個人用AIが組織内で機能しなくなる理由＝Claude Codeを進化させるClaude Tagという新パラダイム

AIはChatGPTに代表されるチャットボットとして利用が始まり、今は一部の先進的なユーザーが自分専用のAIアシスタントとして活用するようになっている。ユーザーに代わって、各種タスクを自律的にこなす存在になってきているわけだ。

しかし米Anthropicは、組織内でのAI活用が広がると、ユーザーの代理としてのAIを活用する方法はいずれ破綻するという。代わりに同社が提案するのは、Slackなどのメッセージングツールのチャンネルごとに独立したAIエージェントを配置する仕組みだ。同社はこのほど、その仕組みを提供する機能Claude Tagを一部ユーザー企業に提供し始めた。

AIの３番目のパラダイム。Claude CodeはClaude Tagで進化する

Claude Tagを一言で表現すれば、Slackなどの共有チャンネルに常駐し、チーム全員で共同利用できる、一定の権限を持った自律型AIエージェント機能ということになる。ユーザーは会話の中で「@Claude」とタグ付けするだけで、Claudeに仕事を依頼できる。Claudeは会話の内容を理解し、利用を許可されたツールやデータを使いながら作業し、その結果をSlackに返すという。

これだけ読むと、そこまで画期的な機能には思えない。しかしAI業界で最も尊敬されているエンジニアの一人で、最近Anthropicに入社したAndrej Karpathy氏は、「しばらく使わないと、その凄さは分からない」とした上で、Claude Tagをユーザーインターフェース（UI）、ユーザーエクスペリエンス（UX）の新しいパラダイムだと絶賛する。ChatGPTのようなウェブサイトから始まったAIは、次にOpenClawのようなパソコンにインストールするソフトとなった。そしてClaude Tagが拓く3つ目のパラダイムでは「AIが自己完結した、常時存在する非同期の存在」となり「組織全体のツールや文脈にアクセスしながら、人間のチームと並んで働く」ようになると言う。

Anthropic自体も、人気コーディングエージェントのClaude Codeは今後Claude Tagで進化する、としている。

事実Anthropic社内では、業務の遂行にSlack上のClaude Tagを使うことが一般的になっており、開発部署が作成するプログラミングコードの65%は、Claude Tagによって書かれているという。また開発部門以外では、たとえば、サービスの利用状況や売上につながる指標を確認したり、顧客から寄せられた問い合わせを整理したり、システム障害や不具合の原因を調べたりする仕事にも、Claude Tagが使われているという。

個人用AIアシスタントはチームの中で破綻する

ではどうして、ユーザーの代理としてのAIエージェントが、組織の中ではうまく機能しなくなるのだろうか。

これまでのAI利用は、基本的には「人間がその場で頼む」ものだった。ユーザーがチャット画面を開き、「この資料を要約して」「予定を確認して」と指示する。AIは、そのユーザーがログインしている間だけ、ユーザー本人の権限を使ってGoogleドライブやカレンダーなどにアクセスする。

この形であれば、権限管理は比較的わかりやすい。AIはユーザーの目の前で動いており、作業が終わればセッションも切れる。いわば、AIは個人の作業を一時的に手伝う「アシスタント」にすぎなかった。

しかし、AIエージェントの進化は、この前提を崩し始めている。AIがこなせるタスクの長さは急速に伸びており、単発の質問に答えるだけでなく、複数の作業を組み合わせ、数時間かけて自律的に進めるようになりつつある。

たとえば、「今夜の会議の議事録をまとめ、関連するGitHubのコードを修正し、明日の朝までに海外の取引先にメールを送っておいて」と頼む。ユーザーがパソコンを閉じて寝ている間も、AIは予定を確認し、コードを読み、必要なファイルにアクセスし、メールを作成する。これはもはや、目の前で動くチャットボットではない。

ここで問題になるのが、「AIは誰の権限で動くのか」という点だ。

ユーザー本人が不在のまま、AIが個人アカウントの権限を握り続け、社内ネットワークやクラウド上のデータにアクセスし続ける。果たしてそれで大丈夫なのか。AIが誤った判断をしたり、外部から乗っ取られたりすれば、ユーザー本人の権限で広範囲のデータにアクセスできてしまう。

