>
>
最終更新日
AIエージェントの爆発的な普及に伴い、企業における認証情報とアクセス権限の管理は、かつてないほど複雑化しています。特にAnthropic社が提供するClaudeや、それを外部データソースと接続するMCP(Model Context Protocol)の活用は、業務効率化の強力な武器となる一方で、セキュリティやコンプライアンスの観点から適切なガバナンスが求められます。
こうした背景のもと、2026年6月18日に「Enterprise-Managed Authorization(EMA)」がベータ版として正式リリースされました。本記事では、これまでの個別OAuthによる「プロンプト疲れ(Prompt Fatigue)」を解消し、IdP主導で安全なアクセス制御を実現する最新技術について、情シス部門が今すぐ取るべき具体的なアクションとあわせて解説します。
そもそもMCP(Model Context Protocol)とは
本記事のポイント
✓ 2026年6月18日に安定版がリリースされたEMAにより、個別OAuthの手間を省く「ゼロタッチOAuth」が実現した
✓ Oktaを起点とするXAA(Cross-App Access)規格の採用で、短寿命トークンによる安全なAI SSOが可能になった
✓ 2026年5月発表のCompliance APIにより、インラインでのリアルタイムデータ監査体制が構築できる
Model Context Protocol(MCP)は、AIエージェントが社内データベースやローカルファイル、APIなどの外部データソースに安全かつ統合された方法で接続するための共通仕様です。MCPはクライアントとサーバーの二者間通信により、AIモデルが必要なコンテキストを直接かつ動的に取得する構造を定義しています。Claude Chatをはじめ、開発支援ツールであるClaude Codeなどが、外部データと安全に通信を確立する際の中核となります。
国内における実務での浸透を示す事例として、株式会社マネーフォワードが提供する「マネーフォワード クラウド会計」が挙げられます。同サービスでは、AIエージェントから安全にデータを呼び出すための「MCPサーバー」を全プランに開放しました。これにより、開発者や従業員がClaude DesktopやClaude Codeを利用して、安全な認証を経由しながら仕訳の自動化などをシームレスに行う国内事例が急増しています。このように、接続先や認可範囲を標準規格によって制御し、データアクセスの安全性を担保する管理体制が強く求められています。
【最新情報】2026年6月18日正式リリース:「Enterprise-Managed Authorization(EMA)」とは
最新のEMAは、個別OAuth同意によるプロンプト疲れを解消し、IdP主導のAI SSOを実現する画期的な技術です。
これまでMCPを利用する際、ユーザーは連携するコネクターやデータソースごとに、個別にOAuth承認を繰り返す必要がありました。このプロセスは、作業の煩雑さを招くだけでなく、IT部門の関与しないところでデータ連携が行われるシャドーITリスクを助長させ、ユーザーの「プロンプト疲れ(Prompt Fatigue)」を引き起こしていました。
2026年6月18日に安定版(Stable)が正式リリースされた「Enterprise-Managed Authorization(EMA)」は、この問題を解決するために設計されました。技術基盤には、OAuthのオープン拡張規格である「XAA(Cross-App Access)」が採用されています。これにより、IdP(Oktaなど)のグループやロール情報に基づき、ユーザーが個別のSaaSに何度も認可を与える手間を完全に排除。一度のログインで、安全にスコープ制限された「短寿命の暗号署名付きトークン(Identity Assertion)」を自動発行する「AI SSO(シングルサインオン)」の仕組みが実現しました。
▲ 従来の個別OAuth認可とEMAによる一元的なAI SSOの構造比較
Enterprise-Managed Authorizationが解決する問題
EMAの導入により、シャドーITリスクを排除しつつ、大規模組織でのゼロタッチプロビジョニングと業務効率化を両立できます。
