AnthropicはClaude Managed Agentsで、セッション単位のモデル・Prompt・Tool・MCP・Skill上書き、Vault資格情報のHeader・Body注入位置、Agent・Deployment・RunのWebhookを拡張した。実行時の柔軟性が増す一方、公開済みAgentのVersionだけでは実際の挙動を再現できない。企業はResolved Run Manifest、最小権限、秘密注入ポリシー、Webhook再取得、承認済みOverrideを実装する必要がある。
公開 2026年7月12日重要度 高公式発表
- 影響
- Claude Managed AgentsでMCP、外部API、資格情報、定期実行、長時間セッションを利用する開発・セキュリティ・SRE・業務自動化部門
- 対応
- 各セッションの解決済み設定をRun Manifestとして保存し、Override許可、Vault注入先、Webhook署名・再取得、秘密ローテーションをポリシー化する
- 期限
- 期限なし
AnthropicはAccess Transparencyでcmek_preserveイベントの仕様を明確化した。重大な安全調査などで保存対象となった内容は、CMEK組織でも顧客管理鍵の外へ再暗号化される場合があり、その変更はCompliance APIへ記録される。企業は鍵管理、保持方針、契約、SIEM、インシデント対応を一体で見直す必要がある。
公開 2026年7月12日重要度 高公式発表
- 影響
- Claude APIでCMEK、Zero Data Retention、Compliance API、Access Transparencyを利用するセキュリティ・法務・監査・基盤運用部門
- 対応
- cmek_preserveとanthropic_accessをCompliance APIから収集し、契約上の保持例外、通知遅延、対象外サーフェスを反映した監視・証跡・対応手順を整備する
- 期限
- 期限なし
AnthropicはClaude ConsoleでAPIキーとAdmin APIキーの有効期限を設定できるようにした。期限は作成時に固定され、失効後は401となるため、通知、棚卸し、ローテーションを自動化しないと本番停止につながる。
公開 2026年7月12日重要度 高公式発表
- 影響
- Claude APIを本番利用する企業、複数環境で長期キーを利用するチーム、Admin APIでキーを管理する組織
- 対応
- キー台帳へexpires_atを取り込み、期限前の発行、配布、切り替え、旧キー失効を自動化する
- 期限
- 期限なし
プロンプトインジェクションを完全に見抜く前提では、実行権限を持つAIエージェントを安全に運用できない。必要なのは入力検知だけでなく、最小権限、承認、分離、監査、取り消しを組み合わせた能力制御である。
公開 2026年7月12日重要度 高編集部分析
- 影響
- 対象サービスの管理者・利用者
- 対応
- 影響範囲を確認
- 期限
- 期限なし