Blank white background with no objects or features visible.

TrueFoundryはSeldon AIの買収を発表し、エンタープライズAI向けコントロールプレーンを拡張します。プレスリリース全文はこちら→

Claude Coworkのセキュリティリスク:安全なデプロイのためのエンタープライズガイド

By サハジミート・カウル

Published: July 4, 2026

はじめに

2026年1月のClaude Coworkリリースから48時間以内に、PromptArmorのセキュリティ研究者たちは完全な攻撃チェーンを実証しました。 どんな人間にも見えない1ポイントの白いテキストを含むMicrosoft Word文書には、隠されたプロンプトインジェクション命令が含まれており、それが原因でCoworkは、ユーザーの財務書類(一部の社会保障番号を含むファイルも含む)を、攻撃者が管理するAnthropicアカウントにアップロードしました。エクスプロイトもマルウェアも不要で、ファイルを開く以外のユーザー操作は一切必要ありませんでした。

これは特殊なケースではありませんでした。ワークステーションAIエージェントの根本的なセキュリティモデルのデモンストレーションだったのです。 Coworkは、通常の操作の一環として信頼できないコンテンツを処理し、そのコンテンツがCoworkに行動を指示できるのです。

Claude CoworkはAnthropicのデスクトップAIエージェントであり、現在研究プレビュー段階です。従業員のPC上で動作し、ローカルファイル、ユーザーのクッキーで認証されたブラウザセッション、シェル実行、MCPサーバー接続、およびネイティブエンタープライズコネクタにアクセスできます。無人でのスケジュールタスクを実行でき、上位ティアではComputer Useを介してデスクトップを制御できます。 これは、追加機能付きのチャットボットではありません。相応に広範な攻撃対象領域を持つ、完全に機能するローカルエージェントです。

Coworkを評価するセキュリティチームは、常に同じギャップに直面しています。 Coworkのアクティビティは、エンタープライズを含むすべてのプランティアで、Anthropicの監査ログ、コンプライアンスAPI、およびデータエクスポートから明示的に除外されています。 組織が他のすべてのSaaSツールで依拠しているコンプライアンスツールには、従業員のPCで動作するAIエージェントに対する、文書化された盲点があります。

このガイドでは、Claude Coworkのあらゆる重要なセキュリティリスク、すなわち攻撃対象領域、ガバナンスのギャップ、そして組織全体でCoworkを有効にする前にプラットフォームチームとセキュリティチームが何を導入する必要があるかについて説明します。また、 TrueFoundryのAIゲートウェイMCPゲートウェイ が、Anthropicのネイティブツールが残しているコントロールプレーンのギャップを埋める方法についても説明します。

Claude Coworkの実態(そしてそれがセキュリティモデルをどう変えるか)

ほとんどのセキュリティチームは、Coworkを強化されたチャットボットであるかのように評価しています。 正しいメンタルモデルは、各従業員のPC上で動作し、以下の機能を備えたローカルエージェントプロセスです。

  • 任意コード実行 サンドボックス環境内での実行 — 特定の承認されたタスクに対してサンドボックスエスケープを要求する機能付き
  • ローカルファイルの読み書き 設定されたマウントポイント内 — 明示的に除外されていない限り、機密性の高いディレクトリも含む
  • ユーザーの認証済みセッションクッキーを使用したウェブブラウジング — 独自の隔離されたセッションではなく、Claudeはユーザーが認証されているすべてのサイトでログイン済みIDを継承します
  • AnthropicのDispatch機能によるスケジュールされたタスク — ユーザーがマシンから離れている間も実行を継続するタスク
  • MCPサーバー接続 — ユーザーがアクセスできるデータベース、内部API、SaaSツールへの接続
  • ネイティブコネクタ — Slack、Google Workspace、Microsoft 365(認証済みユーザーアカウントの権限で)
  • Pro/Maxティアでのコンピューター利用 — サンドボックス外でのデスクトップに対するマウスとキーボードの完全な制御

脅威モデルはチャットボットとは根本的に異なります。 Claude.aiに対するプロンプトインジェクションが成功すると、会話のコンテキストが漏洩します。Coworkに対するインジェクションが成功すると、適切な設定がなされていない場合、ローカルファイルの持ち出し、シェルコマンドの実行、ユーザーとしてのメッセージ送信、永続的なスケジュールタスクの作成、ユーザーが認証されているすべてのサービスとのやり取りが可能になり、これらはすべて明示的な許可ダイアログを一度も表示することなく行われます。