実際のビジネス現場において、この一元管理は多大な導入効果を上げています。統合SaaSプラットフォームを提供するWorkato(ワーカート)社では、全社員1,000人にChatGPT EnterpriseとClaudeを配布し、Enterprise MCPを介して社内システム(SalesforceやJiraなど)に安全に接続しました。その結果、データの転送作業をAIが自動化し、わずか2週間でAI利用量が700%以上急増した実績を記録しています。
また、米Fintech企業のRamp(ランプ)社では、Oktaを用いたEMA連携を初期導入。2,000名の全従業員が、個別のOAuth同意プロンプトに煩わされることなく、最初のログインだけで全社認可されたMCPコネクタへのアクセスを完了しました。Ramp社のStaff IT Engineerを務めるCameron Leavenworth氏は「追加の認証ステップを一切挟むことなく、2,000名規模のプロビジョニングをゼロタッチで完了できた。ユーザービリティを犠牲にせず強固なセキュリティを担保できるこの仕組みは、我々のIT運用を劇的に変えた」と語っています。
一方、英国のセキュリティ企業Intruder社が2026年5月に公開したスキャン調査によると、公開されているAI関連API(Ollama APIなど)の31%が認証なしで稼働していることが判明しています。このデータは、野良MCPサーバーへの接続(シャドーMCP)がいかに深刻なセキュリティリスクであるかを示しており、EMAによる一元的な認可制御の必要性を裏付けています。
比較項目 | 従来の個別OAuth承認 | 企業管理型認証(EMA) |
|---|---|---|
認可の管理主体 | 個別ユーザーの判断 | IT管理者(IdPによる一元制御) |
ユーザーの手間 | 接続ごとの手動承認(プロンプト疲れ) | 初回SSOのみのゼロタッチ認可 |
ガバナンスと監査 | 追跡困難(シャドーITリスク大) | IdP側のログによる完全なトレーサビリティ |
トークンの安全性 | 漏洩リスクの高い長寿命トークン | 数分で期限が切れる短寿命トークン |
技術的な仕組み — 動作フローを理解する
EMAはIdPが発行する短寿命のID Assertionを中継し、ユーザーに負担をかけないセキュアな通信経路を確立します。
この認証管理を支える設定から運用にいたるライフサイクルは、以下の6つのステップに整理されます。
IDプロバイダーとClaudeの接続:企業が導入しているIdP(Oktaなど)とClaude Enterpriseを、XAA(Cross-App Access)規格を用いて安全に接続します。
管理者が有効にするMCPコネクターを選択:管理者はClaude Admin Consoleから、社内アクセスを許可する外部データソース(MCPコネクター)を選択・有効化します。
ログイン時の自動プロビジョニング:社員がログインを試みる際、IdP側のグループやロール情報に基づき、アカウントとアクセス権が自動的に生成・プロビジョニングされます。
各種製品への一貫したアクセス権適用:ブラウザのClaude Chatだけでなく、開発者向けツールのClaude Codeにいたるまで一貫した権限が自動適用されます。
短寿命のIdentity Assertion(JWT)発行:IdPは、数分で期限が切れる暗号署名付きのトークン「Identity Assertion」を発行し、各MCPサーバーとの安全な通信を確立します。
接続制限による業務と個人利用の分離:アクセス元を自社のIdP接続経由のみに制限(SSOの強制)し、企業ドメインによる野良アカウント作成を遮断することで、シャドーITを未然に排除します。
▲ IdP接続から監査実行に至るEMAの技術的動作ライフサイクル(6つのステップ)
対応エコシステムと各社の状況
EMAは主要IdPや28以上のセキュリティ製品との連携体制が整いつつあり、AI利用における安全性の担保を支えます。
2026年5月、Anthropic社は企業管理者向けに「Compliance API」を正式リリースしました。これにより、Trend Micro (TrendAI Vision One) やProofpoint、Netskope、Palo Alto Networksなどの主要セキュリティプラットフォームがこのAPIを統合。ユーザーがClaude上で共有した機密データ(個人情報、ソースコードなど)の露出や、プロンプトインジェクション攻撃をインライン(遅延なく)で監査・可視化することが可能となりました。すでに28以上の主要プロバイダーがこの仕組みへの即時対応を表明しています。
