Claude のエージェントアイデンティティ:自律型チーム全体 AI 向け新アクセスモデル
Anthropic は、自律的な AI エージェントがチーム全体で安全に連携・操作するために「Agent identity」という新しいアクセス制御モデルを発表した。
キーポイント
Agent Identity の導入
複数の自律型エージェントが権限を適切に管理しながら協働できるよう、個別のアイデンティティとアクセス制御モデルを導入する。
チーム全体の安全な連携
単一のエージェント運用から脱却し、組織全体で複数のエージェントがシームレスかつ安全に動作・操作できる基盤を提供する。
権限管理の最適化
各エージェントに適切な権限を付与することで、セキュリティリスクを低減しつつ、複雑なタスクの自動化を可能にする。
影響分析・編集コメントを表示
影響分析
この発表は、AI エージェントが単独で動作する段階から、組織内で複雑に連携するチームとして機能するための重要なインフラ整備を示しています。セキュリティリスクを管理しながらスケーラブルな自動化を実現できるため、企業における AI 導入の現実的な適用範囲が大幅に拡大すると予想されます。
編集コメント
自律型 AI の実用化において、セキュリティと権限管理は最大のボトルネックの一つでしたが、この新モデルはその課題に対する明確な解決策を示しています。チーム全体での協調運用を可能にするため、今後はマルチエージェントシステムの開発が加速すると予想されます。
人間と AI エージェントのチームにおいて、AI エージェントが最高の成果を出すためには、人間が利用しているツール、ドキュメント、コンテキストへのアクセス権限が必要です。
「シングルプレイヤー」型の AI 体験(1 人が 1 つのアシスタントとチャットする状況)であれば、これは単純です:自分のアカウントを接続し、エージェントに代わりに行動させればよいからです。しかし、Claude Tag のような「マルチプレイヤー」型の AI 体験では、Claude は多くの人間と同時に共有チャンネルに滞在し、特定の個人ではなく*ワークスペース*に属するツールやコンテキストを活用します。
マルチプレイヤーの体験を機能させるためには、Claude には管理者によって設定され、ワークスペースに紐付けられた、それらのツール用の独自のアカウントが必要です。私たちはこのアクセスモデルを*エージェントアイデンティティ*と呼びます。
本稿では、エージェントアイデンティティがどのように動作するか、権限をユーザー単位からチャンネル単位へどう移行させるか、そしてご自身のワークスペースでどのように適切にスコープを設定すべきかを解説します。
「ユーザーとして行動する」モデルが機能しない理由
AI をパーソナルアシスタントとして使用する際、Google Drive や GitHub、カレンダーなどのプラットフォームを接続し、モデルに*自分の*アクセス権限を使ってそれらを読み書きさせることができます。
このモデルは Claude Tag には2つの理由で適合しません:
- エージェントの自律性の向上。AI エージェントが単独で確実に完了できるタスクの長さは、約 4 ヶ月ごとに倍増しています。エージェントは現在、後で実行するタスクを自らスケジュールし、依頼者がログオフしてから長い時間が経過した後もイベントに対応します。ユーザーは特定の状況に応じてエージェントが動作するようにルーチンを設定しますが、エージェントは主に自律的に作業を行います。
- マルチプレイヤーチーム。Claude Tag は、すでにチームが活動している共有スペース(例:3 人のエンジニアと PM が共同でデバッグを行っているチャンネル)に Claude を配置します。しかし、複数の人物が操作を主導する場合、どの権限が適用されるのでしょうか?常に正解となる単一の人物を選ぶことはできません。これにより、管理者は関与する人間とは独立して、Slack 上でエージェントが何を行えるかを定義し、Slack 内で行われた作業の追跡を別個に行うことができるようになります。
Claude はそれ自身として行動します
Claude Tag が有効なチャンネルでは、Claude は単一のユーザーに代わって行動しているわけではありません。Claude は関与する各システム内に独自のアカウントを持っています:Slack では Claude アプリとして投稿し、GitHub においては Claude GitHub App としてプルリクエストを開き、管理者によってプロビジョニングされたサービスアカウントの下でデータウェアハウスを照会します。
そして、個人ユーザーの認証情報が使用されないため、共有チャンネルが誰かのプライベートドキュメントへの裏口になることは決してありません。
権限の継承
エージェントアイデンティティモデルでは、管理者はワークスペースレベルでアイデンティティ(Claude があらゆる場所で持つ接続とスキルの基本セット)を定義し、すべてのチャンネルがデフォルトでこれを継承します。その後、必要に応じてチャンネルレベルで上書きできます。例えば、エンジニアリングチャンネルに GitHub やデータウェアハウスへのアクセス権限を付与したり、CRM 接続を単一のプライベートチャンネルに限定したりすることが可能です。
認証情報のほかにも、管理者は以下を定義します:
- リポジトリアクセス:Claude が読み書きできるリポジトリの指定。
- コネクタ:Claude が業務遂行に使用するツールおよび API キー。組織全体では、異なる API キーが同じサービスに対して異なる権限レベルで接続できます(例:一般チャンネルではデータウェアハウスの読み取り専用アクセスを付与し、データチームのプライベートチャンネルでは書き込みアクセスを付与するなど)。
- スキルとプラグイン:Claude がパフォーマンス向上のために動的にロードする指示、スクリプト、リソースのフォルダ群。これらは専門タスクへの対応力を強化します。
- 恒久指示:各チャンネルごとのカスタム指示およびコンテキスト。
このモデルは個別のエージェントアイデンティティを前提としているため、アイデンティティを取り消せば、そのアイデンティティが使用されたすべての場所での Claude のアクセス権限が即座に失われます。これは、数十人のユーザーアカウントにわたる個々のエージェントのアクション監査を行うよりも、管理にかかる労力がはるかに少なくて済みます。
エージェントアイデンティティモデルの仕組み
エージェントアイデンティティは、「このユーザーは何ができるか?」という問いを、「このコンパートメント内でこのエージェントは何ができるか?」という問いに置き換えます。これは、ユーザーごとのアクセス制御リスト(ACL)からの大きな転換です。つまり、リポジトリへの直接アクセス権を持たないチャンネルメンバーでも、チャンネルのプロファイルが Claude にその権限を付与していれば、Claude にそのリポジトリの読み取りを依頼できることを意味します。
