「シャドーClaude」対策が可能に Anthropicが「Compliance API」公開:操作履歴や設定変更を監査ログとして取得
Anthropicの「Claude Platform」で「Compliance API」が利用可能になり、管理者は組織全体の監査ログにプログラムからアクセスできるようになった。
Anthropicは2026年3月30日(米国時間)、「Claude Platform」で監査・統制機能「Compliance API」が利用可能になり、管理者は組織全体の監査ログにプログラムからアクセスできるようになったと発表した。
これにより、セキュリティおよびコンプライアンスチームは、ユーザーアクティビティーの追跡、設定変更の監視、既存のコンプライアンス基盤へのClaude利用データの統合ができるようになる。
「誰が何をしたか」を追跡可能に
金融サービス、ヘルスケア、法務といった規制の厳しい業界の組織では、「誰が、いつ、何にアクセスし、何が変更されたか」という詳細な記録が必要だ。こうしたデータにプログラムからアクセスする手段がなければ、コンプライアンスチームは手動でデータをエクスポートし、定期的にレビューを行わなければならない。
Compliance APIは、組織全体におけるセキュリティ関連のイベントログを記録するアクティビティーフィードを提供する。管理者は期間、特定のユーザー、APIキーなどでこのフィードをフィルタリングし、アクティビティーログを取得できる。
Compliance APIで以下の2つのカテゴリーのアクティビティーを追跡できる。
- 1.管理およびシステムアクティビティー
- ワークスペースへのメンバー追加、APIキーの作成、アカウント設定の更新、エンティティーのアクセス権の変更など、リソースに対するアクセス権や設定を変更するアクション(操作)
- 2.リソースアクティビティー
- ファイルの作成、ダウンロード、スキルの削除など、リソースデータを作成または変更するユーザー主導のアクション。データに影響を与える可能性や、リソースが機密情報にアクセスすることを可能にする可能性があるアクションが含まれるが、モデルとの直接的なやりとりは除外
これらにより、ユーザーのログインおよびログアウトイベント、アカウント設定の更新、ワークスペースの変更など、組織の監査イベントが網羅される。なお、Compliance APIは、ユーザーとモデルのやりとりやモデルのアクティビティーといった推論アクティビティーはログに記録しない。
Compliance APIの使用開始
組織でCompliance APIを有効にするには、アカウントチームに連絡する必要がある。有効化後は管理者向けAPIキーを作成し、Compliance API経由でアクティビティーログを取得できる。なお、ログの記録は、APIが有効化された時点から開始されるので、それ以前のアクティビティーは取得できない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
複数のAIエージェントをどう組み合わせる? 3つのワークフローパターンをAnthropicが解説
複数のAIエージェントで問題を解決する場合、単に丸投げするのではなく、AIエージェントが活躍できるような仕組みが必要です。そのために必要な3つのワークフローパターンをAnthropicが公開したブログ記事を基に紹介します。
Anthropic、Coworkに“業務特化Claude”を構築できるプラグイン追加
Anthropicは、AIエージェント機能「Cowork」にスキルやコネクター、スラッシュコマンド、サブエージェントを組み合わせて、業務に特化した「Claude」をカスタマイズできるプラグイン機能を追加した。
【無料】Anthropic公式「エージェントスキル入門」講座が公開 Claude Codeでの活用法が分かる22分の動画
Anthropicのオンライン講座「Anthropic Academy」に、Claude Codeの重要機能「エージェントスキル(Agent Skills)」を解説する新コースが追加された。約22分の動画で、AIエージェントの新しい開発スタイルを学べる講座の内容を整理し、技術の背景も含めて紹介する。
「ChatGPTの利用禁止」だけでは組織を守れない AIとどう向き合い、管理すべきか
生成AIにおいても「シャドーIT」と同様、見えないところで使われるというセキュリティリスクの問題が顕在化しています。なぜ従業員は非公認ツールを使ってしまうのか? その根本原因と、IT担当者、組織の向き合い方とは。