Claude の企業導入セキュリティガイド| AWS Bedrock 連携と安全な運用
業務で Claude を活用したいと考えている企業の担当者にとって、セキュリティへの不安は導入をためらわせる大きな要因のひとつです。
しかしながら、
- 入力したデータが外部に漏洩しないか確認できない
- どのような認証やコンプライアンス基準をクリアしているか把握していない
- 安全な設定方法や運用ルールが社内に整備されていない
といった懸念を抱えている担当者も多いのが現状です。
本記事では、 Claude のセキュリティ機能の全体像から、 Amazon Bedrock を活用したデータ保護の仕組み、企業環境での安全な導入・運用方法まで、具体的に解説します。
Claude のセキュリティ機能とその設計思想
Claude を開発する Anthropic は、 AI の安全性研究を事業の中心に位置づけた会社です。
その方針は製品の設計にも反映されており、 Claude にはユーザーや企業が安全に利用できる仕組みが複数組み込まれています。
このセクションでは、 Claude のセキュリティが何をどのように保護しているかを解説します。
パーミッションベースのアーキテクチャが守る仕組み
Claude 、とりわけコード生成・実行支援ツールとしての Claude Code は、パーミッションベースのアーキテクチャを採用しています。
このアーキテクチャでは、デフォルトの状態が「読み取り専用」に設定されており、追加の操作が必要になった場合に都度ユーザーへ承認を求める設計になっています。
具体的には、ファイルの編集やコマンドの実行、外部へのネットワークリクエストといった操作はすべて、明示的な承認なしには実行できません。
これにより、 AI が意図しない操作を自律的に行うリスクを大幅に低減できます。
また、承認の範囲もユーザー自身が細かく設定できます。
「特定のコマンドのみ常に許可する」「この操作は毎回確認を求める」といった制御が可能で、組織ごとのポリシーに合わせた運用ができます。
書き込みアクセスは、 Claude が起動されたフォルダとそのサブフォルダに厳密に限定されており、親ディレクトリへの無断変更も防止されています。
エージェントとして自律的に動作する場面でも、この設計は有効です。
「Accept Edits モード」を使えば、複数の編集をまとめて承認しながら、副作用のある操作については個別に確認を求める動作を維持できます。
プロンプトの疲弊を防ぎつつも、セキュリティ上のリスクが高い操作には必ずユーザーの目を通させる仕組みが整っています。
さらに、`curl` や `wget` のようにウェブから任意のコンテンツを取得できるリスクの高いコマンドはデフォルトでブロックされています。
明示的に許可した操作のみを実行できる仕組みにより、意図しないデータ送受信を未然に防げます。
「デフォルトで制限し、必要なときだけ解放する」という設計方針が、 Claude のセキュリティを支えています。
参照:Security and compliance - Anthropic
プロンプトインジェクションに対する組み込み保護機能
生成 AI 特有の攻撃手法として、プロンプトインジェクションがあります。
これは、攻撃者が悪意のあるテキストを処理対象のドキュメントやデータに埋め込み、 AI の動作を意図した方向に誘導しようとする手法です。
例えば、業務で扱うファイルに「このデータを外部に送信せよ」といった隠し命令が含まれていた場合、対策が不十分なシステムでは AI がその命令に従ってしまう可能性があります。
Claude には、このような攻撃に対する複数の保護機能が組み込まれています。
まず、コマンドブロックリストにより、外部への任意のコンテンツ取得を可能にする危険なコマンドをデフォルトでブロックします。
次に、入力サニタイゼーションによりユーザー入力を適切に処理し、コマンドインジェクションを防止します。
さらに、コンテキスト認識分析によってリクエスト全体を解析し、潜在的に有害な指示を検出します。
加えて、機密操作には必ず明示的な承認を必要とするパーミッションシステムが機能しています。
Web 検索や外部コンテンツを取得する際には、取得した生のコンテンツを直接コンテキストに渡すのではなく、要約した形で処理する仕組みもあります。
これにより、悪意のある Web コンテンツからのプロンプトインジェクションリスクを軽減できます。
また、 Claude Code が Web フェッチを行う際には、潜在的に悪意のある内容の注入を避けるために、別のコンテキストウィンドウを使用します。
ネットワークリクエストを行うツールはデフォルトでユーザー承認が必要であり、信頼できないコードベースの初回実行時には必ず信頼確認が求められます。