さらに、企業内でAIをチームメンバーとして使う場合、問題はもっと複雑になる。Slackの共有チャンネルでチームメンバーAさんが指示を出して、AIが夜中に動こうとするとき、Aさんの権限を使うべきなのか、それとも同じチャンネルにいるBさんの権限を使うべきなのか、判断がつかなくなる。

個人アシスタント型のAIでは、この問いに十分に答えられない。AIがチームの中で自律的に働くようになるほど、従来の「ユーザー本人の権限を一時的に借りる」という仕組みは、企業利用の現実に合わなくなっていくというわけだ。

Claude Tagはまるで社員のように行動する

ではClaude Tagは実際に、どのように動くのだろう。詳しく見ていくことにしよう。

Anthropicによると、Claude Tagが有効になっているチャンネルでは、Claudeは特定の単一ユーザーの代理として行動するのではなく、接続するシステムごとに独自の「アカウント」を持つことになる。たとえばSlackでは、Claudeは誰かの名前を借りて発言するのではなく、「Claude」というチームメンバーとして返事をする。Claudeがソフトウェアの修正案を出すときは、個人のGitHubアカウントではなく、Claude専用のGitHubアプリとして提案を出す。社内データを調べるときも、社員個人の権限ではなく、管理者があらかじめ用意したClaude用の業務アカウントを使う。

個人のユーザー認証情報、つまりパスワードやアクセス権限が使われることはない。そのため、Slackの共有チャンネルを通じて、誰かの個人ファイルを勝手に見られてしまうような事態は起こりにくいという。

チャンネルごとに一つのAIエージェント

Claude Tagは、SlackのチャンネルごとにAIエージェントを一つ配置する。システム管理者は、このAIエージェントごとにIDを付与し、それぞれがアクセスできるデータやツールとの接続条件やスキルを１つずつ設定できるようになっている。

たとえば、開発部署のチャンネルにはGitHubやデータウェアハウスへのアクセス権を与えたり、営業部署にはCRM（顧客管理システム）への接続を可能にしたりできるという。

このほか、エージェントがどの開発用フォルダのファイルを読めて、どこまで編集できるかといったリポジトリのアクセス権を設定できる。開発部署にはデータウェアハウスへの書き込みを認める一方で、それ以外の部署には「読み取り」だけを認める、といった運用も可能だという。

さらに管理者は、エージェントにどんな仕事を得意にさせるかも設定できる。Anthropicはこれを「スキルとプラグイン」と呼んでいる。これは、特定の業務をうまくこなすための指示書、簡単な自動処理プログラム、参考資料などをまとめたフォルダのようなものだ。エージェントは必要に応じてそれらを読み込み、開発、営業、サポートなど、それぞれのチャンネルの仕事に合わせて動けるようになる。

さらに、チャンネルごとの「基本ルール」も設定できる。開発、営業、サポートでは、エージェントに求められる振る舞いも、参照すべき情報も違う。管理者は、各チャンネルの目的や前提知識をあらかじめエージェントに与えておくことで、エージェントがその場の仕事に合った答え方をできるようにすることが可能だ。

また管理上の利点もある。エージェントは個々の社員の代理ではなく、独自のIDを持つ存在として動く。そのため、特定のエージェントの利用を止めたい場合は、そのIDを無効にすればよい。そうすれば、そのエージェントが接続していたSlack、GitHub、社内データベースなどへのアクセスをまとめて止められる。多数の社員アカウントを調べ回り、AIがどこで何をしていたのかを一つずつ確認するより、企業にとってははるかに扱いやすい仕組みになる。

「誰が使えるか」から「AIに何を許すか」へ

ここで重要なのは、Claude Tagの権限管理が、人間の社員を中心にした従来の考え方とは違うことだ。

これまでの企業システムでは、基本的に「この社員は何にアクセスできるのか」を基準に権限を決めてきた。ところがClaude Tagでは、「このチャンネルにいるClaudeエージェントは何にアクセスできるのか」を基準にする。

そのため、ある社員自身には開発用のファイル置き場を見る権限がなくても、その社員が参加しているSlackチャンネルのエージェントにその権限が与えられていれば、その社員はエージェントに頼んで内容を確認してもらうことができる。