6つの攻撃対象領域

1. ファイルおよびウェブコンテンツを介した間接的なプロンプトインジェクション

プロンプトインジェクションは、Coworkに対する最も深刻度が高く、発生可能性も高い攻撃ベクトルです。 攻撃パターンは一貫しています。ユーザーがCoworkに正当なタスクの実行を依頼します。そのタスク中に、Coworkは信頼できないコンテンツ(ウェブページ、ドキュメント、メール、APIレスポンスなど)を読み込みます。そのコンテンツには、エージェントを標的とした埋め込み命令が含まれています。Coworkは、ユーザーが確認ダイアログを見ることなく、それらの命令を実行する可能性があります。

インジェクションの攻撃経路:

  • 不可視テキスト、白地に白のコンテンツ、またはフォントサイズ1の文字を含むOffice文書(Word、Excel、PDF)
  • ウェブページで <span style="display:none"> または非表示の <div> 指示を含む要素
  • 要約ワークフローにおけるメール本文および添付ファイル
  • CoworkがMCPツールを介してクエリする外部サービスからのAPIレスポンス
  • SQLクエリによって返されるデータベースレコード、特に分析またはレポート作成ワークフローにおけるもの

PromptArmorのデモンストレーション(2026年1月) が示した完全な連鎖:不可視のインジェクションテキストを含むWord文書 → Coworkが財務文書の検索を指示される → Coworkが、インジェクションに埋め込まれた攻撃者のAPIキーを使用して、発見した文書を攻撃者のAnthropicアカウントにアップロードする。 文書を開くこと以外に、ユーザーの操作は一切不要です。

2. 監査のギャップ:Coworkはコンプライアンスツールから認識されない

これは、企業チームにとって運用上最も重要なClaude Coworkのセキュリティリスクです。 2026年半ばの時点で、CoworkのアクティビティはAnthropicの3つのコンプライアンスメカニズムすべてから明示的に除外されています。

Compliance MechanismCovers Claude.aiCovers Claude CodeCovers Claude Cowork
Audit Logs✅ YesPartial❌ No
Compliance API✅ YesPartial❌ No
Data Exports✅ YesPartial❌ No

これは、ユーザーのCoworkセッションがどのファイルにアクセスしたかを示すコンプライアンスレポートを取得できないことを意味します。Anthropicのネイティブツールを介してCoworkの会話を流れるデータに対してDLPアラートを設定できません。Anthropicのインフラストラクチャのみを使用して、特定の時間に特定のマシンでClaudeが何をしたかを監査人に正確に実証することもできません。

唯一のネイティブな可観測性チャネルは OpenTelemetryエクスポート しかし、デフォルトでは、プロンプト、MCPサーバー名、ツール名、スキル名はそれらのログから除外されます。詳細ログは明示的に有効にする必要がありますが、その場合でも、カバレッジはイベントレベルのメタデータであり、完全な会話のリプレイではありません。

会話履歴はユーザーのデバイスにローカルに保存されます。 エンドポイントセキュリティの体制(フルディスク暗号化、EDR、パッチ管理)が、Coworkセッションの保存データ保護層となります。お使いのフリートでFileVault (macOS) またはBitLocker (Windows) が強制されていない場合、Coworkの会話データはディスク上に暗号化されずに保存されます。

3. ブラウザエージェントのリスク: 認証済みセッションの継承

Claude Coworkのブラウザは隔離されたセッションを使用しません。 Coworkがウェブを閲覧する際、ユーザーの認証済みセッションクッキーを使用します。これは、ClaudeがGoogle Workspace、Salesforce、社内ツール、銀行ポータルなど、ユーザーがデフォルトのブラウザプロファイルで認証されているすべてのサイトで、ログイン済みのIDを継承することを意味します。

リスクは、以下の事実によってさらに高まります。 ウェブコンテンツを介したプロンプトインジェクションは、文書化され、再現可能な攻撃です。。Coworkが調査または要約タスク中に取得するすべてのウェブページは、インジェクションの対象となります。悪意のあるページは、Claudeに以下の指示を出すことができます。

  • 認証済みの社内システムに移動し、データを外部に持ち出す
  • フォームを送信する、またはユーザーとして取引を開始する
  • 接続されたサービスからブラウザにキャッシュされた認証情報を読み取る
  • 認証済みのウェブメールセッションを介して、ユーザーとしてメッセージやメールを送信する

ウェブ検索を無効にし、ブラウザのナビゲーションを承認済みドメインの許可リストに制限すること が主要な緩和策です。ウェブアクセスが必要なチームの場合、管理コンソールで明示的な送信許可リストを設定し、CASB/DLPの可視性のために、Coworkのブラウザトラフィックを既存のプロキシ経由でルーティングしてください。