また、EMAに対応する主要SaaS(Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase)の対応も完了しており、各社のセキュリティ責任者は以下のようにその堅牢性を高く評価しています。
Supabase社CISOのBil Harmer氏は「IdPがロールを統治することで、ビルダーはITガバナンスを損なうことなく必要なデータアクセスを安全に行うことができる」と評価します。
Figma社VP EngineeringのDevdatta Akhawe氏は「チームの開発速度を一切落とすことなく、大規模なMCPデプロイメントを安全に実現できるようになった」と述べています。
Atlassian社VP EngineeringのBrendan Haire氏は「管理者がIdP経由でMCPクライアントへのアクセスを一元管理できるため、社内データガバナンスの管理精度が大きく上がる」と説明しています。
情シスが注意すべきポイント
安全なAI運用には、初期IdPの制約への対処に加え、シャドーMCPや開発者ツールの特権昇格リスクに対する個別の防御策が必要です。
1. プラットフォームおよび初期IdPの制約と回避策
2026年6月のEMA安定版リリース時点で、ネイティブ対応しているIdPはOktaのみです。Microsoft Entra ID(旧Azure AD)やGoogle Workspaceなどを利用している企業は、通常のSAML/SCIMによるアカウント自動同期までは対応可能ですが、EMAの高度な機能については今後のロードマップを待つか、Keycloakやゲートウェイ中継(C1 Access Gatewayなど)を独自に構築する必要があります。また、設定ミスによる管理者ロックアウト(締め出し)を防ぐため、検証用の一時的な管理者アカウントをSSOの強制対象から一時的に除外する、あるいはバイパス可能な予備経路をあらかじめ確保しておく対策が必須です。
2. 新たな脅威「シャドーMCP(Shadow MCP)」への対策
ユーザーが情シスの許可なく、勝手にパブリックな野良MCPサーバーを「Claude Desktop」等に接続して開発やデータ連携を行う事例(シャドーITのAI版)が問題視されています。この対策として、マネーフォワード Admina などのSaaS管理ツールが展開する「AIツールのシャドー接続を検知・可視化するガバナンス機能」を導入し、手元で動いているAIの連携状態を把握しておきたい。
3. Claude Codeにおける「ローカルマシンの特権リスク」と隔離対策
開発者が注目するターミナルツール「Claude Code」は、デフォルトで開発者のローカルマシン(SSHキー、Docker、AWSやGCPの認証情報など)に直接アクセス可能な極めて高い実行権限を持っています。万が一のマルウェア感染や不正操作による特権昇格を防ぐため、Docker Desktop 4.57+ などの最新機能にある「Dockerサンドボックス」などの隔離環境でClaude Codeを動かすか、Claude Admin Consoleから「Managed Settings」を一元配布して「実行可能なコマンドや接続先ドメイン」を厳格に制限する対策を取る必要がある。
▲ 自社のIdP環境に応じたEMA導入ルート判断フロー
よくある誤解・失敗パターンと対策
APIキー漏洩やSSO未対応によるリスクは、設定の誤解から生まれることが多い。よくある3パターンを整理する。
誤解1:「MCP連携を使えば、通信やAPIキーはすべて自動的に保護される」
【現実】標準のMCP仕様では、各サーバーへ接続するたびにユーザー個別のOAuth同意が挟まれるため、情シス側で「誰が何のサーバーに、どんな権限で繋いでいるか」の監査トレイル(ログ)が追えません。
【対策】本格展開の際は、必ず今回リリースされた「Enterprise-Managed Authorization」および「XAA規格」に対応したIdPを中継させ、認可を一元管理してください。
誤解2:「どんなSSO(IdP)でも、今すぐEMA機能が使える」
【現実】前述の通り、EMAにネイティブ対応しているのは現状Oktaのみです。Entra IDやGoogle Workspaceユーザーは、通常の認証同期にとどまります。
