ニュース

Claude Cowork GA｜RBAC・OpenTelemetry対応

2026.04.12 公開 12分で読める

#Claude Cowork #OpenTelemetry #RBAC #エンタープライズ

この記事の結論

Claude CoworkがGA。SCIM・予算制限・OpenTelemetryで企業展開に必要な統制機能が揃った。

Anthropicは2026年4月9日、Claude Coworkをすべての有料プランで一般提供（GA）に移行し、同時にエンタープライズ向けの管理機能を大幅に拡張した。

今回のアップデートで特筆すべきは、RBACと拡張OpenTelemetryの組み合わせだ。IT管理者が組織全体へのロールアウトに必要としていた「誰が何をできるか」の制御と「実際に何が行われたか」の可視化が、ようやく一つのプラットフォームで揃った。

—

何が発表されたのか

今回のGAには、段階的プレビュー中には含まれていなかった以下の機能が追加された。

機能	対象プラン	概要
ロールベースアクセス制御（RBAC）	Enterprise	グループ単位でClaude機能の利用範囲を制限
SCIMプロビジョニング連携	Enterprise	IdPからユーザーをグループに自動割り当て
グループ支出制限	Enterprise	チームごとに予算上限を設定、管理コンソールで調整可
拡張OpenTelemetry	Team / Enterprise	ツール呼び出し・ファイル操作・スキル使用・承認状態のイベント出力
使用分析ダッシュボード	全有料プラン	DAU/WAU/MAU、セッション数、コネクタ呼び出し回数
コネクタ単位のアクション制限	Enterprise	例: GitHubコネクタをread-onlyに固定

macOSとWindowsのデスクトップアプリは、Claude Code on Desktopと同じタイミングで全有料プランに展開されている。

RBACとSCIMの実装: IT管理者が操作する部分

管理コンソールでは、ユーザーを「グループ」に分類し、各グループに「カスタムロール」を割り当てる。手動でユーザーを追加する方法に加え、Okta・Azure AD・Google WorkspaceなどSCIM対応のIdPから自動プロビジョニングできる。

ロールで制御できる粒度は、コネクタ単位まで下りる。たとえば「マーケティングチームはSlackコネクタの読み取りと投稿は許可するが、チャンネルの作成や削除は禁止」というポリシーが、画面操作だけで設定できる。

重要な点として、Anthropicはロール設計をゼロから構築するのではなく、既存のIdPグループ構造をそのまま引き継ぐ設計にしている。大規模組織での導入摩擦を減らすための意思決定だ。

OpenTelemetryで何が見えるようになるか

Claude Coworkは今回から、以下の操作イベントをOpenTelemetry形式で外部へエクスポートできるようになった。

MCPコネクタへのツール呼び出し（呼び出し先・パラメータ・レスポンスコード）
ファイルの読み取り・書き込み（パス・サイズ・操作種別）
スキルの使用（スキル名・実行時間）
AI起動アクションが手動承認か自動承認かの区分

これらのイベントは、SplunkやCribl、Dynatraceといった既存のSIEMプラットフォームに直接流し込める。コンプライアンス監査のために専用のログ収集基盤を構築する必要がなくなる。

エンジニアリングチーム向けのサンプル設定として、OTel Collectorへのエクスポート設定を示す。

# otel-collector-config.yaml
# 動作環境: OpenTelemetry Collector v0.95.0+
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。

receivers:
  otlp:
    protocols:
      grpc:
        endpoint: 0.0.0.0:4317
      http:
        endpoint: 0.0.0.0:4318

processors:
  # Coworkイベントのみを抽出するフィルター
  filter/cowork:
    error_mode: ignore
    traces:
      span:
        - 'attributes["service.name"] != "claude-cowork"'

  # PIIのマスキング（コンプライアンス対応）
  transform/mask_pii:
    error_mode: ignore
    trace_statements:
      - context: span
        statements:
          - replace_pattern(attributes["user.email"], "\w+@", "***@")

exporters:
  # Splunkへのエクスポート例
  splunk_hec:
    token: "${SPLUNK_HEC_TOKEN}"
    endpoint: "https://your-splunk.example.com:8088"
    source: "claude-cowork"
    index: "ai_activity"