4. スケジュールされたタスクおよびディスパッチ機能

スケジュールされたタスク(ディスパッチ)は、ほとんどのセキュリティチームが見過ごしがちな永続化のベクトルとなります。 デスクトップアプリが開いている間、スケジュールされたタスクは無人で実行されます。ユーザーがマシンを離れている間も同様です。スケジュールされたタスクの作成に成功したプロンプトインジェクションは、一度実行されるだけではありません。ユーザーが不在の間も、スケジュールに従って繰り返し実行される可能性があります。

攻撃チェーンは次のようになります。ユーザーがCoworkに一連のドキュメント処理を依頼する → 1つのドキュメントにインジェクション命令が含まれている → インジェクションが毎晩実行されるディスパッチタスクを作成する → タスクが機密ファイルを読み取り、外部の宛先に送信する → この状態は、タスクが手動で発見され削除されるまで続きます。

スケジュールされたタスクの作成を、高優先度のセキュリティイベントとして監視すること は不可欠です。新しいディスパッチタスクが作成された場合は、アラートとレビューをトリガーする必要があります。組織は、Coworkのセキュリティ評価中に既存のスケジュールされたタスクも監査する必要があります。それらは以前のインジェクション試行によって作成された可能性があります。

5. MCPサーバー、プラグイン、およびサプライチェーンリスク

CoworkがアクセスできるあらゆるMCPサーバー、プラグイン、ネイティブコネクタは プロンプトインジェクションが成功した場合、その影響範囲を比例的に拡大させます。読み取り専用のドキュメントMCPサーバーにアクセスできるエージェントの場合、データ流出の攻撃対象領域は限定的です。しかし、Slackコネクタ、GitHub MCPサーバー、データベースコネクタ、Google Workspaceにアクセスできるエージェントは、組織の鍵を握っていることになります。

ネイティブコネクタ(Slack、Google Workspace、M365)は、接続されたサービスにおけるユーザーの完全な権限を継承します。 Claudeがインジェクションによって侵害された場合、ユーザーとしてメッセージを送信できるコネクタはデータ流出経路となります。 管理者レベルのSlackコネクタは、Claudeが任意のチャンネルに投稿したり、誰にでもDMを送ったり、ユーザーがアクセスできるあらゆる会話を読み取ったりできることを意味します。

6. コンピューター利用:権限チェックなし

ProおよびMaxティアでは、Coworkの コンピューター利用機能により、Claudeはデスクトップを直接制御できます - クリック、入力、ナビゲート、サンドボックス外のアプリケーションとの完全なやり取りなどです。コンピューター利用は、他のCoworkツール呼び出しをゲートするのと同じ権限チェックフレームワークを通過しません。

これは、コンピューター利用に到達するプロンプトインジェクションが、MCPやコネクタを介して接続されていないものも含め、あらゆるデスクトップアプリケーション(ローカルのパスワードマネージャー、VPNクライアント、SSHターミナル、ローカルデータベースツール、またはユーザーが開いているあらゆるアプリケーションなど)とやり取りできることを意味します。 エンタープライズ環境では、アプリケーションごとの許可リスト機能が利用可能になるまで、コンピューター利用は完全に無効化されるべきです。

プランティアのセキュリティ比較:エンタープライズが唯一の実行可能な選択肢

Security ControlEnterpriseTeamPro / Max
SSO Enforcement✅ Yes❌ No❌ No
SCIM Provisioning✅ Yes❌ No❌ No
Custom RBAC Roles✅ 6 capabilities❌ No❌ No
Chrome Off by Default✅ Yes⚠️ On by default⚠️ On by default
Tenant Restrictions✅ Yes❌ No❌ No
Group-Based Policies✅ Yes❌ No❌ No
Connector Controls✅ Org-wide toggles⚠️ Limited❌ None
Managed Settings (MDM)✅ Supported⚠️ Partial❌ No
OpenTelemetry Export✅ Configurable❌ No❌ No
Audit Log Coverage for Cowork❌ Not covered (all tiers)❌ Not covered❌ Not covered

エンタープライズは、合理的なセキュリティの出発点を提供する唯一のティアです。 Teamは基本的な管理者コントロールを提供しますが、Chromeがオン、コネクタが完全に開いているなど、即座の修正が必要な許容的なデフォルト設定で出荷されます。ProおよびMaxティアには、実質的に組織的なセキュリティコントロールがありません。 従業員が業務タスクに個人のClaude Proサブスクリプションを使用している場合、ガバナンスが全く効きません。