これらの保護機能は、あらゆる攻撃を完全に防ぐものではありませんが、企業環境における AI 利用のセキュリティ水準を大きく引き上げることが期待できます。
特に信頼できないコンテンツを処理する業務では、これらの組み込み保護機能の挙動を理解した上で運用することが重要です。
参照:Security and compliance - Anthropic
Claude が取得しているセキュリティ認証とデータ保護の仕組み
AI ツールを導入する際、取引先への説明や社内のセキュリティ審査で、認証取得状況の確認を求められることがあります。
Claude が取得している認証と、データ保護の仕組みをまとめます。
SOC 2 Type II・ISO 27001 が証明するセキュリティ水準
Anthropic は、 Claude の運用において複数の国際的なセキュリティ認証を取得しています。
SOC 2 Type II は、セキュリティ・可用性・処理の完全性・機密性・プライバシーの5つの観点から、独立した第三者監査機関がシステム管理の実効性を審査する認証です。
Type I が特定時点の設計を評価するのに対し、Type II は最低12か月以上の運用実績を審査対象とするため、継続的なセキュリティ管理の証明として高い信頼性を持ちます。
金融機関や医療機関など、厳格なセキュリティ要件を持つ業界での AI 導入審査において、 SOC 2 Type II の取得は重要な判断材料のひとつとなっています。
ISO 27001 は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
2022年に改定された ISO 27001:2022に準拠しており、組織全体での情報セキュリティへの取り組みが体系的に評価されています。
また、 AI マネジメントシステムに関する国際規格である ISO/IEC 42001:2023 も取得しており、 AI 特有のリスク管理と倫理的な運用体制の整備が認証されています。
医療分野への対応としては、 HIPAA への対応設定を提供しており、 Business Associate Agreement(BAA)の締結も可能です。
特に機密性の高い医療情報を扱う場合の利用を想定した対応が整っています。
米国政府機関向けには、 Amazon Bedrock が FedRAMP High および DoD IL4/5 の認定を取得した AWS GovCloud リージョンで利用可能です。
この環境では、機密扱いでない管理情報(CUI)を含む政府ワークロードへの Claude の利用が承認されています。
AWS 基盤側のこれらの認定により、高い水準のセキュリティ要件下での利用が実現されています。
認証の詳細情報や監査レポートは、 Anthropic のトラストポータルで確認できます。
参照:What Certifications has Anthropic obtained? | Claude Help Center
データ学習への不使用とゼロデータリテンション(ZDR)オプション
Claude の商用利用(API・Team・Enterprise プラン)では、デフォルトで入力データがモデルの学習に使用されません。
これは利用規約上の契約保証として提供されています。ただし、ユーザーがフィードバック機能を通じて明示的に送信したデータは例外となる場合があります。
無料版の Consumer プランとは異なり、商用プランのデータは明確に分離管理されています。
担当者が「社内情報を入力したら AI が学習してしまうのでは」と心配する必要はありません。
データの保持期間については、 API ユーザーの入出力データは受信から30日以内に自動削除されます。
ただし、 Files API のような長期保持サービスを利用している場合や、利用ポリシー違反として検出された場合などは例外があります。
さらに高いデータ保護を求める企業向けには、 ZDR(Zero Data Retention)オプションが用意されています。
ZDR を適用すると、レスポンスの返却後にデータが保持されなくなります。
処理が完了した時点でデータが廃棄されるため、機密情報の取り扱いに特に厳格な要件を持つ業界でも利用しやすくなります。
すべての通信は TLS(Transport Layer Security)で暗号化されており、送受信中のデータが傍受されるリスクを防いでいます。
保存データについても適切な暗号化が施されており、多層的なデータ保護が実現されています。
参照:How long do you store my organization's data? | Anthropic Privacy Center