  # デバッグ用ローカル出力
  debug:
    verbosity: detailed

service:
  pipelines:
    traces:
      receivers: [otlp]
      processors: [filter/cowork, transform/mask_pii]
      exporters: [splunk_hec, debug]

ポイントは transform/mask_pii プロセッサーだ。ユーザーのメールアドレスなどPIIをSIEMに送出する前にマスクしておくことで、ログストア自体を機密データの保管場所にしなくて済む。

使用状況分析: 意外なデータが見えてきた

GAに先行して導入したエンタープライズ企業のデータとして、Anthropicが公開した情報は興味深い。Claude Coworkのアクティビティの多くは、エンジニアリングチーム以外から発生していた。オペレーション、マーケティング、財務、法務チームが「プロジェクト進捗報告、コラボレーションデッキの作成、リサーチスプリント」に活用しているという。

これは、当初「開発者向けのコーディングアシスタント」として設計されたツールが、組織横断のナレッジワーカー支援ツールとして機能している事実を示している。RBAC設計においても「開発チームと非開発チームで異なる権限セットを持つ」という前提が重要になる。

既存のCowork記事と今回の違い

AIgent Labでは以前、Claude Coworkの基本的な使い方とチーム開発での活用パターンを紹介した。今回のGAで加わったのは、その先にある「管理者が組織全体にロールアウトするための統制レイヤー」だ。RBAC・グループ予算・OpenTelemetryの3点セットがなければ、数百人規模の組織への展開には踏み切れなかったはずだ。

【要注意】導入時によくある設計ミス

失敗1: ロールを細かく作りすぎる

❌ 部署ごとに20種類のカスタムロールを用意する
⭕ 「閲覧のみ」「標準利用」「管理者」の3段階から始め、例外が出てから追加する

なぜ重要か: ロールが増えるほど権限の重複と漏れが発生しやすく、監査が困難になる。

失敗2: OpenTelemetryをSIEMに垂れ流す

❌ フィルターなしでSIEMにすべてのイベントを送る
⭕ 上記の filter/cowork と transform/mask_pii で前処理してから送出する

なぜ重要か: ノイズが多いとアラートが埋もれ、PIIが混入すると別のコンプライアンス問題が発生する。

失敗3: グループ予算を最初から厳しく設定する

❌ 月初に予算上限を低く設定し、週半ばで上限到達してチームが使えなくなる
⭕ 1ヶ月は制限なしで実際の使用量を計測し、その110%程度を上限として設定する

なぜ重要か: 予算切れは生産性への即時ダメージになる。まず使用量の実態を把握してから制限を入れる。

開発者・管理者が今週やるべきこと

SCIMによるユーザープロビジョニングのサンプル設定（Okta SCIM 2.0連携）：

// okta-scim-config.json — Claude Cowork SCIM 2.0プロビジョニング設定例
// 動作環境: Okta Workforce Identity、SCIM 2.0対応プロビジョニングアプリ
// 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。
{
  "scim_version": "2.0",
  "base_url": "https://api.anthropic.com/scim/v2",
  "auth": {
    "type": "bearer",
    "token": "${CLAUDE_SCIM_TOKEN}"
  },
  "provisioning": {
    "create_users": true,
    "update_attributes": true,
    "deactivate_users": true,
    "sync_password": false
  },
  "group_mapping": [
    {
      "okta_group": "Engineering-AI-Full",
      "claude_role": "standard",
      "allowed_connectors": ["github", "slack", "jira"],
      "monthly_budget_usd": 500
    },
    {
      "okta_group": "Marketing-AI-Readonly",
      "claude_role": "read_only",
      "allowed_connectors": ["slack"],
      "monthly_budget_usd": 100
    },
    {
      "okta_group": "AI-Admins",
      "claude_role": "admin",
      "allowed_connectors": ["*"],
      "monthly_budget_usd": null
    }
  ]
}