なぜ企業はAIコントロールプレーンを導入するのか

Claude Coworkのセキュリティ確保における課題は、Anthropicに固有のものではありません。組織がAIコーディングアシスタント、AIエージェント、MCP接続ツール、複数のモデルプロバイダーを採用するにつれて、ガバナンスは断片化します。各プラットフォームは、独自の権限モデル、ロギングフレームワーク、コネクタエコシステム、セキュリティコントロールを公開しています。

セキュリティチームはすぐに、Claude Cowork、Claude Code、Cursor、社内AIエージェント、OpenAI搭載アプリケーション、MCPサーバーに対して個別のポリシーを管理することになります。個々の製品が強力なネイティブコントロールを提供している場合でも、組織はAIスタック全体で一貫したガバナンスを強制するための一元化されたレイヤーを依然として欠いています。

そのため、多くの企業がユーザー、モデル、ツールの間にAIコントロールプレーンを導入しています。

一元化されたAIコントロールプレーンは以下を提供します:

  • Claude、OpenAI、Gemini、その他のプロバイダー全体でのモデルの一元的なガバナンス
  • AIアプリケーションおよびエージェントに対する一貫したアクセス制御ポリシー
  • 一元化された可観測性および監査ログ
  • 予算管理、レート制限、およびコスト配分
  • MCPサーバー、コネクタ、エンタープライズ統合向けのツールのガバナンス
  • 個々のベンダーの実装に依存しないポリシーの適用

Claude Coworkのようなワークステーションエージェントの場合、ガバナンスはアプリケーション自体を超えて、アクセスするモデル、呼び出すツール、到達可能なデータにまで及ぶ必要があるため、このレイヤーは特に重要になります。各AI製品内の個別の制御に依存するのではなく、組織はAIエコシステム全体にわたって、単一のセキュリティ、コンプライアンス、および運用ポリシーを適用できます。

TrueFoundryがAnthropicのネイティブコントロールが残したギャップを埋める理由

TrueFoundry AI Gateway architecture diagram showing the gateway as a proxy between applications and multiple LLM providers

AnthropicのネイティブなCoworkコントロールは、ユーザーが管理コンソールで設定できる内容を管理します。それらはモデル呼び出しレイヤー、MCPツール呼び出しレイヤーを管理せず、Coworkの監査ギャップによって生じる一元的な可観測性も提供しません。

TrueFoundryのAIゲートウェイ Coworkとモデルプロバイダーの間に位置し、プラットフォームチームにリクエストレベルでの制御を提供します:

  • すべてのCoworkセッションからのすべてのLLM呼び出しは、ユーザー属性、モデル選択、トークン数、コストとともにログに記録され、Coworkの監査除外によって生じる可観測性のギャップを埋めます。
  • 予算上限とレート制限 長時間のエージェント実行中に個々のCoworkセッションが無制限のトークン容量を消費するのを防ぎます
  • モデルアクセス制御 Coworkセッションが承認されたモデルのみにアクセスすることを保証し、未承認の高コストまたは高性能モデルをブロックします
  • リクエストレベルのガードレール Coworkのアプリケーション層設定が許可する内容とは無関係に、インフラストラクチャレベルでコンテンツフィルタリングとPII検出を適用します

TrueFoundryのMCPゲートウェイ Coworkが行うすべてのツール呼び出しを制御します。

  • 一元化されたMCPサーバーレジストリ - 承認されたサーバーのみがゲートウェイ経由でアクセス可能です。ユーザーがローカルで何を構成しても、Coworkセッションは未承認のMCPエンドポイントにアクセスできません。
  • ロールベースのツールアクセス - 異なるチームが異なるツールサブセットにアクセスします。たとえMCPサーバーが技術的に提供していても、財務アナリストのCoworkセッションはデータベース書き込みツールを呼び出すことはできません。
  • 実行前の安全策 - ツール呼び出しは実行前にチェックされます。インジェクションによってトリガーされるアクションのように見える指示(例:大量ファイル読み取り後のAPI書き込み)は、フラグ付けまたはブロックできます。
  • 完全なツール呼び出し監査証跡 - すべてのMCP呼び出しは、ユーザーID、ツール名、リクエストペイロード、レスポンス、レイテンシとともにログに記録されます。OpenTelemetry経由でSIEMにエクスポートされます。

これらを合わせることで、Anthropicのネイティブツールでは対応していない3つの重要なギャップを埋めます。 リクエストレベルの可観測性、MCPガバナンス、およびすべてのCoworkセッションにわたる一元的なポリシー適用です。

TrueFoundryはどのClaude製品を管理できますか?