これは珍しい仕組みですが、自律型でマルチプレイヤーのエージェントに対応するアクセスモデルへと進むために必要な一歩だと考えています。以下に、これらの境界線をどのように設定するかについて考え方を概説します。
アイデンティティ境界線の仕組み
Claude Tag は、各プライベートチャンネルに対して固有のアイデンティティを作成します。一方、ワークスペース内のパブリックチャンネルは、ワークスペースレベルで共有されたアイデンティティを使用します。法務チャンネルにおける Claude のアイデンティティは、そこで付与されていないコードにはアクセスできず、エンジニアリングチャンネルにおける Claude のアイデンティティは、そこで付与されていない文書を読み取ることはできません。メモリとアクセス権限もこれらの境界線を尊重します:Claude がプライベートチャンネルで学習した内容は、広範なワークスペースに現れることはありません。
このアイデンティティはチャンネルに属するため、デフォルトではそのチャンネル内の誰でも Claude をタグ付けできます。また、管理者は各チャンネルのプロファイルを、最も権限の低いメンバーに合わせてスコープ設定することも可能です。Enterprise プランでは、ロールベースアクセス制御(RBAC)により、管理者はさらに踏み込んで、誰が Claude を呼び出すことができるかを決定できるようになります。これにより、チャンネルはエージェントが到達できる範囲と、誰が依頼できるかの両方を管理します。
ツールとコンテキストへの広範なデフォルトアクセス
Claude Tag におけるチームのツールアクセスのスコーピングは、エージェントIDの下で共有チャンネル内で実行される広範でリスクの低い統合と、DM(ダイレクトメッセージ)内にありユーザーとして実行される個人用またはチーム固有のツールによって区別されます。Anthropic 社内で Claude Tag を運用した結果、その価値はツールおよびコンテキストへのアクセスと相乗効果を生むことがわかりました。接続された各システムが他方の有用性を高めるのは、Claude がそれら全体にわたってコンテキストを組み合わせられるためです。Slack のスレッド、Drive のドキュメント、トラッカーのチケット、データウェアハウスのクエリといった異なる要素を引き合いに出し、単一のツールでは提供できない一つの回答を生成します。
Claude を最大限に活用しているのは、最初から寛容なアクセス権限を与え、組織の管理者設定に応じてその権限を調整していくチームです。エージェントIDは、Claude が有用なシステム横断的な作業を行える十分な範囲のスコープを提供しつつ、権限が許可されていない場所へアクセスが及ばないよう明確な境界線を設けます。我々のアドバイスとしては、まずは数チャンネルでベースラインプロファイルを開始し、監査ログを確認した上で、業務の正当性が認められる場合にのみ、意図的な付与を一つずつ行いながらアクセス範囲を広げていくことです。
より細粒度の管理が必要な組織では、管理者が特定のチャンネルでの Claude Tag の利用を無効化できます。また、ロールベースアクセス制御(RBAC: Role-Based Access Control)を適用して、Claude Tag へのアクセス権限を特定のユーザーに限定することも可能です。
Direct messages
Claude Tag を使用すると、ダイレクトメッセージは共有チャンネルとは異なる動作をします。ダイレクトメッセージは、ユーザー個人の claude.ai アカウント上で実行され、その接続先、認証情報、および結果に表示される名前はすべて個人のものになります。これにより、ダイレクトメッセージは、メールの下書きや特定のライセンスしか持っていないソフトウェアなど、決してチャンネルに存在させるべきではないツールを使用して Claude とタスクに取り組むのに最適な場所となります。
Security and audit
管理者がチャンネルのプロファイルに接続を追加すると、認証情報は独立して保存され、そのチャンネルのアイデンティティにマッピングされた後、リクエスト時にネットワーク境界で注入されます。管理者が許可していないホストへのアウトバウンドトラフィックは完全にブロックされます。監査面では、エージェント認証情報を使用して行われるすべてのルーチン、メモリ書き込み、およびネットワーク呼び出しが記録され、Claude が独自のサービスアカウントの下で動作するため、これらのアクションは各接続されたシステムのログにも記録されます。
What's next
エージェントアイデンティティは、Claude Tag のアクセスモデルの基盤です。今後、私たちは Claude Tag のセキュリティ機能を強化する計画を立てており、それには「必要時の認証情報付与(just-in-time credential grants)」を含めます。これにより、ユーザーは特定の機密アクションをその場で承認でき、エージェントのスコープを恒久的に拡大することなく済みます。また、より複雑なアクセス権限構造を持つ組織向けに、アイデンティティ認識型のオーバーレイも導入する予定です。これにより、エージェントのスコープの上にユーザーレベルのチェックが追加され、チャンネルのプロファイルとリクエスト元のユーザー自身の権限の両方が許可した場合のみ、Claude が動作します。
Claude Tag などの製品におけるシングルプレイヤーからマルチプレイヤー AI への移行は、長時間実行されるチームベースの作業を可能にします。エージェントアイデンティティにより、Claude のツールへのアクセス範囲は有用であるために十分に広く、かつエンタープライズ規模において安全であるために適切に制限されています。
*この記事は、Claude Code チームの技術スタッフであるノア・ツェベンによって執筆されました。*
原文を表示
For an AI agent to do its best work on a human-agent team, it needs access to the same tools, documents, and context humans have.