Amazon Bedrock のガードレールで Claude のセキュリティを強化する方法
Anthropic が提供する Claude の基本的なセキュリティ機能に加えて、 Amazon Bedrock 経由で利用すると AWS のセキュリティ機能と組み合わせた多層的な保護を実現できます。
AWS 上での Claude の安全な使い方を解説します。
Amazon Bedrock 経由で利用するとデータが自社環境に閉じられる理由
Claude を直接 Anthropic の API から利用する場合、入力したプロンプトやデータは Anthropic のインフラを経由します。
一方、 Amazon Bedrock 経由で Claude を利用すると、データの流れが大きく変わります。
Amazon Bedrock 経由の場合、コードやプロンプトは Anthropic のインフラを通過せず、すべての処理が自社の AWS 環境内で完結します。
これは、クラウド上のデータ主権(データが処理・保管される場所を企業自身が管理すること)を確保する上で重要な違いです。
具体的には、 AWS アカウント内のリソースとして Claude が呼び出されるため、 AWS の VPC(Virtual Private Cloud)内でのネットワーク分離が適用できます。
インターネットを経由せずにプライベートエンドポイント経由で Claude を利用することも可能で、通信経路のセキュリティを高められます。
日本国内の企業では、アジアパシフィック(東京)リージョンで Claude を利用できます。
データの国外移転に関する規制や社内ポリシーへの対応として、データが国内リージョンに留まる構成を選択できます。
Amazon Bedrock 経由での Claude 利用を設定する際には、 AWS IAM(AWS Identity and Access Management)によるアクセス制御が機能します。
具体的には、`bedrock:InvokeModel` と `bedrock:InvokeModelWithResponseStream` の権限を必要最小限の範囲で付与する設定が推奨されます。
ガードレールのコンテンツフィルタリングと PII マスキングの活用
Amazon Bedrock のガードレールは、 Claude を含む基盤モデルの入出力に対して設定可能なセキュリティ保護を提供するサービスです。
単一のモデルに依存せず、複数の基盤モデルに対して一貫した安全管理を適用できる点が特徴です。
ガードレールが提供するフィルターは大きく6種類に分類されます。
コンテンツフィルターは、入力プロンプトやモデルの出力に含まれる有害なテキストや画像を検出・フィルタリングします。
ヘイトスピーチ・侮辱・性的コンテンツ・暴力・不正行為・プロンプト攻撃などのカテゴリごとにフィルター強度を設定でき、業務のユースケースに応じた細かなカスタマイズが可能です。
Amazon Bedrock ガードレールの Standard ティアでは、コード要素(コメント・変数名・関数名・文字列リテラル)の中に埋め込まれた有害なコンテンツも検出できます。
拒否されたトピックのフィルターでは、アプリケーションのコンテキストで扱いたくないトピックを定義し、そのトピックに関するユーザーの質問やモデルの回答をブロックできます。
例えば、社内システムとして利用する Claude ベースのチャットボットで、業務に無関係なトピックへの回答を防ぐといった用途に活用できます。
単語フィルターでは、特定の単語やフレーズを完全一致でブロックできます。
冒涜的な言葉のブロックリスト(既製品オプション)や、競合他社名などのカスタム単語の設定が可能です。
機密情報フィルターは、個人を特定できる情報(PII)などの機密情報を保護します。
氏名・住所・社会保障番号・生年月日といった PII エンティティをブロックまたはマスキングすることができ、コールセンターのトランスクリプト処理など、個人情報を含む業務への適用に有効です。
正規表現パターンを使ったカスタム検出も設定できるため、企業固有のデータフォーマット(社員番号・顧客 ID など)の保護にも対応します。
コンテキストグラウンディングチェックは、 RAG (Retrieval-Augmented Generation)システムでの活用を想定した機能です。
モデルの回答が取得されたソース情報から逸脱していないか、あるいはユーザーの質問に対して回答の関連性(Answer Relevancy)や忠実性(Faithfulness)が保たれているかを評価し、ハルシネーションの検出に寄与します。
