「AIエージェントに仕事を任せたい。でも、どこまで触らせていいんだろう?」。最近、この迷いがかなり現実的になってきました。文章を作るだけならまだしも、ファイルを読む、コードを直す、社内ツールを操作するとなると、話は一段変わります。
Anthropicは2026年5月25日、Claudeをclaude.ai、Claude Code、Claude Coworkなどの製品でどう「封じ込めているか」を公開しました。この記事では、その考え方を中小企業のAI導入に置き換えて、AIに渡す権限の線引きを整理します。
この記事を読むとわかること
- check_circleAnthropicが言う「封じ込め」が何を意味するか
- check_circle人の承認だけに頼る運用が弱くなる理由
- check_circleAIエージェントに渡す権限を決める実務的な見方
- check_circle中小企業が今日からできる小さな安全設計
読者フィルター
向き: ChatGPT、Claude、Gemini、AIエージェントを業務に入れたい経営者・担当者。
向かない: AIの最新モデル性能だけを比較したい方。この記事は「使わせ方」と「権限設計」の話です。
今回の論点は「賢さ」ではなく「触れる範囲」です
Anthropicの記事の中心は、AIが賢くなるほど「失敗したときに届いてしまう範囲」も広がる、という問題です。英語では blast radius、つまり爆風の届く範囲という言い方をしています。
| 見ているもの | 従来のAI導入 | エージェント導入 |
|---|---|---|
| 主な役割 | 文章作成・要約 | 調査・操作・実行 |
| 失敗の影響 | 出力を直せば済むことが多い | ファイル削除、誤送信、外部送信に広がる可能性 |
| 設計の焦点 | 良いプロンプトを書く | 触れる範囲を先に決める |
ここで大事なのは、「AIが間違えるかどうか」だけを見ないことです。間違える可能性をゼロにできないなら、間違えても被害が広がらない置き方にする。これが封じ込めの発想です。
人の承認だけに頼ると、だんだん形だけになります
Anthropicは、Claude Codeでユーザーが権限確認プロンプトをおよそ93%承認していたと書いています。確認画面が何度も出ると、人はだんだん見なくなる。これはとても現場感のある話です。
承認疲れが起きる流れ
- 最初は「この操作を許可しますか?」を丁寧に読む
- 似た確認が続き、内容を流し見するようになる
- 急いでいる日に、危ない操作も同じ勢いで承認してしまう
つまり「毎回、人がOKを押すから安全です」だけでは足りません。人に確認させる前に、AIがそもそも危ない場所へ行けないようにしておくほうが、長く運用しやすいんです。
封じ込めは、AIの周りに作る「仕事部屋」です
Anthropicは防御の対象を大きく3つに分けています。AIが動く環境、AIが相談するモデル、そして実行前後の仕組みです。中小企業向けに言い換えると、AI専用の仕事部屋を作るイメージが近いです。
| Anthropicの観点 | 中小企業での置き換え | 最初にやること |
|---|---|---|
| 環境の制限 | AIが見られるフォルダやシステムを分ける | 共有用フォルダを作り、重要データは入れない |
| モデル側の防御 | プロンプト、分類、禁止ルールを用意する | 「推測しない」「外部送信しない」を明文化する |
| 操作の境界 | 削除・送信・決済などを分けて管理する | 読み取り専用から始める |
「AIに全部見せたほうが便利」なのは、その通りです。でも、便利さを優先して鍵束を丸ごと渡すと、あとから戻すのが大変になります。最初は狭く、慣れたら少しずつ広げる。この順番が効きます。
自社で使うなら、まず「AIに渡さないもの」を決める
実務では、AIに何をさせるかより先に、AIに渡さないものを決めるほうが進めやすいです。これなら、専門的なセキュリティ設計がまだなくても始められます。
最初にAIから外しておきたいもの
- check_circle顧客の個人情報、契約金額、未公開の採用情報
- check_circle削除・上書き・送信・公開など、戻しにくい操作
- check_circle会社の全アカウントに入れる管理者権限
- check_circleチェックなしで顧客に届く返信文や請求書
以前の記事「AI に任せていい業務、任せちゃダメな業務の線引き」でも触れましたが、AIは下書きや分類には向いています。一方で、責任が重い最後の一手は、人が握っておくほうが安全です。
今日やるなら、まずこれ
いきなり本格的なサンドボックスを作らなくても大丈夫です。まずは、AIに触らせる仕事を1つだけ選び、そこに小さな境界線を引いてみてください。
あなたは社内資料を整理するアシスタントです。 以下のルールを守ってください。 - 渡された資料だけを使う - 推測で数字・日付・名前を補わない - 個人情報や契約金額は要約に含めない - 不明点は「不明」と書く - 顧客へ送る文章は下書きまで。送信判断は人が行う
小さく始める3ステップ
- AIに読ませる専用フォルダを1つ作る
- 最初の権限は「読む・要約する」だけにする
- 1週間使って、危なかった場面をメモしてルールを足す
AIに仕事を任せる前に整える「ハーネス」入門で書いた足場づくりとも同じで、AI導入は「賢い道具を選ぶ」だけでは安定しません。道具が動く場所を整えるところまで含めて、導入設計です。
よくある質問
AIエージェントの封じ込めとは何ですか?
AIの判断を毎回人が見張るだけでなく、AIが触れる場所、使える道具、外部に送れる情報をあらかじめ制限しておく考え方です。
中小企業でも必要ですか?
必要です。ただし、大きな専用環境をいきなり作る必要はありません。閲覧専用アカウント、共有用フォルダ、送信前の人の確認からで十分です。
人が毎回承認すれば安全ですか?
承認は大切ですが、数が多いと形だけになりがちです。Anthropicの記事でも、ユーザーが権限確認をおよそ93%承認していたことが紹介されています。
最初にAIへ渡してよい権限はどこまでですか?
最初は読み取り専用、社外秘を含まないデータ、失敗しても戻せる作業に絞るのがおすすめです。削除、送信、決済、顧客への直接返信は後回しにします。
まとめ
- check_circleAnthropicの論点は、AIの賢さだけでなく、失敗時の影響範囲をどう抑えるかにある
- check_circle人の承認は必要だが、承認疲れが起きるため、それだけに頼らない
- check_circleAIに渡す権限は、読む、下書きする、提案する、実行するの順に広げる
- check_circle最初は「AIに渡さないもの」を決めるだけでも、導入の安全性は上がる
- check_circle中小企業では、小さな仕事部屋を作る感覚で始めるのが現実的
i-Styleでは、AIを「入れるか入れないか」よりも、「どの範囲で安全に働いてもらうか」を決める設計が、これから半年後、1年後に効いてくると見ています。AIに任せる範囲を狭く始めるのは、消極的な判断ではありません。長く使い倒すための、現実的な一歩です。
AIに渡す権限、一緒に整理します
「社内でAIを使いたいけれど、どのデータを見せてよいか不安」── その段階から一緒に整理できます。業務の棚卸し、権限の線引き、最初の小さな自動化まで、現場に合わせて設計します。
お問い合わせページへ arrow_forwardまずはチャットボットで相談できます
記事の内容について「自社の場合はどこまでAIに任せてよいか」を軽く確認したい方は、i-Styleサポートデスクbotもご利用ください。問い合わせ前の整理や、AI活用・Web活用の最初の相談窓口としてお使いいただけます。
i-Styleサポートデスクbotで相談する arrow_forward関連記事