSTIおよびTIOCLINUX ioctlのブロック: ターミナルインジェクション攻撃を防止
- 許可リスト方式: 明示的に許可されたシステムコールのみ実行可能
データの流れ — 何がどこに保存されるのか
企業がもっとも気にするのは「自社のデータがどこに行くのか」だ。Coworkのデータフローを整理する。
通信フロー
| ステップ | データの内容 | 送信先 | 暗号化 |
|---|---|---|---|
| 1 | ユーザーの指示(プロンプト) | Anthropicサーバー | TLS 1.3 |
| 2 | AIの応答テキスト | ユーザーPC | TLS 1.3 |
| 3 | ファイル内容の読み取り | ローカルVM内で完結 | — |
| 4 | コード実行結果 | ローカルVM内で完結 | — |
| 5 | ファイルの書き込み | ローカルVM内で完結 | — |
ここで重要なのは、ファイルの実体がAnthropicサーバーに送信されるわけではないという点だ。送信されるのはプロンプト(ユーザーの指示文)とAIの応答テキストのみだ。ファイルの読み取り・編集・コード実行はすべてローカルのVM内で処理される。
ファイルがAnthropicに送られるケース
ただし、以下のケースではファイル内容がプロンプトの一部としてAnthropicサーバーに送信される。
- ユーザーが「このファイルの内容を要約して」と指示した場合 → ファイルの内容がコンテキストとしてAPIに送信される
- コネクタ経由でクラウドサービスのファイルを読む場合 → 読み取り結果がAIのコンテキストに含まれる
このため、機密性の高いファイルを扱う場合はZero Data Retention(ZDR)設定を検討すべきだ。
AIがアクセスできるデータの範囲と制限
Coworkは明示的な許可モデルを採用している。AIが勝手にデータにアクセスすることはない。
許可が必要な操作
| 操作 | 初回 | 以降 |
|---|---|---|
| ファイルの読み取り | ユーザーが許可ダイアログで承認 | セッション内で記憶 |
| ファイルの書き込み | 毎回確認ダイアログ表示 | 設定で自動承認も可能 |
| コマンドの実行 | ユーザーが許可ダイアログで承認 | 許可リストで管理 |
| ネットワークアクセス | サンドボックス設定で制御 | ホワイトリスト方式 |
| コネクタ(外部サービス)接続 | 管理者が一元管理可能 | Enterprise版で制御 |
管理者による制御
Enterprise版では、管理者が以下を一元管理できる。
- MCP(Model Context Protocol)サーバーの許可リスト:
managed-mcp.jsonをMDM(Jamf、Intune等)で配布し、ユーザーが勝手にMCPサーバーを追加できないようにする - コネクタの管理者承認制: Google Drive、Microsoft 365などのコネクタ接続を管理者承認制にする
- ブラウザ・プラグインのスコープ制限: Coworkがアクセスできるウェブサイトや拡張機能を制限
コネクタの詳細はClaude Coworkプラグイン・コネクタガイドを参照。
データ保持ポリシー — 会話履歴はAnthropicに残るのか
標準プラン(Pro / Max)の場合
| データ種別 | 保持期間 | 学習利用 |
|---|---|---|
| 会話履歴(プロンプト・応答) | 30日間 | オプトイン方式(デフォルトOFF) |
| ファイル内容 | ローカルのみ、サーバーに保持しない | 利用しない |
| メタデータ(利用時間等) | サービス運用に必要な期間 | 匿名化して利用 |
Anthropicは2026年時点で、デフォルトではユーザーのデータをモデルの学習に使用しない。ユーザーが明示的にオプトインした場合のみ、会話データがモデル改善に活用される。
Enterprise版の場合
| データ種別 | 保持期間 | 学習利用 |
|---|---|---|
| 会話履歴 | カスタム設定可能(最短30日〜ZDR) | 利用しない |
| ファイル内容 | ローカルのみ | 利用しない |
| 監査ログ | 組織の設定に準拠 | 利用しない |
Enterprise版ではZero Data Retention(ZDR)を設定でき、応答送信後にサーバー上のデータを即時削除する。金融・医療・法務など規制の厳しい業界では、このZDR設定が導入の前提条件になるケースが多い。
Enterprise向け管理者コントロール
Enterprise版で利用できるセキュリティ管理機能を整理する。
ID管理・認証
| 機能 | 詳細 |
|---|---|
| SSO | SAML / OIDCによるシングルサインオン |
| SCIM | ユーザープロビジョニングの自動化(Okta、Azure AD等と連携) |
| ドメインキャプチャ | 企業ドメインのメールアドレスで登録したユーザーを自動的に組織に紐付け |
