「シャドーClaude」対策が可能に Anthropicが「Compliance API」公開：操作履歴や設定変更を監査ログとして取得

Anthropicの「Claude Platform」で「Compliance API」が利用可能になり、管理者は組織全体の監査ログにプログラムからアクセスできるようになった。

[＠IT]

　Anthropicは2026年3月30日（米国時間）、「Claude Platform」で監査・統制機能「Compliance API」が利用可能になり、管理者は組織全体の監査ログにプログラムからアクセスできるようになったと発表した。

　これにより、セキュリティおよびコンプライアンスチームは、ユーザーアクティビティーの追跡、設定変更の監視、既存のコンプライアンス基盤へのClaude利用データの統合ができるようになる。

「誰が何をしたか」を追跡可能に

　金融サービス、ヘルスケア、法務といった規制の厳しい業界の組織では、「誰が、いつ、何にアクセスし、何が変更されたか」という詳細な記録が必要だ。こうしたデータにプログラムからアクセスする手段がなければ、コンプライアンスチームは手動でデータをエクスポートし、定期的にレビューを行わなければならない。

　Compliance APIは、組織全体におけるセキュリティ関連のイベントログを記録するアクティビティーフィードを提供する。管理者は期間、特定のユーザー、APIキーなどでこのフィードをフィルタリングし、アクティビティーログを取得できる。

　Compliance APIで以下の2つのカテゴリーのアクティビティーを追跡できる。

• 1．管理およびシステムアクティビティー
  • ワークスペースへのメンバー追加、APIキーの作成、アカウント設定の更新、エンティティーのアクセス権の変更など、リソースに対するアクセス権や設定を変更するアクション（操作）
• 2．リソースアクティビティー
  • ファイルの作成、ダウンロード、スキルの削除など、リソースデータを作成または変更するユーザー主導のアクション。データに影響を与える可能性や、リソースが機密情報にアクセスすることを可能にする可能性があるアクションが含まれるが、モデルとの直接的なやりとりは除外

　これらにより、ユーザーのログインおよびログアウトイベント、アカウント設定の更新、ワークスペースの変更など、組織の監査イベントが網羅される。なお、Compliance APIは、ユーザーとモデルのやりとりやモデルのアクティビティーといった推論アクティビティーはログに記録しない。

Compliance APIの使用開始

　組織でCompliance APIを有効にするには、アカウントチームに連絡する必要がある。有効化後は管理者向けAPIキーを作成し、Compliance API経由でアクティビティーログを取得できる。なお、ログの記録は、APIが有効化された時点から開始されるので、それ以前のアクティビティーは取得できない。