グループ予算のモニタリングスクリプト（Analytics APIを使用）：

#!/usr/bin/env python3
# budget_monitor.py — グループ別予算使用率をSlack通知するスクリプト
# 動作環境: Python 3.11+, requests>=2.31.0
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。

import os
import requests
from datetime import datetime, timedelta

ANTHROPIC_API_KEY = os.environ["ANTHROPIC_API_KEY"]
SLACK_WEBHOOK_URL = os.environ["SLACK_WEBHOOK_URL"]
ALERT_THRESHOLD = 0.8  # 80%超過でアラート

def check_group_budgets():
    """グループ別の予算使用率を確認し、閾値超過をSlack通知"""
    headers = {
        "x-api-key": ANTHROPIC_API_KEY,
        "anthropic-version": "2023-06-01"
    }

    # Analytics API: 今月の使用量を取得
    start_of_month = datetime.now().replace(day=1).strftime("%Y-%m-%d")
    response = requests.get(
        "https://api.anthropic.com/v1/usage/groups",
        headers=headers,
        params={"start_date": start_of_month}
    )
    response.raise_for_status()
    groups = response.json()["groups"]

    alerts = []
    for group in groups:
        budget = group.get("monthly_budget_usd")
        used = group.get("spend_usd", 0)
        if budget and used / budget >= ALERT_THRESHOLD:
            alerts.append(f"⚠️ {group['name']}: {used:.1f}/${budget} ({used/budget*100:.0f}%)")

    if alerts:
        requests.post(SLACK_WEBHOOK_URL, json={
            "text": "Claude Cowork 予算アラートn" + "n".join(alerts)
        })
        print(f"アラート送信: {len(alerts)}件")
    else:
        print("全グループ予算正常")

if __name__ == "__main__":
    check_group_budgets()

OpenTelemetryの受信先を準備する: 既存のSIEMがOTLP対応かどうか確認。対応していない場合はOTel Collectorをサイドカーで立てる。
SCIMの設定テスト: 本番IdPと連携する前に、テスト用グループで動作確認する。SCIM 2.0のスキーマに準拠しているか確認が必要。
ロール設計の骨格を作る: 最初は3段階（閲覧・標準・管理者）から。コネクタ単位のアクション制限は利用状況を見てから追加する。

この先どうなるか

Anthropicは今回のGAと同時に「Managed Agents」も発表した。Claude Coworkが「人間がその場で使う」AIであるのに対し、Managed Agentsは「バックグラウンドで自律稼働する」AIを想定している。企業としては、この2つをどう使い分けるかの設計が次の問いになる。

AIエージェントのオーケストレーション基盤としての視点は、AIエージェント構築完全ガイドで体系的にまとめている。Managed Agentsとの組み合わせ設計を検討する際の参考にしてほしい。

参考・出典

Making Claude Cowork ready for enterprise — Anthropic公式ブログ（参照日: 2026-04-11）
Claude Cowork GA announcement — @claudeai on X（参照日: 2026-04-11）
Anthropic scales up with enterprise features for Claude Cowork and Managed Agents — 9to5Mac（参照日: 2026-04-11）
Anthropic launches Claude Cowork with role-based access control and MCP permissions management — Digital Today（参照日: 2026-04-11）
OpenTelemetry Collector Documentation — OpenTelemetry公式（参照日: 2026-04-11）

AIエージェントの導入・活用でお困りの場合は、Uravationのお問い合わせフォームからご相談ください。

この記事はAIgent Lab編集部がお届けしました。

Need help moving from reading to rollout?

この記事を読んで導入イメージが固まってきた方へ

Uravationでは、AIエージェントの要件整理、PoC設計、社内導入、研修まで一気通貫で支援しています。

30分無料相談を予約支援実績を見る

※ 本記事の情報は2026年4月時点のものです。サービスの料金・仕様は変更される可能性があります。最新情報は各サービスの公式サイトをご確認ください。