Capability Claude Web Claude Desktop / Cowork Claude Code
(CLI / VS Code)
Claude Code Max
Proxy & Govern Models
Proxy & Govern MCP Servers
Centralized Authentication
RBAC & Access Policies
Usage Logs & Audit Trails
MDM Deployment

参照してください TrueFoundryのClaude向けエンタープライズセキュリティ および MCPゲートウェイのドキュメント でアーキテクチャの詳細をご確認ください。

Coworkの強化:コントロールごとの詳細

ID管理:SSO、SCIM、テナント制限

どのユーザーに対してもCoworkを有効にする前に、ID管理を設定してください。 これらは、他のすべての機能の基盤となります。

  • SSOの強制 (SAML 2.0またはOIDC) をClaude管理コンソール経由で設定します。すべてのCoworkユーザーは、お客様のIdPを通じて認証され、MFAは自動的に継承されます。
  • SCIMプロビジョニングを設定する これにより、プロビジョニング解除が自動的に行われます。退職した従業員は、IdPアカウントがプロビジョニング解除されると、手動での介入なしにCoworkへのアクセスを失います。
  • テナント制限を展開する ネットワーク層で、 anthropic-allowed-org-ids HTTPヘッダーをプロキシまたはファイアウォールに挿入します。これにより、管理対象デバイスのユーザーが個人のClaudeアカウントに認証し、ガバナンス制御を完全に回避することを防ぎます。
  • ドメインキャプチャを有効にする これにより、ユーザーが個人アカウントを作成しようとした場合でも、企業のメールアドレスは常にエンタープライズワークスペースにルーティングされます。

管理設定:展開前にロック

managed-settings.json MDM経由で展開される 管理対象デバイス上のCoworkに対する主要な強制メカニズムです。システムレベルパスの設定は、ユーザーによって上書きすることはできません。パイロットグループに対してCoworkを有効にする前に、これを展開してください。

{
  "permissions": {
    "disableBypassPermissionsMode": "disable",
    "deny": [
      "Bash(curl:*)",
      "Bash(wget:*)",
      "Read(**/.env)",
      "Read(**/.ssh/**)",
      "Read(**/credentials/**)",
      "Read(**/.aws/**)"
    ],
    "ask": ["Write(**)", "Bash(git push:*)"]
  },
  "allowManagedPermissionRulesOnly": true,
  "allowManagedHooksOnly": true,
  "transcriptRetentionDays": 14,
  "allowedMcpServers": [
    { "serverUrl": "https://truefoundry-mcp-gateway.your-company.com/*" }
  ],
  "strictKnownMarketplaces": []
}

ウェブブラウジングとネットワークエグレス

ウェブ検索とブラウジングは、Coworkにとって主要なプロンプトインジェクションのベクトルとなります。 エージェントが取得するすべてのページはインジェクションの攻撃面となります。これらの制御は管理コンソールで設定してください。

  • ウェブ検索を無効化する 必要としないユーザーに対して。これはインジェクションのリスクを減らす上で最も効果的な対策です。
  • 送信許可リストを設定する ウェブアクセスが必要なチーム向けに。必要な最小限のドメインセットから始め、要求に応じて拡張してください。
  • Coworkのトラフィックを既存のプロキシ経由でルーティングしてください。 これにより、エージェントの意思決定を検査できない場合でも、CASB/DLPはClaudeがどのドメインにアクセスしているかを把握できます。
  • マウントポイントを制限する Coworkがローカルファイルシステム上でアクセスできる。除外する ~/.ssh, ~/.aws、認証情報ストア、および機密情報を含むすべてのディレクトリ。

コネクタとMCPガバナンス

すべてのコネクタに最小限の必要な範囲を適用してください。 デフォルトのコネクタ設定は、特定のユースケースが必要とするよりも広範な権限を要求することがよくあります。

Connector / IntegrationDefault RiskRecommended Posture
SlackCan send messages as user to any channel, read DMs, access all workspace dataRead-only by default; write access on explicit per-team approval
Google WorkspaceCan read/write Drive files, send Gmail as user, access Calendar and MeetRead-only Drive and Calendar; Gmail compose disabled until reviewed
Microsoft 365Can read/write SharePoint, send Outlook email as user, access TeamsRead-only SharePoint; email and Teams write disabled by default
GitHub MCPCan push commits, create PRs, manage issues, access all repos the user can reachRead-only for most users; write access scoped to specific repos only
Database MCPCan execute arbitrary SQL with the connected user's DB permissionsRead-only role; write operations require explicit user confirmation via guardrail