| ロールベースアクセス制御 | 管理者・メンバー・閲覧者などのロール設定 |
監査・コンプライアンス
| 機能 | 詳細 |
|---|---|
| 監査ログ | ユーザーの操作ログを記録・エクスポート可能 |
| カスタムデータ保持 | 組織ポリシーに合わせた保持期間設定 |
| ZDR(Zero Data Retention) | 応答後にサーバーからデータを即時削除 |
| BYOK(Bring Your Own Key) | 自社の暗号鍵でデータを暗号化(2026年H1対応予定) |
デバイス・アプリ管理
| 機能 | 詳細 |
|---|---|
| MDM連携 | Jamf / Intune経由でMCPサーバー許可リストを配布 |
| コネクタ管理者承認制 | 外部サービス接続を管理者が一元制御 |
| ブラウザスコープ制限 | Coworkがアクセスできるウェブサイトを制限 |
組織での導入プロセスの詳細はClaude Cowork for チームで解説している。
コンプライアンス対応状況 — SOC2、GDPR、ISO27001
Anthropicが取得・準拠している主要なセキュリティ認証を整理する。
| 認証・規格 | 状況(2026年3月時点) | 対象 |
|---|---|---|
| SOC 2 Type II | 取得済み | Claude全製品のインフラストラクチャ |
| GDPR | 準拠 | EU圏のデータ処理・保存 |
| HIPAA | 対応済み(Enterprise版) | 医療データの取り扱い |
| ISO 27001 | 対応中 | 情報セキュリティマネジメント |
| CCPA | 準拠 | カリフォルニア州消費者プライバシー |
SOC 2 Type IIについて
SOC 2 Type IIは、セキュリティ・可用性・機密性の管理策が継続的に運用されていることを第三者監査人が検証する認証だ。一時点のスナップショットではなく、一定期間にわたる運用実績が監査される。Anthropicはこの監査を完了しており、レポートはNDA締結後に閲覧可能。
GDPR対応の具体策
| GDPR要件 | Anthropicの対応 |
|---|---|
| データ最小化 | deny rulesによるPII送信ブロック設定が可能 |
| 削除権(Right to Erasure) | ドキュメント化された削除ワークフロー |
| データポータビリティ | 会話データのエクスポート機能 |
| データ所在地 | AWS EU リージョンでのデプロイオプション |
| 目的制限 | 承認済みユースケースの文書化 |
導入稟議用セキュリティチェックリスト
情報セキュリティ担当者が稟議書に添付できる、15項目のチェックリストを用意した。
| # | チェック項目 | 確認結果 |
|---|---|---|
| 1 | AI実行環境はサンドボックスで隔離されているか | Yes — Linux VM + bubblewrap + seccomp |
| 2 | ファイル内容がクラウドにアップロードされるか | No — ローカルVM内で処理。プロンプトのみAPI送信 |
| 3 | データがAIモデルの学習に使用されるか | No — デフォルトOFF、オプトイン方式 |
| 4 | 通信は暗号化されているか | Yes — TLS 1.3 |
| 5 | SSO(シングルサインオン)に対応しているか | Yes — SAML / OIDC(Enterprise版) |
| 6 | ユーザープロビジョニングの自動化は可能か | Yes — SCIM対応(Enterprise版) |
| 7 | 監査ログは取得可能か | Yes — Enterprise版で操作ログ記録・エクスポート |
| 8 | データ保持期間のカスタマイズは可能か | Yes — 最短30日〜ZDR(Enterprise版) |
| 9 | SOC 2 Type II監査は完了しているか | Yes — 第三者監査済み |
| 10 | GDPR準拠しているか | Yes — EU データ所在地オプションあり |
| 11 | HIPAA対応しているか | Yes — Enterprise版で対応 |
| 12 | 管理者がMCPサーバー・コネクタを制御できるか | Yes — MDM連携で一元管理 |
| 13 | AIがアクセスできるファイル範囲を制限できるか | Yes — 明示的許可モデル |
| 14 | セキュリティインシデント報告体制があるか | Yes — Anthropic Trust Centerで公開 |
| 15 | 暗号鍵の自社管理は可能か | Yes — BYOK(2026年H1対応予定) |
競合ツールとのセキュリティ比較
Claude Cowork、Microsoft Copilot、Google Geminiのセキュリティ機能を比較する。
| 項目 | Claude Cowork | Microsoft Copilot | Google Gemini |