これは従来の権限管理から見ると、かなり大胆な仕組みに見える。ただAnthropicは、自律的に動き、複数の人が共同で使うAIエージェントを企業で運用するには、こうした新しい権限管理が必要になると考えているという。

ただし、エージェントがどこにでも自由にアクセスできるわけではない。Claude Tagでは、チャンネルごとにClaudeエージェントの「アイデンティティ」が分けられている。法務部門の非公開チャンネルにいるエージェントは、そこで許可されていない開発用ファイルにはアクセスできない。逆に、開発部門のチャンネルにいるエージェントは、許可されていない法務文書を読むことはできない。

この境界は、アクセス権だけでなく、エージェントが覚えている情報にも及ぶ。ある非公開チャンネルでエージェントが学んだ内容が、社内全体の別のチャンネルで突然使われることはない。チャンネルごとに、エージェントが見られる情報と、覚えてよい文脈が区切られているわけだ。

また、Claudeエージェントのアイデンティティはチャンネルにひもづいている。そのため、基本的にはそのチャンネルに参加しているメンバーであれば、誰でもエージェントに仕事を頼める。一方で管理者は、そのチャンネルのエージェントに与える権限を、必要最小限に絞ることができる。Enterpriseプランではさらに、チャンネル内の誰がClaudeエージェントを呼び出せるのかまで細かく設定できるという。

つまりClaude Tagでは、チャンネルが二つの役割を持つ。ひとつは、エージェントがどの情報やツールにアクセスできるかを決めること。もうひとつは、誰がエージェントに仕事を頼めるかを決めることだ。AIエージェントをチームで使うには、こうした境界線をチャンネル単位で引くことが重要になる。

広く使わせ、必要に応じて絞る

では、Claudeエージェントにはどこまで広くアクセスを認めるべきなのか。

Anthropicは、すべての情報を一律に開放すべきだと言っているわけではない。基本的な考え方は、リスクの低い共有ツールはチャンネル内のClaudeエージェントに広めに使わせ、個人性の高いツールや、特定チームだけが扱うべき情報は、個人とのDMや限定されたチャンネルに閉じるというものだ。

Anthropicが社内でClaude Tagを使ったところ、Claudeの価値は、接続できるツールや参照できる情報が増えるほど高まったという。Slackの議論、Google Drive上の資料、問い合わせ管理ツールのチケット、データウェアハウスの検索結果。こうした情報をClaudeが横断的に組み合わせられるようになると、単独のツールでは出せない答えを返せるようになるからだ。

たとえば、顧客からの問い合わせについて調べる場合、Slackでの社内議論だけを見ても全体像は分からない。関連する資料、過去の問い合わせ履歴、利用状況のデータまで確認できて初めて、原因や次の対応が見えてくる。Claude Tagの強みは、こうした複数の情報源を一つの文脈として扱える点にある。

そのためAnthropicは、最初からある程度広めのアクセス権を与え、その後、監査ログを見ながら必要に応じて権限を調整していく方法を勧めている。まずいくつかのチャンネルで標準的な設定を試し、Claudeが何にアクセスし、どんな仕事をしたのかを確認する。その上で、業務上の必要性がはっきりしたものから、一つずつ慎重にアクセス権を広げていくという考え方だ。

もちろん、より細かい管理もできる。特定のチャンネルではClaude Tagを無効にすることもできるし、Enterpriseプランでは、Claudeを呼び出せるユーザーを役割ごとに制限することもできる。つまりClaude Tagは、AIに幅広い仕事をさせるための仕組みであると同時に、どこまで任せるかを管理者が段階的に決められる仕組みでもある。

共有チャンネルとDMを使い分ける

一方で、ClaudeとのDMは共有チャンネルとは扱いが異なる。

共有チャンネルのClaudeは、そのチャンネルにひもづいたアイデンティティで動く。これに対してDMでは、Claudeはユーザー個人のclaude.aiアカウントを使って動く。つまり、その人が接続しているツール、その人の認証情報、その人の名前で作業するということだ。

そのためDMは、チャンネルに置くべきではない個人的な作業に向いている。たとえば、自分名義で送るメールの下書き、自分だけがライセンスを持っているソフトウェアの操作、個人の権限でしか扱えない資料の確認などである。