すべてのMCPサーバーアクセスを TrueFoundry MCP Gateway. これにより、Coworkのネイティブ制御が捕捉するものとは独立して、チームはツールレベルでのロールベースのアクセス制御、実行前のガードレール、およびすべてのツール呼び出しの完全な監査証跡を得ることができます。

定期タスク (ディスパッチ)

  • 定期タスクの作成は、優先度の高いセキュリティシグナルとして扱ってください。 新しいディスパッチタスクはすべてアラートを発し、レビューを必要とすべきです。
  • 既存の定期タスクを監査する Coworkのセキュリティ評価中に既存の定期タスクを監査してください。以前のインジェクション試行により、永続的なタスクが残されている可能性があります。
  • ディスパッチをデフォルトで無効にする そして、文書化されたユースケースとタスク作成のレビュープロセスを持つチームに対してのみ有効にしてください。
  • タスクの実行パターンを監視する。 長時間実行される、または予期せず頻繁なディスパッチタスクは、注入された命令が繰り返し実行されていることを示している可能性があります。

監視: Anthropicが提供しない検出レイヤーを構築する

Coworkの監査ギャップを考慮すると、 組織は独自の検出レイヤーを構築する必要があります。 Graviteeの「AIエージェントセキュリティの現状2026」レポートによると、デプロイされたエージェントのうち積極的に監視されているのはわずか47.1%でした。ネイティブ監査カバレッジがゼロであるCoworkにとって、これは許容できる状態ではありません。

OpenTelemetry経由で何を監視するか

詳細なOpenTelemetryロギングを有効にし、初日からSIEMにルーティングしてください。

Event TypeWhy It MattersAlert Threshold
Scheduled task creationInjection persistence vector — tasks run unattended and repeatAlways alert
MCP server connections to non-allowlisted domainsInjection reaching unapproved tool endpointsAlways alert
Connector write actions (sends, deletes, posts)Data modification and exfiltration via authenticated sessionsAlert on unusual frequency or off-hours activity
File reads from sensitive directoriesCredential or secret access outside expected patternsAlways alert
Anomalous session durationLong unattended Dispatch tasks executing injected workloadsAlert on sessions >2hrs with no user interaction
Bypass permissions activationRemoves human-in-the-loop safeguards entirelyAlways alert

TrueFoundry AI Gateway この監視のモデル呼び出しレイヤーを提供します。すべてのCoworkセッションからのすべてのLLMリクエストを完全なアトリビューション付きで、任意のOTEL互換SIEMにエクスポート可能です。 TrueFoundry MCP Gateway ツール呼び出しレイヤーを提供します。ユーザーID、ペイロード、応答とともにログに記録されたすべてのMCP呼び出しが含まれます。これらを合わせることで、Coworkのネイティブ監査除外によりAnthropicのツールだけでは構築が不可能なオブザーバビリティの基盤を提供します。

参照 TrueFoundry OpenTelemetryエクスポートドキュメント SIEM連携設定向け。

セキュアなClaude Coworkデプロイメントのためのリファレンスアーキテクチャ

企業環境でClaude Coworkをデプロイする最も効果的な方法は、スタンドアロンのデスクトップアプリケーションとしてではなく、より広範なAIインフラストラクチャスタックの一部として扱うことです。セキュリティ、ガバナンス、および可観測性の制御は、Cowork自体とは独立して存在し、AIアシスタント、エージェント、および将来のAIワークロード全体でポリシーの一貫性が保たれるようにする必要があります。

Employees 
Claude Cowork 
TrueFoundry AI Gateway 
Policy Enforcement Layer 
Approved Model Providers (Claude, OpenAI, Gemini, etc.) Claude Cowork 
TrueFoundry MCP Gateway 
Approved MCP Servers 
Enterprise Systems (Slack, GitHub, Databases, Google Workspace) 
   ↘ OpenTelemetry 
SIEM

モデルガバナンスレイヤー

TrueFoundry AI Gatewayは、Coworkとモデルプロバイダーの間に位置し、すべてのモデルインタラクションに対する一元的な制御ポイントを確立します。

これにより、組織は次のことが可能になります。

  • ユーザー属性を付与してすべてのモデルリクエストをログに記録する
  • トークンの消費量とコストを追跡する
  • モデルアクセスポリシーを適用する
  • レート制限と予算管理を適用する
  • リクエストレベルのガードレールを実装する
  • すべてのCoworkセッション全体で可視性を維持する