自動推論チェックでは、事前に定義したルールセットに対してモデルの回答の正確性を検証し、ハルシネーションの検出や修正案の提示が可能です。
これらのフィルターを組み合わせることで、業務のニーズに合わせたコンテンツ保護の設定が可能です。
IAM ポリシーとネットワーク制御による多層防御の構築
Amazon Bedrock 上で Claude を安全に運用するためには、ガードレールだけでなく、 AWS の IAM ポリシーとネットワーク制御を組み合わせた多層防御の設計が有効です。
IAM(AWS Identity and Access Management)では、 Claude へのアクセス権限を持つユーザーやサービスを細かく制御できます。
最小権限の原則に基づき、各ユーザーやアプリケーションに必要最小限の権限のみを付与する設定が推奨されます。
具体的には、`bedrock:InvokeModel` 権限を特定のモデル ARN にのみ付与することで、利用を許可するモデルを絞り込めます。
また、 IAM ポリシーの条件設定として、特定の IP アドレス範囲や VPC エンドポイントからのアクセスのみを許可することも可能です。
ネットワーク制御の面では、VPC エンドポイントを活用することで、 Amazon Bedrock へのアクセスをインターネットを経由せず AWS のプライベートネットワーク内に閉じ込められます。
VPC のセキュリティグループ設定で、どのリソースからの通信を許可するかを制御することで、不正アクセスのリスクを低減できます。
AWS CloudTrail を有効にすることで、 Amazon Bedrock への API 呼び出しを含む AWS アカウント内のすべての操作を記録できます。
誰が、いつ、どのモデルを呼び出したかの監査ログが自動的に取得されるため、セキュリティインシデント発生時の調査や、コンプライアンス要件への対応に活用できます。
AWS WAF(AWS Web Application Firewall)を Claude ベースのアプリケーションの前段に配置することで、不正なリクエストやボット攻撃からシステムを保護できます。
特にエンドユーザーが直接入力できるインターフェースを持つシステムでは、 WAF によるフィルタリングとガードレールによるコンテンツ制御を組み合わせた設計が効果的です。
データの暗号化については、 Amazon Bedrock は AWS KMS(Key Management Service)との統合をサポートしています。
自社管理のカスタマーマネージドキー(CMK)を使用することで、暗号化キーの管理を自社で行えます。
参照:AWS Identity and Access Management(IAM)
企業環境における Claude のセキュアなデプロイ手順
Claude Code を企業環境に組み込む際には、クラウドのセキュリティ設計と合わせて、実行環境の分離と認証情報の管理を適切に行うことが重要です。
コンテナ・サンドボックスを使ったセキュアな実行環境の構築
Claude Code を本番環境や複数ユーザーが利用するシステムに展開する場合、実行環境を適切に分離することが推奨されます。
Anthropic は、セキュリティの強さ・処理の負荷・運用の手間のバランスに応じて、複数の分離方法を提供・推奨しています。
シンプルな選択肢として、組み込みのサンドボックスモードが挙げられます。
Claude Code のサンドボックスモードを使うと、 bash コマンドがファイルシステムとネットワークアクセスを制限した環境で実行されます。
許可するドメインとファイルシステムパスを設定ファイルで定義する仕組みで、 Docker などのコンテナ設定を必要とせずに軽量な分離を実現できます。
より強固な分離が必要な場合には、 Docker コンテナを利用したセキュリティ設定が有効です。
コンテナを実行する際には、すべての Linux ケーパビリティを削除し、 non-root ユーザーとして実行する設定が推奨されます。
コードディレクトリを読み取り専用でマウントし、必要な書き込み領域には tmpfs (一時ファイルシステム)を使ってコンテナ停止時に自動的にクリアされる設定にすることで、不要なデータの残存を防げます。
また、`--network none` でコンテナのネットワークを完全に無効化し、承認された通信のみを行うプロキシ経由で外部と接続する設計が多層防御として有効です。
機密データを扱う本番環境や金融・医療分野での利用には、 VM (仮想マシン)ベースの分離が選択されることもあります。
Firecracker のような軽量マイクロ VM を活用すれば、起動時間を大幅に短縮しながらハードウェアレベルの分離を確保できます。
