Anthropic、Claude Managed Agentsに自前環境でツール実行する「セルフホストサンドボックス」を追加

Anthropicは2026年5月19日付の公式ブログで、ClaudeのManaged Agents向けに、ツール実行を自社インフラ側で動かす「セルフホストサンドボックス」と、非公開ネットワーク内のサーバーへ接続する「MCPトンネル」を発表しました。エージェントの制御部分はAnthropic側に残したまま、実行環境だけを利用者側に寄せられる構成です。

画像引用元: Claude Blog

Claude Managed Agentsとは

Claude Managed Agentsは、ツールの実行を組み立てながら複雑なタスクをこなすAIエージェントの仕組みです。Anthropicの説明によると、このシステムはエージェントのループ（オーケストレーション、コンテキスト管理、エラー復旧）と、ツールの実行を分離している点が特徴です。

今回のアップデートでは、このうちエージェントループはAnthropicのインフラ上で動かし続けたまま、ツール実行の部分だけを利用者側の環境へ移せるようになりました。制御と実行の責任範囲を分けたうえで、実行場所を選べる設計です。

セルフホストサンドボックス

セルフホストサンドボックスは、エージェントがツールを実行する場所を、自社インフラやCloudflare、Daytona、Modal、Vercelといったマネージドプロバイダー上に置ける機能です。

Anthropicは「オーケストレーション、コンテキスト管理、エラー復旧を担うエージェントループはAnthropicのインフラに残り、ツール実行は設定した自社環境へ移る」と説明しています。これにより、機密ファイルや社内サービスを自社のセキュリティ境界内に保ったまま、監査ログやネットワークポリシーを自前の基盤で維持できます。リソースを多く消費する処理のために、計算資源を自分で制御できる点も挙げられています。

MCPトンネル

MCPトンネルは、Model Context Protocol（MCP）サーバーを公開せずにエージェントから利用するための仕組みです。Anthropicは「エージェントは、MCPサーバーをインターネットに公開することなく、非公開ネットワーク内のサーバーへ到達できる」と説明しています。

仕組みとしては、軽量なゲートウェイが外向きの接続を行う方式を採用しており、インバウンドのファイアウォール設定や公開エンドポイントを必要としないとされています。外部に受け口を開けずに接続できるため、社内データベースや非公開APIへ安全につなぐ用途を想定した設計です。

非公開ネットワーク内のサービスをエージェントから使う場合、従来はそのサーバーを外部公開する必要が生じがちでした。MCPトンネルはこの公開を避けつつ、エージェントから必要なツールへ到達させる経路を用意するものと位置づけられます。

提供状況

提供段階は機能ごとに分かれています。セルフホストサンドボックスはパブリックベータとして提供されます。MCPトンネルはリサーチプレビューの段階で、利用にはアクセス申請が必要だとされています。

今回の発表では価格の詳細までは示されていません。まずは試験的な提供から始まり、段階的に利用範囲を広げていく形と見られます。

まとめ：制御はクラウド、実行は自社環境へ

今回の機能追加は、マネージドなエージェント運用の利便性を保ちつつ、ツール実行を利用者のセキュリティ境界内に収めたいという要件に応えるものです。エージェントの制御層はAnthropic側に任せ、機密に触れる実行は自社環境で行うという役割分担が明確になりました。

社内データや非公開APIを扱う企業にとって、公開エンドポイントを増やさずにエージェントを導入できる選択肢が増えた意味は大きいと言えます。提供はベータおよびリサーチプレビュー段階のため、本番利用では対象範囲や運用条件を確認したうえで検討するのが現実的でしょう。

Source Claude Blog

New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels

Claude Managed Agents can now operate in a sandbox you control and connect to your private Model Context Protocol (MCP) servers