先に結論
Claude Managed Agents の今回の更新で大きいのは、Claude をどこで動かすか と 社内ツールへどう届かせるか を分けて設計しやすくなったことです。
結論だけ先に言うと、役割はこう分かれます。
- self-hosted sandboxes: agent のコード実行、filesystem、network egress を自社インフラ側へ寄せる
- MCP tunnels: private MCP server への接続を outbound-only で通す
- 両方使う場面: 実行も接続も社内境界へ寄せたいとき
逆に言うと、MCP tunnels があるから self-hosted sandbox は不要、とはなりません。主語が違います。
何が公開されたのか
Anthropic は 2026-05-19 の Claude Platform release notes で、Claude Managed Agents に self-hosted sandboxes を追加し、MCP tunnels を research preview として公開しました。
release notes の時点で押さえるべき事実は3つです。
- self-hosted sandboxes で、tool execution を Anthropic 管理コンテナではなく自社インフラへ移せる
- MCP tunnels で、private network 内の MCP server に inbound port を開けずに届かせられる
- self-hosted sandboxes は Claude Platform on AWS では未対応、MCP tunnels は research preview です
つまり今回は、新モデル追加ではありません。enterprise 導入時の execution boundary を細かく切り分けられる更新 です。
まず分けて考えるべき2つの論点
1. self-hosted sandboxes は「どこで実行するか」の話
self-hosted sandboxes では、Managed Agents の orchestration は Anthropic 側に残しつつ、コード実行、filesystem、network egress を自社インフラ側へ移せます。
Anthropic のドキュメントでも、標準の cloud environment と self-hosted sandbox の違いは次のように整理されています。
- tools が走る場所
- network policy を誰が握るか
- file と GitHub mount を誰が管理するか
- lifecycle を誰が持つか
社内データを SaaS 側の execution environment に置きたくない組織には、ここがいちばん効きます。特に security や platform チームは、control plane は外に残しても execution plane は自社で持てるか を見ています。
2. MCP tunnels は「どう private MCP に届くか」の話
MCP tunnels は、private network 内で動く MCP server を Claude へつなぐための経路です。
ポイントは、outbound-only connection で動くことです。Anthropic の説明では、inbound firewall port の開放、public internet への露出、Anthropic IP の allowlist が不要になります。
この機能で解決するのは、たとえば次の悩みです。
- 社内の docs、monitoring、ticketing 用 MCP server を外へ晒したくない
- public endpoint を増やさずに Claude から private tool を使いたい
- 接続経路を security review しやすくしたい
ただし、MCP tunnels だけでは agent の実行場所は変わりません。ここを混ぜると設計を誤ります。
どちらを使うべきか
判断を急ぐなら、次の切り分けで十分です。
self-hosted sandbox を先に見るべきチーム
- コードや build artifact を自社ネットワーク外へ出したくない
- tool execution の network egress を自前 policy で縛りたい
- file lifecycle や GitHub mount を自社責任で持てる
- worker 運用の手間が増えても境界を優先したい
この条件なら、まず見るべきは self-hosted sandbox です。近い比較軸は Self-hosted前提のAI coding agent比較 にあります。
MCP tunnels を先に見るべきチーム
- 実行自体は managed のままでもよい
- private MCP server だけ安全につなぎたい
- inbound port を開けずに導入したい
- docs、DB、社内 SaaS への connector 経路を先に整えたい
この条件なら、MCP tunnels の方が先です。MCP server 側の接続整理を早く進められます。
両方必要なチーム
- execution も tool access も社内境界へ寄せたい
- security review で「コードはどこで走るか」と「private tool にどう届くか」を分けて説明する必要がある
- managed agent は使いたいが、完全な Anthropic-managed container では通しにくい
この場合だけ、2つを組み合わせる価値があります。Anthropic の self-hosted sandboxes ドキュメントも、実行場所は self-hosting、private MCP 接続は tunnels と独立した役割だと明記しています。
導入前に確認したい制約
AWS 利用組織はここで止まりやすい
Anthropic は self-hosted sandboxes について、Claude Platform on AWS では未対応 と明記しています。
なので、AWS 経由利用を前提にしている組織は、今すぐ self-hosted sandbox を標準導入できるとは限りません。社内の契約経路や認証設計が AWS 側へ強く寄っているなら、この一点だけでも事前確認が必要です。
MCP tunnels は research preview
MCP tunnels は research preview です。Anthropic の overview でも、uptime や継続提供にコミットしない可能性、Cloudflare 依存の transport であることが書かれています。
本番導入候補として見る価値はありますが、長期の本番標準に即固定するより、まず security review と実証で確かめる段階 と見たほうが安全です。
self-hosted sandbox は worker 運用が増える
self-hosted sandbox を選ぶと、環境 worker を自社で動かします。ドキュメント上でも、queue polling、skills download、tool execution、result の返却を worker が担います。
つまり、楽になるというより、境界の代わりに運用責任を引き取る 更新です。Sandbox 基盤の比較から入りたいなら、AIエージェント向けSandbox比較 も先に見ておくとつながります。
いま何を確認すべきか
導入検討の最初の30分で確認するなら、この4点で足ります。
- agent のコード実行を SaaS 側に残してよいか
- private MCP server に inbound 開放なしで届く必要があるか
- worker、certificate、token rotation を自社で運用できるか
- AWS 経由利用や preview 制約が調達条件にぶつからないか
この4つが固まれば、いま見るべきものが self-hosted sandbox なのか、MCP tunnels なのか、その両方なのかが見えます。
収益記事としての見どころ
今回の更新は、比較を増やさなくても回遊が作りやすいテーマです。
読者はまず「Claude Managed Agents で社内境界をどこまで閉じられるか」を知りたくて入り、その後で self-hosted 比較、sandbox 比較、監査性比較へ進みます。記事の主語を Anthropic の更新に固定したまま、後段の比較記事へ自然につなげやすいのが強みです。