ベンダー固有の制御のみに依存するのではなく、プラットフォームチームはすべてのAIアプリケーションとアシスタント全体で一貫したガバナンスレイヤーを獲得できます。

MCPガバナンスレイヤー

TrueFoundry MCP Gatewayは、Coworkがアクセスできるツールとシステムに対する一元的な制御を提供します。

これにより、セキュリティチームは次のことが可能になります。

  • 承認されたMCPサーバーレジストリを維持する
  • ロール別に特定のツールへのアクセスを制限する
  • 未承認のMCPエンドポイントをブロックする
  • ツール呼び出しのすべてを監査
  • 実行前にポリシーチェックを適用
  • プロンプトインジェクション攻撃の影響範囲を軽減

MCPサーバーは機密性の高いエンタープライズシステムへのアクセスを提供することが多いため、ツールアクセスの管理はモデルアクセスの管理と同じくらい重要です。

エンタープライズ可観測性

ネイティブのCoworkコントロールでは、エージェントのアクティビティに対する可視性が限られています。TrueFoundryを介してトラフィックをルーティングすることで、組織はモデル呼び出し、MCPインタラクション、ポリシー決定全体にわたる一元化された可観測性を獲得できます。

このテレメトリは、OpenTelemetryを介して既存のSIEMプラットフォームにエクスポートでき、以下を可能にします。

  • セキュリティ監視
  • インシデント調査
  • コンプライアンス報告
  • コスト配分
  • 運用分析

統合AIガバナンス

ほとんどの組織は最終的に複数のAIアシスタントを導入します。Claude Coworkは、Claude Code、Cursor、Windsurf、社内AIエージェント、カスタムAIアプリケーションと並行して存在することがよくあります。

一元化されたAIコントロールプレーンは、それらすべてにおいてガバナンスポリシーの一貫性を保証します。すべてのAI製品に個別の制御を実装する代わりに、組織はTrueFoundryのAI GatewayとMCP Gatewayを通じて、セキュリティ、コンプライアンス、運用ポリシーの単一セットを適用できます。

このアプローチにより、Claude Coworkはスタンドアロンのデスクトップエージェントから、組織のより広範なAIプラットフォームの管理されたコンポーネントへと変革されます。

結論

Claude Coworkは、セキュリティチームがこれまで評価してきたSaaSツールとは異なる種類のエンタープライズソフトウェアリスクです。 これは、ローカルファイルアクセス、ブラウザセッションの継承、シェル実行、およびエンタープライズシステムへの接続を備え、従業員のマシン上で動作するAIエージェントです。そして、そのアクティビティは、他のすべてに依存しているコンプライアンスツールから明示的に除外されています。

リスクは現実のものであり、文書化されています。リリースから48時間以内に実証された動作するファイル持ち出しチェーン、2つの公開されたCVE、そして数千の日常セッション全体で統計的確実性にまで拡大する1%のインジェクション成功率が挙げられます。 だからといって、Coworkを企業環境に安全に導入できないわけではありません。 それは、デフォルト設定では提供されない明示的な制御が導入に必要であることを意味します。

本ガイドで説明されている6つの攻撃対象領域には、それぞれ具体的な緩和策があります。 Coworkを安全に導入している組織は、最初からそれをエージェントインフラとして扱っています — ネットワーク上の他の特権システムに適用するのと同じ厳格さで、ID、エンドポイント制御、ネットワークガバナンス、および可観測性に適用しています。

TrueFoundryのAI GatewayとMCP Gatewayは、Anthropicのネイティブツールが残している制御のギャップを埋める、一元的な強制および可観測性レイヤーを提供します。本ガイドで概説されているMDM、SSO、およびネットワーク制御と組み合わせることで、今日の脅威の状況だけでなく、将来のリリースで提供される拡張されたエージェント機能にも対応できる、防御可能なCoworkの態勢を企業セキュリティチームにもたらします。

よくある質問

企業にとって最大のClaude Coworkのセキュリティリスクは何ですか?ファイルやウェブコンテンツを介したプロンプトインジェクションが主な脅威ですか?

Coworkは通常の運用の一部として信頼できないコンテンツを処理するため、ドキュメント、ウェブページ、API応答、データベースレコードなど、これらのソースのいずれも、Coworkが実行する埋め込み命令を運ぶ可能性があります。Coworkはファイルアクセス、シェル実行、認証済みブラウザセッション、およびエンタープライズシステムへのコネクタアクセスを持つため、その影響範囲は広いです。二次的なリスクは監査ギャップです。Coworkのアクティビティは、Anthropicのコンプライアンスツールによってどのプラン層でも捕捉されないため、組織は独自の可観測性レイヤーを独自に構築する必要があります。

Claude Coworkは規制対象業界で安全に使用できますか?

