「Claude Code、現場は使いたがっているけど情シスが OK 出さない」— 中堅以上の企業で頻発する状況です。
本記事は、DigiRise が500社以上の導入支援を通じて積み上げてきた 「情シスが必ず聞く23項目」 を、対応方法とともに公開します。これに沿って準備すれば、セキュリティレビューはほぼ通ります。
💡 本記事の使い方: そのまま情シス向け説明資料として使えます。23項目を1枚のチェックシートにまとめれば、レビュー会議が30分で終わります。
0. 直近のセキュリティ事案を踏まえて
2026年4月に Vercel 不正アクセス事件 が発生し、Claude Code 経由を含む OAuth アプリの権限管理が重要なテーマになりました。本チェックリストは、この事案を踏まえて MCP / 外部連携の権限管理項目を強化済みです。
⚠️ 2026年4月 Vercel 事案 概要: Google Workspace OAuth 連携アプリ経由で不正アクセスが発生。ID
110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqjのアプリを使っている企業は要確認。
1. データ取り扱い (5項目)
☑ 1.1 ZDR (Zero Data Retention) 設定
入力データを Claude 側に保存させない設定。Enterprise プランで標準対応。
設定箇所: 組織設定 → Privacy → ZDR を有効化
☑ 1.2 学習データへの利用拒否
入力データがモデル学習に使われない設定。全プランで標準オプトアウト されています。明示的に「Do not train on my data」設定を ON に。
☑ 1.3 データ保存リージョン指定
Anthropic は米国・欧州リージョン選択可能。日本リージョンは2026年中に対応予定。GDPR 対応が必要な場合は欧州リージョンを選択。
☑ 1.4 データ分類ポリシー
社内データを「Public / Internal / Confidential / Restricted」の4段階で分類し、Restricted は Claude Code 入力禁止のルール明文化。
☑ 1.5 機密データ検出 (DLP)
入力前にクレジットカード番号・マイナンバー等を検出してマスクする運用ルール。規模が大きい場合は DLP ツールと連携 (Microsoft Purview, Symantec DLP 等)。
2. アクセス制御 (5項目)
☑ 2.1 SSO 連携
SAML 2.0 / OIDC 対応。Okta / Azure AD / Google Workspace すべて連携可能。Enterpriseプランで標準提供。
☑ 2.2 SCIM プロビジョニング
入退社時のアカウント自動同期。Enterpriseプランで対応。退職時のアクセス即時停止が重要。
☑ 2.3 ロールベースアクセス制御 (RBAC)
組織管理者 / プロジェクト管理者 / 一般ユーザーの3層。Enterpriseでは更にカスタムロール定義可能。
☑ 2.4 IPアドレス制限
社内ネットワーク or VPN 経由のみ許可。Enterpriseで対応。リモートワーク環境ではVPN必須。
☑ 2.5 多要素認証 (MFA)
SSO 経由で IdP の MFA を強制適用。物理キー (YubiKey等) もサポート。
3. ログ・監査 (4項目)
☑ 3.1 監査ログ取得
全API呼び出し・MCPツール実行・ファイルアクセスをログ化。Enterpriseで標準提供。
ログに含まれる情報:
- 実行日時 / ユーザー ID
- 実行コマンド / プロンプト
- 使用したMCP ツール
- アクセスしたファイル / リソース
- 結果(成功 / 失敗)
☑ 3.2 ログのエクスポート
S3 / Azure Blob / GCP Cloud Storage への自動エクスポート対応。日次バッチで配送が一般的。
☑ 3.3 SIEM 連携
Splunk / Datadog / Sumo Logic 等への取り込み (CEF / JSON 形式)。インシデント検出ルールを SIEM 側で定義。
☑ 3.4 ログ保管期間
最低90日、推奨1年以上。金融・医療業界は7年以上が一般的。法定保管期間に応じて調整。
4. プロンプト・出力ガバナンス (3項目)
☑ 4.1 システムプロンプト管理
組織全体で適用されるシステムプロンプト (例: 「機密情報を出力しない」) を Claude Code 設定で一元管理。各ユーザーが上書きできない設定にすること。
☑ 4.2 出力フィルタリング
個人情報・社外秘情報を出力に含めないガードレール。Anthropic 標準フィルタ + 自社カスタム正規表現で構築。
☑ 4.3 プロンプトインジェクション対策
