セキュリティ

セキュリティに分類された記事を、変更内容、影響、対応、期限とともに掲載しています。

4 記事
新規機能
Anthropic

AnthropicがManaged Agentsの実行時上書きと資格情報注入を拡張、再現性と秘密管理の新しい責任

AnthropicはClaude Managed Agentsで、セッション単位のモデル・Prompt・Tool・MCP・Skill上書き、Vault資格情報のHeader・Body注入位置、Agent・Deployment・RunのWebhookを拡張した。実行時の柔軟性が増す一方、公開済みAgentのVersionだけでは実際の挙動を再現できない。企業はResolved Run Manifest、最小権限、秘密注入ポリシー、Webhook再取得、承認済みOverrideを実装する必要がある。

影響
Claude Managed AgentsでMCP、外部API、資格情報、定期実行、長時間セッションを利用する開発・セキュリティ・SRE・業務自動化部門
対応
各セッションの解決済み設定をRun Manifestとして保存し、Override許可、Vault注入先、Webhook署名・再取得、秘密ローテーションをポリシー化する
期限
期限なし
新規セキュリティ
Anthropic

AnthropicがCMEK保存イベントを明確化、顧客鍵の外へ再暗号化される例外をどう監査するか

AnthropicはAccess Transparencyでcmek_preserveイベントの仕様を明確化した。重大な安全調査などで保存対象となった内容は、CMEK組織でも顧客管理鍵の外へ再暗号化される場合があり、その変更はCompliance APIへ記録される。企業は鍵管理、保持方針、契約、SIEM、インシデント対応を一体で見直す必要がある。

影響
Claude APIでCMEK、Zero Data Retention、Compliance API、Access Transparencyを利用するセキュリティ・法務・監査・基盤運用部門
対応
cmek_preserveとanthropic_accessをCompliance APIから収集し、契約上の保持例外、通知遅延、対象外サーフェスを反映した監視・証跡・対応手順を整備する
期限
期限なし
新規API
Anthropic

Anthropic APIキーに有効期限設定、運用で変わる点

AnthropicはClaude ConsoleでAPIキーとAdmin APIキーの有効期限を設定できるようにした。期限は作成時に固定され、失効後は401となるため、通知、棚卸し、ローテーションを自動化しないと本番停止につながる。

影響
Claude APIを本番利用する企業、複数環境で長期キーを利用するチーム、Admin APIでキーを管理する組織
対応
キー台帳へexpires_atを取り込み、期限前の発行、配布、切り替え、旧キー失効を自動化する
期限
期限なし
新規セキュリティ
OpenAI

AIエージェントの安全性は「賢さ」ではなく、渡した権限で決まる

プロンプトインジェクションを完全に見抜く前提では、実行権限を持つAIエージェントを安全に運用できない。必要なのは入力検知だけでなく、最小権限、承認、分離、監査、取り消しを組み合わせた能力制御である。

影響
対象サービスの管理者・利用者
対応
影響範囲を確認
期限
期限なし