つまりClaude Tagでは、共有チャンネルとDMを使い分ける。チームで共有すべき仕事は、チャンネルにいるClaudeがチームのAIエージェントとして処理する。一方で、個人にひもづく仕事は、DMでその人のAIアシスタントとして処理する。ここに、従来の個人アシスタント型AIとの大きな違いがある。

安全性はログで担保する

では、企業がClaudeに社内システムへのアクセスを認める場合、その安全性はどう担保されるのか。

Claude Tagでは、管理者があるチャンネルに社内システムとの接続を追加すると、その認証情報はチャンネルのアイデンティティにひもづけて管理される。社員個人のパスワードをClaudeに渡すのではなく、そのチャンネルのClaude専用の接続情報として扱われるわけだ。

さらに、Claudeが外部のシステムにアクセスする際も、管理者が許可していない接続先には通信できない。つまりClaudeが勝手に未知の外部サービスへ情報を送ることはできず、どのシステムとつながるかを管理者があらかじめ決められる。

監査の仕組みも用意されている。Claudeがどの処理を実行したのか、どんな記憶を書き込んだのか、どの外部システムにアクセスしたのかは記録される。さらにClaudeは独自の業務アカウントで動くため、GitHubやデータベースなど接続先のシステム側にも、Claudeが行った操作としてログが残る。

これは企業にとって重要だ。問題が起きたときに、「どの社員の権限でAIが動いたのか」を後から推測するのではなく、「どのチャンネルのClaudeが、いつ、どのシステムにアクセスしたのか」を確認できるからだ。AIエージェントを企業で使うには、便利さだけでなく、こうした記録と追跡の仕組みが欠かせない。

Anthropicは、こうした「エージェントのアイデンティティ」がClaude Tagの権限管理の土台になると位置づけている。

今後はさらに、より細かい安全機能を加える計画だという。たとえば、普段はClaudeに広い権限を与えず、機密性の高い操作が必要になった瞬間だけ、ユーザーがその場で一度限りの承認を出す仕組みを想定している。これなら、Claudeの権限を恒久的に広げることなく、必要な作業だけを許可できる。

また、組織内の権限構造が複雑な企業向けには、チャンネル側の権限だけでなく、依頼したユーザー本人の権限も確認する仕組みを加える方針だ。つまり、Claudeが何かを実行するには、「そのチャンネルのClaudeに許されていること」と「依頼した社員本人に許されていること」の両方を満たす必要がある、という考え方である。

Claude Tagの本質は、SlackでClaudeを呼び出せるという機能そのものではない。AIを個人の助手ではなく、チームの中で働く自律型エージェントとして扱うための、新しい権限管理のモデルにある。

AIの３番目のパラダイムを狙う企業

もちろん、Karpathy氏の言うAIの3番目のパラダイムを狙っているのはAnthropicだけではない。

企業の中でAIエージェントを働かせるには、AIモデルそのものだけでは足りない。社内の文書、会議、顧客情報、業務システムにアクセスできること。そして、そのアクセスを安全に管理できることが必要になる。Claude Tagが示しているのは、そのための一つの設計思想である。

MicrosoftはCopilotやWork IQを通じて、企業内の人間の仕事とAIエージェントの仕事を結びつけようとしている。同社CEOのSatya Nadella氏は、人間の知見とAIが生み出す作業量を組み合わせ、企業内に新しい学習ループを作る必要があると語っている。

米データ基盤企業のSnowflakeや、米データ分析基盤企業のDatabricksも、自律型AIエージェントが活用できる企業データの基盤を押さえようとしている。米企業向け検索サービスのGleanも、企業の文脈を理解し、AIモデルと社内データの間に入る「インテリジェンス層」の構築を進めている。

つまり、次の競争は「どのAIモデルが賢いか」だけでは決まらない。AIにどのデータを見せ、どのツールを使わせ、どこまで権限を与えるのか。その管理基盤（コントロールプレーン）こそが、企業AIの主戦場になりつつある。なぜなら、その管理基盤にこそ企業の暗黙知が蓄積され、ベンダーにとっての最大のロックインのツールになり得るのだから。

 

出典
https://claude.com/blog/agent-identity-access-model
https://x.com/karpathy/status/2069547676849557725?s=20