In a “single player” AI experience (where one person chats with one assistant), that’s straightforward: you connect your own accounts and the agent acts on your behalf. But in a “multiplayer” AI experience like Claude Tag, Claude sits in a shared channel alongside many people at once, and it draws on the tools and context that belong to the *workspace*, rather than any one individual.
To make multiplayer experiences work, Claude needs its own accounts for those tools, set up by an admin and tied to the workspace. We call this access model *agent identity*.
In this post, we explain how agent identity works, how it moves permissions from per-user to per-channel, and how to scope it well in your own workspace.
Why “act as the user” breaks down
When you use AI as a personal assistant, you can connect platforms like Google Drive, GitHub, and your calendar, and let the model use *your* access permissions to read and write in them.
This model doesn’t work for Claude Tag for two reasons:
- Increasing agent autonomy. The length of a task that an AI agent can reliably complete on its own has been doubling roughly every four months. Agents now schedule their own tasks for later and respond to events long after the person who asked has logged off. While users set up routines that trigger them to act given certain situations, the agent works largely autonomously.
- Multiplayer teams. Claude Tag places Claude in shared spaces where teams are already working—e.g., a channel where three engineers and a PM are debugging together. But when more than one person is steering, whose permissions apply? There’s no single choice of person that’d be right all of the time. This gives admins the ability to define what an agent can do in Slack independent from the humans involved, and a distinct tracking of what is done in Slack.
Claude acts as itself
In a channel where Claude Tag is active, Claude isn’t acting on behalf of a single user. It has its own account in each system it touches: it posts in Slack as the Claude app, opens pull requests as the Claude GitHub App, and queries your warehouse under a service account provisioned by an admin.
And because there are no personal user credentials in play, a shared channel can never become a side door into someone’s private documents.
Inheriting permissions
In the agent identity model, admins define an identity—the baseline set of connections and skills Claude holds everywhere—at the workspace level, and every channel inherits it by default. Then, where it makes sense, they can override it at the channel level, such as by granting the engineering channel access to GitHub and the data warehouse, or confining a CRM connection to a single private channel.
In addition to credentials, admins also define:
- Repository access: which repos Claude can read and write to.
- Connectors: the tools and API keys that Claude uses to do its job. Across an organization, different API keys can connect to the same service at different permission levels (e.g., Claude might be given read-only warehouse access in a general channel, and write access in the data team’s private one).
