MCPトンネルとは何ですか？

Claude Managed Agentsが、パブリックインターネットを経由せずに企業のプライベートネットワーク内のMCPサーバーに接続するための仕組みです。エージェント側から1本だけアウトバウンド接続を張り、エンドツーエンドで暗号化されます。ファイアウォールの受信ルール変更やパブリックエンドポイントの公開は不要です（2026年5月時点リサーチプレビュー）。

セルフホストサンドボックスに対応しているプロバイダーは？

2026年5月時点の公式対応プロバイダーはCloudflare、Daytona、Modal、Vercelです。自社インフラへの直接デプロイも可能です。Cloudflareは5月19日のCode with Claude Londonと同日にAnthropicとの協業を発表しました。

オーケストレーションも自社インフラに移せますか？

移せません。コンテキスト管理・エラー回復・エージェントループのオーケストレーションはAnthropicのインフラで動き続けます。ツール実行と内部ネットワークへのアクセスのみが自社側に移ります。完全なオンプレミスデプロイは現時点では不可能です。

MCPトンネルはどのプランから使えますか？

Claude Managed AgentsとMessages APIから利用できます。ただし2026年5月現在はリサーチプレビュー段階で、アクセスには事前申請が必要です。セルフホストサンドボックスはパブリックベータとして全ユーザーに開放されています。

AI News 2026年5月20日 16分で読める

MCPトンネル&セルフホストサンドボックス — Claudeエージェントが社内インフラに対応【2026年5月】

#Claude #Anthropic #MCPトンネル #セルフホストサンドボックス #AIエージェント #エンタープライズ #Claude Managed Agents #MCP

「エージェントの精度は十分。でもインフラ構築に2ヶ月かかった」。Hacker Newsのある開発者が、Claude Managed Agents公開ベータのスレッドでそう書いた（HN #47693047、2026年4月）。

InfoQはこう分析する。「コンプライアンスチームが本番エージェントの最大のボトルネック。モデルではない。セルフホストサンドボックスとMCPトンネルは、セキュリティチームが6週間かけてクリアするサンドボックスの代わりに、エージェントを本当に社内インフラで動かせるレイヤーだ」（InfoQ, 2026年5月）。

2026年5月19日、ロンドンで開催されたCode with Claude Londonにおいて、Anthropicはその答えを出した。セルフホストサンドボックス（パブリックベータ）とMCPトンネル（リサーチプレビュー）の2機能だ（Anthropic公式ブログ、2026年5月19日）。

この記事はこんな人におすすめ

Claude Managed Agentsを社内データベースや社内APIに接続したいエンジニア
セキュリティ・コンプライアンス要件でAIエージェント導入が進まない企業のIT担当者
MCP（Model Context Protocol）を使ったエンタープライズ統合を検討中の開発者

なぜ企業はClaudeエージェントを本番に出せないのか

AIエージェントの能力そのものへの不満は少ない。問題は「どこで動かすか」だ。

従来のClaude Managed Agentsは、ツール実行（コード実行、ファイル操作、外部API呼び出し）がすべてAnthropicのサンドボックス上で行われていた。これがエンタープライズ展開の最大の壁になっていた。

理由は3つある。

①データ残留要件：金融・医療・法務などの規制業種では、機密データをサードパーティのインフラに渡せない。コードレビューエージェントがソースコードを「AnthropicのサーバーでBashを実行する」という構造は、情報セキュリティ部門に即座に却下される。

②ネットワーク分離：社内のデータベース、チケットシステム（Jira, ServiceNow）、社内APIはVPNや閉じたネットワーク内にある。外部からアクセスさせるためにパブリックエンドポイントを開けるのは、セキュリティポリシー違反になる。

③監査ログとランタイム制御：企業のSOCチームは、何がいつ実行されたかをすべてログに残せる環境を要求する。Anthropicのサンドボックスでは、そのログを自社のSIEMに統合できない。

The Decoder（2026年5月19日）はこう総括した。「コンプライアンスチームが本番エージェントの最大のボトルネックで、モデルの性能ではない。」

発表された2つの機能：概要

セルフホストサンドボックス（パブリックベータ）

ツール実行の場所を、Anthropicのサンドボックスから自社インフラまたは信頼できるプロバイダーに移す機能だ。

対応プロバイダーはCloudflare、Daytona、Modal、Vercelの4社。Cloudflareは同日、Anthropicとの協業を発表し、Claude Managed Agents向けのセキュアな環境を提供開始した。自社のベアメタルやVMへの直接デプロイも可能だ。

エージェントループ（オーケストレーション、コンテキスト管理、エラー回復）はAnthropicのインフラで動き続ける。移るのは「ツール実行」の部分だけだ。この分離が何を意味するかは後述の「限界」セクションで詳しく扱う。

MCPトンネル（リサーチプレビュー）

プライベートネットワーク内のMCPサーバーに、インターネット経由なしで接続する仕組みだ。企業が社内に用意したMCPサーバーを、パブリックに公開せずClaudeエージェントから呼び出せるようになる。

現時点はリサーチプレビューで、利用にはAnthropicへのアクセス申請が必要だ（Claude Consoleのワークスペース設定から申請）。

MCPトンネルの仕組み

MCPトンネルの設計で注目すべきは「インバウンド通信がゼロ」という点だ。

企業のネットワーク内に軽量なゲートウェイプロセスをデプロイする。そのゲートウェイが1本のアウトバウンド接続をAnthropicのインフラ（正確にはCloudflareのトンネルインフラ）に対して張る。Claudeエージェントからの呼び出しはこのトンネルを通じてルーティングされる。