|---|---|---|---|
| 実行環境 | ローカルVM(サンドボックス) | クラウド(Microsoft 365基盤) | クラウド(Google Cloud基盤) |
| データ処理場所 | ユーザーのローカルPC | Microsoftサーバー | Googleサーバー |
| SSO | SAML / OIDC | Microsoft Entra ID | Google Workspace |
| 監査ログ | Enterprise版で対応 | Microsoft Purview | Google Admin Console |
| データ保持 | カスタム / ZDR可能 | Microsoft 365ポリシーに準拠 | Google Vaultで管理 |
| SOC 2 | Type II取得済み | Type II取得済み | Type II取得済み |
| GDPR | 準拠 | 準拠 | 準拠 |
| HIPAA | Enterprise版で対応 | Microsoft 365で対応 | Google Workspaceで対応 |
| 学習利用 | デフォルトOFF | デフォルトOFF | デフォルトOFF |
| ファイルアクセス制御 | 明示的許可モデル | Microsoft 365権限に準拠 | Workspace ACLに準拠 |
| エコシステム | OS横断(macOS / Windows) | Microsoft 365限定 | Google Workspace限定 |
| ローカル実行 | あり(VM) | なし | なし |
各ツールの特徴
Claude Coworkの最大の差別化ポイントはローカルVM実行だ。ファイルの処理がユーザーのPC上で完結するため、「データがクラウドに送信される」リスクを最小化できる。一方、Microsoft CopilotやGoogle Geminiはクラウドネイティブで、それぞれの既存エコシステムとの統合が強い。
Microsoft CopilotはMicrosoft 365との統合が深く、Purviewによるコンプライアンス管理やDefenderとの連携が強力。Microsoft 365をメインで使う組織にとっては最も自然な選択肢だ。
Google GeminiはGoogle Workspaceとの統合に特化し、WorkspaceのACL(アクセス制御リスト)に準拠したデータアクセスを実現。Google Workspace環境であればシームレスに導入できる。
セキュリティ上の注意点と既知のリスク
万全のセキュリティアーキテクチャであっても、ゼロリスクは存在しない。導入時に認識すべきリスクを整理する。
プロンプトインジェクション
Coworkのサンドボックスは、万が一プロンプトインジェクション攻撃が成功しても、被害がVM内に封じ込められるよう設計されている。ただし、ユーザーが意図せず悪意あるファイルを読み込ませた場合、そのファイル内の指示がAIの動作に影響を与える可能性がある。
対策: 信頼できないソースからのファイルをCoworkに読み込ませない。
コネクタ経由のデータ漏洩
Google DriveやSlackなどのコネクタを有効にすると、AIがそれらのサービスのデータにアクセスできるようになる。コネクタの権限スコープを必要最小限に設定することが重要だ。
対策: Enterprise版のコネクタ管理者承認制を利用し、不要なコネクタを無効化する。
Dispatch(遠隔操作)のリスク
Dispatch機能を使うと、スマホからPCのCoworkセッションに遠隔で指示を送れる。スマホの紛失・盗難時に第三者がDispatch経由でPCを操作するリスクがある。
対策: スマホのロック画面設定、Claudeアプリの生体認証を有効化する。
情シス部門向け推奨セキュリティ設定
Enterprise版を導入する際の推奨設定をまとめる。
基本設定(全組織共通)
- SSOを有効化する — SAML / OIDCで既存のIDプロバイダーと連携
- SCIMでプロビジョニングを自動化 — 入退社時のアカウント管理を自動化
- 監査ログを有効化 — 全ユーザーの操作ログを記録
- データ保持期間を設定 — 自社のデータ保持ポリシーに合わせる
強化設定(規制業界向け)
- ZDR(Zero Data Retention)を有効化 — 金融・医療・法務で推奨
- MCPサーバーをMDMで一元管理 —
managed-mcp.jsonをJamf / Intune経由で配布 - コネクタを管理者承認制にする — 不要な外部サービス接続を防止
- ブラウザスコープを制限 — Coworkがアクセスできるウェブサイトをホワイトリスト化
- BYOK(Bring Your Own Key)を設定 — 自社の暗号鍵でデータを暗号化(2026年H1対応予定)
FAQ — よくある質問
Q1: 社内の機密文書をCoworkに読ませても大丈夫ですか?