- Skills and plugins: folders of instructions, scripts, and resources Claude loads dynamically to improve performance on specialized tasks.
- Standing instructions: custom instructions and context for each channel.
Because this model works around distinct Claude identities, revoking the identity ends Claude’s access everywhere that the identity was used. This takes much less effort to manage than auditing individual agent actions across dozens of user accounts.
How the agent identity model works
Agent identity replaces the question “what can this user do?” with “what can this agent do in this compartment?” That’s a departure from per-user Access Control Lists: it means that a channel member without direct access to the repo can ask Claude to read that repo, if the channel’s profile grants Claude that permission.
This is unusual, but we think it is a necessary step toward an access model that works for autonomous, multiplayer agents. Below, we sketch out how to think about setting those boundaries.
How identity boundaries work
Claude Tag creates a distinct identity for each private channel; public channels in a workspace share a workspace-level identity. Claude's identity in a legal channel can't reach code that wasn't granted there, and its identity in an engineering channel can't read legal documents that weren't granted there. Memory and access respect those boundaries: what Claude learns in a private channel never appears in the wider workspace.
The identity belongs to the channel, so anyone in it can tag Claude by default, and admins can scope each channel's profile to the least-privileged member. On Enterprise plans, role-based access control lets admins go further and decide which members can invoke Claude at all, so a channel governs both what the agent can reach and who can ask.
Broad default access to tools and context
Running Claude Tag inside Anthropic, we found that its value compounds with tool and context access. Each connected system makes every other one more useful, because Claude can combine context across them—pulling a thread from Slack, a doc from Drive, a ticket from a tracker, and a query from a warehouse into one answer that no single tool could provide.
The teams that get the most out of Claude are the ones that grant it generous access from the start, and pare access back depending on their organization’s admin preferences. Agent identity gives admins broad enough scope for Claude to do useful cross-system work, with boundaries firm enough that the access never travels somewhere it wasn’t granted. Our advice is to start with a baseline profile in a few channels, read the audit trail, and then extend access where the work justifies it, one deliberate grant at a time.
For organizations that require even more granularity, admins can disable Claude Tag in specific channels. Admins can also apply role-based access controls (RBAC) to limit access to Claude Tag to specific users.
Direct messages
With Claude Tag, direct messages work differently than in shared channels. DMs run on users’ individual claude.ai accounts—their connectors, credentials, and name on the result. This makes DMs the right place to work with Claude on tasks and with tools that should never live in a channel, like email drafts or software only you have a license for.
Security and audit
When an admin adds a connection to a channel's profile, the credential is stored independently and mapped to that channel's identity, then injected at the network boundary at request time. Outbound traffic to any host an admin hasn't allowed is blocked outright. On the audit side, every routine, memory write, and network call made with agent credentials is recorded, and because Claude acts under its own service accounts, those actions also land in each connected system's own logs.
What’s next
Agent identity is the foundation of Claude Tag's access model. In the future, we plan to strengthen our Claude Tag’s security offerings to include just-in-time credential grants—so that a user can approve a single sensitive action in the moment without permanently widening the agent's scope—and an identity-aware overlay for organizations with more complex clearance structures. This will add user-level checks on top of an agent’s scope, so Claude only acts when both the channel's profile and the requesting user's own permissions allow it.
The shift from single player to multiplayer AI in products like Claude Tag makes long-running, team-based work possible. Agent identity ensures that Claude’s access to tools is broad enough to be useful, but scoped enough to be secure at enterprise scale.
Learn more about Claude Tag.
*This article was written by Noah Zweben, a member of technical staff on the Claude Code team.*
関連記事
Claude の新モデルは失敗時に「正直」になる
Anthropic は木曜日に Claude Opus 4.8 をリリースし、同モデルの「誠実さ」を強調している。同社はすべてのモデルを、根拠のない主張を避けるよう訓練しており、AI モデルが結論を飛び越える一般的な問題を解決するとしている。
動的ワークフローの紹介(3 分読了)
Jarred Sumner は動的ワークフローを活用し、Bun を Zig から Rust に書き換え、11 日間で 75 万行のコードを処理してテストスイートの成功率 99.8% を達成した。この手法では Claude がタスクを細分化し、エージェントが並列実行して結果が収束するまで動作する。
マイクロソフトのマルチエージェントAIシステムがサイバーセキュリティベンチマークでアンソロピックのMythosを上回る
マイクロソフトは、100以上の専門AIエージェントを連携させる「MDASH」システムを開発し、コードスキャンから検証、攻撃証明までを行うことで、アンソロピックの「Mythos」モデルを上回る成果をサイバーセキュリティベンチマークで達成した。
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み