ファイアウォールの受信ルール変更：不要
パブリックエンドポイントの公開：不要
通信：エンドツーエンドで暗号化

Anthropicの公式ドキュメントには重要な補足がある。「CloudflareはCA証明書（あなただけが保有）を使って内部TLSを終端するため、リクエストやレスポンスのペイロードを読めない。AnthropicもCA証明書が登録されるまでトンネルに接続しない」（MCP tunnels ドキュメント）。

これにより、社内のデータベース、社内API、チケットシステム、ナレッジベースをMCPサーバー化してClaudeエージェントに使わせることができる。

セルフホストサンドボックスの仕組み

セルフホストサンドボックスでは、「何が自社側に移るか」と「何がAnthropicに残るか」を理解することが重要だ。

自社インフラ側に移るもの：

ツール実行（Bashコマンド、ファイルI/O、外部HTTP呼び出し）
リポジトリやファイルへのアクセス
ネットワークポリシーとランタイム設定
監査ログ（自社のSIEMに統合可能）
CPUとメモリのリソース設定

Anthropicのインフラに残るもの：

エージェントループ（オーケストレーション）
コンテキスト管理と会話履歴
エラー回復ロジック
モデル推論そのもの

The New Stackは「企業のセキュリティ審査で何週間もかかる理由は、コードやデータが外に出ることへの懸念だった。セルフホストサンドボックスはその懸念に直接答えた」と評している（The New Stack、2026年5月19日）。

Cloudflareとの連携では、Cloudflareが隔離環境のコンピュートと分離を管理するため、自社でDockerやVMを維持する必要がない。Modal（GPU特化クラウド）やDaytona（開発環境特化）も同様に、専門性に応じて使い分けられる。

変わらないもの。限界を直視する

今回の発表を過大評価しないために、The Decoderの批判的な指摘は外せない。

「完全なオンプレミスデプロイは不可能だ。モデル実行を自社でコントロールしたい企業には解にならない」（The Decoder、2026年5月19日）。

エージェントループが外に残る以上、会話のコンテキスト（何を頼んでいるか、どんなファイルを参照しているか）はAnthropicのインフラを通る。ツール実行結果だけを自社側に置いても、会話内容がゼロになるわけではない。

また、MCPトンネルはまだリサーチプレビューだ。本番投入できる段階にない。セルフホストサンドボックスもパブリックベータで、仕様変更の可能性がある。

開発者コミュニティからは「オーケストレーターのコネクターもAnthropicインフラを通るが、MCPトンネルとどう統合できるか」という技術的な疑問も上がっている（InfoQ, 2026年5月）。

現時点では「データ主権の問題をある程度緩和する」ツールであって、「完全なオンプレミスAIエージェント」への道ではない。その認識が重要だ。

今すぐ試す方法

セルフホストサンドボックス（パブリックベータ）

現在はすべてのClaude Managed AgentsユーザーとMessages APIユーザーが利用可能だ。

Claude Platform Consoleのワークスペース設定を開く
「Sandbox」セクションからプロバイダーを選択（Cloudflare/Daytona/Modal/Vercel、または自社インフラ）
各プロバイダーのセットアップガイドに従い、エージェント実行環境を設定する

MCPトンネル（リサーチプレビュー）

現在はアクセス申請が必要だ。

Claude Consoleのワークスペース設定からアクセスリクエストを送信
承認後、ゲートウェイプロセスを社内ネットワーク内にデプロイ
MCPサーバーとゲートウェイを接続し、Claude Managed Agentsのツールとして登録する

ベータ版の注意事項

セルフホストサンドボックスはパブリックベータ、MCPトンネルはリサーチプレビューです。仕様・料金・対応プロバイダーは変更される可能性があります。本番導入前に最新の公式ドキュメントを必ず確認してください。

エンタープライズAIエージェントの「信頼の問題」

今回の発表が意味するのは、機能の追加だけではない。

Anthropicは長らく「エンタープライズ企業がClaudeエージェントを使わない理由はセキュリティ審査だ」という事実を知っていたはずだ。今回の対応は、そのフィードバックへの直接的な回答だ。

一方で、AMD AIディレクターのStella Laurenzoが指摘したような「Claudeコードの信頼性への懸念」（TechRadar, 2026年）も根強い。インフラの問題が解決されても、エージェントの振る舞いへの信頼がなければ本番投入には至らない。

セルフホストサンドボックスとMCPトンネルは、「どこで動かすか」の問題を解く。「どう動くか」の問題は別の話だ。両方が揃ったとき、エンタープライズへの普及が本格化する。

Claude Managed Agentsの基本を理解する

セルフホストサンドボックス以前の基礎から理解したい方は、Managed Agentsの全体像を解説した記事もあわせてどうぞ。

Managed Agents完全ガイドを読む

MCP（Model Context Protocol）の基本

MCPトンネルを理解するにはMCPの基礎知識が必要です。MCPの仕組みと実践的な使い方を解説した記事をあわせて参照してください。

MCP実践ガイドを読む

Code with Claude 2026 全発表まとめ

5月6日のSFカンファレンスで発表されたRoutines・Code Review・Claude Code強化などの詳細はこちら。

カンファレンスレポートを読む

本記事は公開情報・報道をもとに作成しています。料金・機能・対応プロバイダーは変更される場合があります。最新情報はAnthropic公式ブログおよびClaude Platformドキュメントでご確認ください。