Coworkは、明示的な追加制御なしには規制対象のワークロードに使用すべきではありません。 Anthropic自身のドキュメントには、監査ログ、コンプライアンスAPI、データエクスポートが現在Coworkのアクティビティを捕捉しないため、Coworkを規制対象のユースケースに使用すべきではないと記載されています。HIPAA、GDPR、SOC 2、または金融規制の状況にある組織にとって、この監査除外は、リクエストレベルのロギングのためにすべてのトラフィックをTrueFoundryのAI Gateway経由でルーティングしたり、ツール呼び出しの監査のためにMCP Gatewayを使用したりするような補完的なツールなしには、Coworkが標準的なコンプライアンス要件を満たせないことを意味します。

セキュリティの観点から、Claude CoworkとClaude Codeの違いは何ですか?

どちらもファイルアクセス、シェル実行、MCP接続を備えたエージェントツールです。主な違いは次のとおりです。Coworkは、ユーザーの認証済みCookieを使用したブラウザ自動化(重要な追加の攻撃対象領域)、エンタープライズSaaSツール(Slack、Google Workspace、M365)へのネイティブコネクタ、およびDispatchを介したスケジュールタスク実行を追加します。また、Coworkはデスクトップ環境との統合がより緊密です。 どちらもCowork固有のアクティビティに関して同じ監査ギャップがあります。 Claude Codeのターミナルに焦点を当てた操作は、セキュリティチームにより予測可能なツールアクセスパターンを提供します。一方、Coworkのより広範な表面は、より幅広い制御セットを必要とします。

Claude Coworkでのプロンプトインジェクション攻撃を防ぐにはどうすればよいですか?

単一の対策でプロンプトインジェクションのリスクを完全に排除することはできません。Anthropic自身のデータによると、緩和策を講じても約1%の成功率が示されています。多層防御のアプローチとしては、不要なユーザーに対してはウェブ検索を無効にし(最大のインジェクション面を排除)、認証情報の読み取りをブロックするファイルシステム拒否ルールを設定し、インジェクションパターンを持つツール呼び出しを検出する実行前ガードレールを備えたTrueFoundry MCP Gatewayを介してMCPトラフィックをルーティングし、インジェクションの永続化の早期指標としてDispatchタスクの作成を監視します。詳細は TrueFoundryのプロンプトインジェクションガイド で完全な制御スタックをご覧ください。

TrueFoundryはClaude Coworkのセキュリティ強化にどのように役立ちますか?

TrueFoundryは、Anthropicのネイティブコントロールが残す2つのギャップに対処します。その AI Gateway は、すべてのCoworkセッションからのすべてのモデル呼び出しを、完全なユーザー帰属情報とともにログに記録し、Audit LogsおよびCompliance APIからCoworkが除外されることによって生じる可観測性のギャップを埋めます。その MCP Gateway は、Coworkが行うすべてのツール呼び出しを管理します。具体的には、どのMCPサーバーに到達可能かを強制し、ツールレベルでロールベースのアクセス制御を適用し、実行前ガードレールを実行し、ペイロードとともにすべての呼び出しをログに記録します。どちらのゲートウェイもOpenTelemetryを介して任意のSIEMにエクスポートされ、Anthropicのネイティブツールが提供しない検出機能をセキュリティチームに提供します。

The fastest way to build, govern and scale your AI

Sign Up
Table of Contents

One Gateway for Every LLM, Agent and MCP Server

Book a 30-min with our AI expert

Book a Demo

The fastest way to build, govern and scale your AI

Book Demo
Summarize with
ChatGPT logo by OpenAI
Perplexity AI logo
Blurry red snowflake on white background, symmetrical frosty design with soft edges and abstract shape.

Discover More

No items found.
OpenRouter vs AI Gateway
July 4, 2026
|
5 min read

OpenRouter 対 AIゲートウェイ:どちらがあなたに最適ですか?

comparison
July 4, 2026
|
5 min read

プロンプトエンジニアリング:LLMとの対話方法を学ぶ

Thought Leadership
LLMs & GenAI
July 4, 2026
|
5 min read

True ML Talks #12 - Llama-Index共同創設者

True ML Talks
July 4, 2026
|
5 min read

AIワークロードがクラウド料金を膨らませていませんか?

Thought Leadership
No items found.

Recent Blogs

Black left pointing arrow symbol on white background, directional indicator.
Black left pointing arrow symbol on white background, directional indicator.
Take a quick product tour
Start Product Tour
Product Tour