ファイル自体はローカルPC上のVM内で処理されるため、ファイルがそのままAnthropicのサーバーに送信されることはない。ただし、「このファイルを要約して」と指示した場合、ファイルの内容がプロンプトの一部としてAPIに送信される。機密性が極めて高い文書を扱う場合は、Enterprise版のZDR(Zero Data Retention)設定を推奨する。
Q2: Coworkの会話内容がAnthropicのAI学習に使われますか?
デフォルトでは使われない。Anthropicは2026年時点でオプトイン方式を採用しており、ユーザーが明示的に同意した場合のみ学習に利用される。Enterprise版ではこのオプション自体が無効化されており、学習利用は一切行われない。
Q3: 退職した社員のCoworkアカウントはどう管理しますか?
Enterprise版ではSCIM(System for Cross-domain Identity Management)により、Okta、Azure AD等のIDプロバイダーと連携して自動的にアカウントの停止・削除を行える。退職処理がIDプロバイダー側で完了すれば、Coworkのアクセス権も自動的に剥奪される。
Q4: Coworkが外部に不正な通信をしていないことをどう検証できますか?
Coworkのサンドボックスはネットワークアクセスをホワイトリスト方式で制御している。Enterprise版の監査ログでユーザーの操作履歴を確認できるほか、ネットワーク監視ツール(Wireshark等)でCoworkの通信先を検証することも可能。通信はAnthropicのAPIエンドポイントへのTLS 1.3暗号化通信に限定される。
Q5: 他のAIツール(ChatGPT、Copilot)と比べてCoworkは安全ですか?
Coworkの最大の差別化はローカルVM実行だ。ChatGPTやCopilotがクラウド上でファイルを処理するのに対し、CoworkはユーザーのPC上のサンドボックスで処理する。データの所在地管理がシンプルになる点は、特に規制の厳しい業界で大きなメリットとなる。一方、Microsoft 365環境との統合の深さではCopilotが優れ、Google Workspace環境ではGeminiが自然な選択肢となる。セキュリティの「強さ」は一概に比較できず、自社の環境と要件に合ったツールを選ぶことが重要だ。
Q6: サンドボックスを突破された事例はありますか?
2026年3月時点で、セキュリティ研究者によりプロンプトインジェクション経由でCoworkのサンドボックスの制約を一部回避できる手法が報告されている。具体的には、悪意あるファイルを読み込ませることでAnthropicのAPI(ホワイトリスト対象)にデータを送信させる手法だ。Anthropicはこの報告を受けてホワイトリストの見直しと追加の防御策を実装している。完全なサンドボックス突破(ホストOSへのアクセス)は報告されていない。
Q7: オンプレミス環境でCoworkを利用できますか?
2026年3月時点では、CoworkはAnthropicのAPIを利用するSaaS型のサービスであり、完全なオンプレミスデプロイは提供されていない。ただし、AWS EU リージョンでのデータ処理やZDR設定により、データの所在地と保持を厳密に管理することは可能だ。完全オンプレミスが必須の場合は、Anthropicのエンタープライズ営業チームに相談することを推奨する。
まとめ — Coworkは「正しく設定すれば」企業で安全に使える
Claude Coworkのセキュリティは、ローカルVM実行・多層サンドボックス・明示的許可モデルの3つの柱で支えられている。Enterprise版のSSO、SCIM、監査ログ、ZDRを適切に設定すれば、規制の厳しい業界でも導入可能な水準のセキュリティを実現できる。
ただし、どんなツールでも「導入すれば安全」ではない。組織のセキュリティポリシーに合わせた設定、ユーザー教育、定期的な監査が不可欠だ。この記事のチェックリストを起点に、自社の要件に照らして評価してほしい。
Coworkの基本機能と活用法はClaude Cowork完全ガイド、組織導入の具体的な手順はClaude Cowork for チームで解説している。
この記事の著者
中村 知良
代表取締役
早稲田大学卒業後、ソフトバンク株式会社にてAI活用やCEO直下案件のプロジェクトマネージャーに従事。その後、不動産スタートアップPit in株式会社の創業、他スタートアップでの業務改善・データ活用を経験後、2023年10月、株式会社ネクサフローを創業し代表取締役CEO就任。