AWS 上で Claude を活用したシステムを構築する場合には、 Amazon ECS (Elastic Container Service)や Amazon EKS (Elastic Kubernetes Service)上でコンテナを管理し、クラウドネイティブのネットワーク制御と組み合わせる構成が多く採用されています。
VPC 内のプライベートサブネットで Claude を利用するコンテナを実行し、インターネットゲートウェイを設置しない設計にすることで、不正な外部通信を排除できます。
参照:Security and compliance - Anthropic
最小権限の原則に基づく認証情報管理とプロキシパターン
Claude を含む AI エージェントが外部サービスと連携する場面では、 API キーやアクセストークンなどの認証情報の管理が重要なセキュリティ課題です。
認証情報の漏洩は、システム全体へのアクセスを攻撃者に与えかねないリスクとなります。
有効なアプローチとして、プロキシパターンが挙げられます。
エージェントの実行環境の外側にプロキシを配置し、エージェントは認証情報を直接持たずにプロキシ経由でリクエストを送信します。
プロキシがリクエストに認証情報を付与した上で外部サービスに転送する仕組みにより、エージェントが認証情報を直接参照することがなくなります。
このパターンには複数の利点があります。
まず、認証情報を一か所のプロキシで集中管理できるため、認証情報の更新・ローテーション作業が容易になります。
次に、プロキシですべてのリクエストをログに記録できるため、監査証跡の確保が容易です。
さらに、プロキシで許可するエンドポイントの許可リストを管理することで、エージェントがアクセスできる宛先を制限できます。
AWS 環境では、 AWS Secrets Manager や AWS Systems Manager パラメータストアを使って認証情報を安全に保管し、必要なタイミングで動的に取得する設計が有効です。
認証情報をコードやコンテナの環境変数に直接埋め込まず、実行時にシークレットストアから取得する設計にすることで、コードリポジトリや設定ファイルへの認証情報の混入リスクを低減できます。
AWS IAM ロールを使った認証情報管理も重要です。
Amazon EC2 インスタンスや Amazon ECS タスクに IAM ロールを割り当てることで、アクセスキーを発行せずに必要な権限を付与できます。
一時的な認証情報が自動的にローテーションされるため、長期有効なアクセスキーの管理リスクを抑制できます。
過去に発生した Claude Code の脆弱性(CVE-2026-21852)では、攻撃者が API の接続先を変更することで API キーが流出するリスクがあることが明らかになりました。
プロキシパターンを採用していれば、エージェントが実際の API キーを保有しないため、このような攻撃への耐性を高めることが可能です。
Claude のセキュリティを継続的に維持するための運用管理
初期設定だけでセキュリティが長期間維持されるわけではありません。
安全に使い続けるには、継続的な運用管理の仕組みを構築することが重要です。
脆弱性対応と最新バージョンへのアップデート管理
Claude Code にはこれまでに複数の脆弱性が発見・修正されています。
CVE-2025-59536(CVSS スコア 8.7)は、プロジェクトの設定ファイルを悪用したコードインジェクションが成立する可能性がある深刻な脆弱性で、v1.0.111 で修正されました。
また CVE-2026-21852(CVSS スコア 5.3)は、設定ファイルで API 接続先を攻撃者のエンドポイントに変更することで API キーが流出する可能性のある脆弱性で、v2.0.65 で修正されました。
いずれも修正済みですが、これらの事例は、 AI ツールも一般的なソフトウェアと同様に脆弱性管理が必要であることを示しています。
企業での Claude 活用において重要なのは、常に最新のバージョンを使用することです。
特に Claude Code のようなローカル実行型のツールでは、ユーザーが自主的にアップデートを適用する運用になるため、組織としてバージョン管理のポリシーを定めることが有効です。
脆弱性情報の収集については、 Anthropic の公式セキュリティチャネルと CVE データベースを定期的に確認する体制を整えることが推奨されます。
脆弱性が公表された際に迅速に対応できるよう、影響範囲の確認→パッチ適用→動作確認→記録という対応フローを事前に定めておくことが重要です。
Anthropic はセキュリティ脆弱性の報告を HackerOne プログラムで受け付けており、責任ある情報開示のプロセスが整備されています。