外部から取得したテキスト (Webスクレイピング結果等) をプロンプトに組み込む際のサニタイズルール明文化。「Ignore previous instructions」攻撃への対応も。
5. MCP・ツール連携 (3項目) — Vercel事案を受けて強化
☑ 5.1 MCP サーバー allowlist
組織が承認した MCP サーバーのみ使用可能にする (野良 MCP 禁止)。新規 MCP 追加には情シス承認必須のフロー。
☑ 5.2 ツール実行権限の最小化
MCP サーバーには「読み取りのみ」「特定リソースのみ」など権限を絞る。OAuthスコープも最小化。
⚠️ Vercel事案の教訓: OAuth 権限の棚卸しを 四半期に1回 実施し、不要な権限を削除する運用ルールを確立すること。
☑ 5.3 ヒューマンインザループ
書き込み・送金・削除等の重要操作は必ず人間承認を挟む設計。Claude Code の標準機能で「Slack 承認待ち」フローを構築可能。
6. インシデント対応 (3項目)
☑ 6.1 インシデント連絡窓口
Anthropic Trust & Safety への直通連絡先を情シスがエスカレーション可能にしておく。SLA 24時間以内の応答。
☑ 6.2 緊急停止手順
組織管理者が即座に全ユーザーのアクセスを停止できる手順書を作成。1人の管理者が単独で停止できる仕組み(夜間・休日対応用)。
☑ 6.3 ログ調査手順
インシデント発生時の監査ログ抽出 → 影響範囲特定の手順書。テーブルトップ演習を半年に1回実施推奨。
認定・コンプライアンス対応状況
| 認定 | Anthropic 対応 |
|---|---|
| SOC 2 Type II | ◎ |
| ISO 27001 | ◎ |
| ISO 27018 | ◎ |
| GDPR | ◎ (EUリージョン) |
| HIPAA | △ (BAA 締結要相談) |
| FedRAMP | ○ (Moderate) |
| CCPA | ◎ |
| 日本のISMS | ○ (相当措置) |
| PCI DSS | △ (用途次第) |
最新状況は Anthropic Trust Center で確認可能。
業界別の追加チェック項目
金融機関の場合
- FISC 安全対策基準への適合確認
- 顧客情報の越境転送禁止ルール (国内リージョン待ち)
- 金融庁監督指針への適合確認
医療機関の場合
- 3省2ガイドライン (医療情報システム) 適合確認
- 患者情報の入力禁止ルール明文化
- HIPAA BAA (米国向け) 締結検討
上場企業の場合
- J-SOX 内部統制への組み込み
- 適時開示情報の取り扱いルール
- 株主総会前のインサイダー情報管理
官公庁・自治体の場合
- 政府情報システムのセキュリティ評価制度 (ISMAP) 確認
- LGWAN 利用時の制約確認
- 個人情報保護法 (改正版) 適合確認
情シス会議用 1枚資料テンプレート
実際に使えるサマリ資料の構成:
■ Claude Code 法人導入セキュリティ評価書
1. 採用ベンダー
- Anthropic (米国・SOC2 Type II・ISO 27001取得)
2. 認定取得状況
- SOC 2 / ISO 27001 / GDPR ◎
- 国内ISMS 相当措置あり
3. 主要セキュリティ機能
- ZDR (学習・保存なし) 標準
- SSO/SCIM/MFA 対応
- 監査ログ 全API完備
- IP制限 / DLP連携可
4. 当社運用ルール
- データ分類: Restricted は入力禁止
- MCP allowlist: 情シス承認制
- 監査ログ: S3に日次エクスポート
- 緊急停止: 24/7 対応可能
5. 残存リスクと対応
- 海外リージョン保存 → 暗号化で対応
- プロンプトインジェクション → サニタイズ実装
- OAuth悪用 → 四半期棚卸し
6. インシデント対応窓口
- Anthropic: trust@anthropic.com
- 当社内: 情シス@xxxこれを情シス会議の冒頭で配るだけで、議論が圧倒的に効率化します。
まとめ
Claude Code の情シスレビューは、「23項目を1枚のチェックシートにまとめて事前に潰す」だけで圧倒的にスムーズになります。
最重要ポイント:
- ZDR + SSO + 監査ログ の3点セットは Enterprise プランで標準対応
- MCP の権限管理 は Vercel事案以降、最重要トピック
- 業界別の追加要件 (金融/医療/上場/官公庁) を事前確認
DigiRise では、貴社のセキュリティポリシーに合わせた 「導入セキュリティ設計書」 の作成サービスも提供しています。情シスとの調整に詰まっている企業様、お気軽にご相談ください。