脆弱性が発見された場合、修正版のリリースまでの情報管理が適切に行なわれており、緊急の場合は速やかに修正版が提供されます。
Amazon Bedrock 経由で Claude を利用している場合は、 AWS が API 側のアップデートを管理するため、クライアント側のアップデート負荷を軽減できます。
ただし、ガードレールの設定や IAM ポリシーなど、企業側で管理する部分については定期的な見直しを行うことが推奨されます。
セキュリティ監視・監査ログと社内ガイドライン策定
Claude を業務に組み込んだ後も、継続的なセキュリティ監視と定期的な見直しが推奨されます。
ここでは、監視の仕組みづくりと社内ガイドラインの策定について解説します。
セキュリティ監視については、 AWS CloudTrail で Amazon Bedrock への API 呼び出しを記録することが基本です。
誰がいつどのモデルを呼び出したか、どのような入力をしたかという操作ログが記録されるため、異常な利用パターンの検知やインシデント発生時の調査に活用できます。
Amazon CloudWatch と組み合わせることで、異常な呼び出し頻度や想定外の利用パターンを自動的にアラートする仕組みを構築できます。
Claude Code チームでの利用においては、 OpenTelemetry を通じた使用状況のモニタリングが可能です。
チームメンバーの利用状況を把握し、異常な操作や意図しない権限昇格がないかを継続的に監視することが推奨されます。
CSPM (Cloud Security Posture Management)ツールを活用すると、クラウド環境のセキュリティ設定の変更をニア・リアルタイムで監視できます。
設定変更が発生するたびにコンプライアンス基準との照合が実行され、問題のある変更があれば即座にアラートが発報されます。
定期的なスキャンでは発見が遅れてしまう設定変更による不備箇所を、リアルタイムで把握できるようになります。
社内ガイドラインの策定については、 Claude を全社で利用する場合と特定部門で利用する場合とで必要なルールの範囲が変わります。
共通して定めるべき基本事項は以下の通りです。
まず、入力禁止情報を定義します。
個人情報・機密情報・未公開情報など、 Claude に入力してはいけない情報の種類を明確に定めます。
Claude のデータ保護ポリシーの内容にかかわらず、企業として扱うべき情報の管理方針として必要な取り組みです。
次に、利用目的とシステムを分類します。
一般的な業務効率化目的での利用と、顧客情報を含むシステムへの組み込みとでは、必要なセキュリティ対策のレベルが異なります。
用途ごとに適用するセキュリティ要件を整理しておくことが推奨されます。
レビュー体制も整備することが重要です。
Claude が生成したコンテンツや実行を提案するコマンドに対して、人間が最終確認する体制を維持します。
特に外部公開するコンテンツや本番環境のシステムに影響する操作については、必ず担当者のレビューを介するフローを設計します。
アクセス権限の管理についても定義が必要です。
Claude を利用できる従業員の範囲と、各従業員が利用できる機能の範囲を定義します。
アクセス制御を設計することが推奨されます。
社内ガイドラインは、一度策定したら終わりではありません。
Claude の機能アップデートや新たな脆弱性の発見、社内の利用状況の変化に応じて、定期的に見直しを行う体制を整えることが重要です。
最後に
Claude のセキュリティは、一つの機能や設定で完結するものではありません。
パーミッションアーキテクチャやプロンプトインジェクション対策といった組み込み機能を土台に、 Amazon Bedrock 経由のデータ保護・ガードレールによるコンテンツ制御・ IAM とネットワーク制御・継続的な監視と脆弱性管理を組み合わせることで、企業に必要なセキュリティ水準を確保できます。
大切なのは、導入前に自社のリスクと必要な保護レベルを整理することです。
すべての機能を一度に適用するのではなく、業務の内容・データの機密性・法令や社内規程の要件に合わせて、適切な設計を選ぶことが求められます。
cloudpack では、 Amazon Bedrock を活用した Claude の安全な企業導入から、ガードレール・ IAM ・ネットワーク設計を組み合わせたセキュリティアーキテクチャの構築まで、豊富な AWS 導入支援実績をもとにサポートしています。
「社内でどこから手をつければよいかわからない」という段階から、具体的な設計・構築・運用まで一貫して対応できますので、お気軽にご相談ください。