【対策】ゲートウェイ中継の導入を検討するか、ロードマップを確認して段階的な移行計画を立てる必要があります。
失敗パターン3:静的なM2M(Machine-to-Machine)認証トークンの放置
【現実】AIエージェント用に発行したAPIキーやトークンを長寿命のままハードコードして放置し、GitHub経由などで漏洩するケースが継続的に報告されています。
【対策】EMA/XAAで採用されている、数分で期限が切れる短寿命の暗号署名付きトークン(Identity Assertion)をIdPから動的に発行する仕組みへ移行させ、万が一の漏洩時も被害を極小化する設計を適用してください。
AIツールの管理は次世代のSaaS管理になる
AIツールのアクセス管理は、SaaSの利用管理と同じ問題構造を持っている。ただし影響範囲が機密データとエージェントの実行権限に及ぶ分、リスクの桁が違う。
Microsoft 2026 Work Trend Indexによると、組織の文化・マネジメント・人材設計がAI活用効果の67%を占めており、AI活用を先導する「Frontier Firms」と呼ばれる先進企業はわずか17.7%にとどまることが明らかになっています。この2つのデータが示す通り、AIツールの認証管理は単なる技術的な設定作業にとどまらず、組織のAIガバナンス戦略の一環として位置づけるべきです。適切なアクセス制限と強固なアイデンティティ管理を通じて、組織が安全にAIの真価を引き出す基盤が整います。
実際に、Anthropic社による40万セッションの分析では、業務の専門知識を持つ熟練者は、そうでないユーザーに比べて2倍のアクションを実行し、5倍の出力を引き出す傾向が判明しています。適切な権限設計と認証管理が整うほど、AI活用の成果が上がるという逆説がある。
よくある質問
Q:Okta以外のIdPでもEMAは使えますか?
A:安定版ローンチ時点でEMAにネイティブ対応しているのはOktaのみです。Microsoft Entra IDやGoogle Workspaceなどをご利用の場合は、通常のSAML/SCIMによるアカウント自動同期までの対応となるため、今後の対応アップデートを待つか、ゲートウェイ中継(C1 Access Gatewayなど)を利用する必要があります。
Q:Claude Codeを開発者に使わせる際のセキュリティリスクは?
A:Claude CodeはローカルマシンのSSHキーやAWS/GCPの認証情報などの特権情報に直接アクセスするため、不正な特権昇格や漏洩のリスクがあります。対策として、Docker Desktop 4.57+の「Dockerサンドボックス」のような隔離環境で実行させるか、管理者設定(Managed Settings)を一元配布して実行コマンドや接続先ドメインを制限することが推奨されます。
Q:EMAにおける認証トークンの寿命とセキュリティは?
A:EMAでは、IdPから数分で期限が切れる暗号署名付きの短寿命トークン(Identity Assertion)が自動発行されます。万が一トークンが漏洩した場合でも被害を極小化できるほか、Okta等のIdP側でアカウントを無効化すれば数分以内に全MCPサーバーへの接続権限を即座に完全剥奪できる強固な設計となっています。
まとめ
EMAは個別OAuth承認の手間を排し、管理者主導の「ゼロタッチプロビジョニング」を実現する
Oktaを起点としたXAA規格の採用により、数分で期限が切れる短寿命の暗号署名付きトークンでの一元管理が可能になった
Compliance APIとの連携により、共有データの露出やプロンプトインジェクションへの複数の防御レイヤーを設けられる
情シス部門が今日から取り組むべきアクションは以下の通りです。
✅ 自社のIdP構成を確認し、Okta対応状況およびゲートウェイ中継の必要性を整理する
✅ Claude Enterpriseプランの要件を評価し、全社的な認証・認可統合に向けた計画を立てる
✅ 社内で利用中のAIツール・MCP接続の実態を棚卸しし、AI資産台帳を作成する
✅ 社内の野良MCP接続(シャドーMCP)を検知・可視化するガバナンス機能の導入を検討する
✅ Claude Codeを利用する開発者向けに、Dockerサンドボックス等の隔離環境とManaged Settingsによる接続制限のポリシーを策定する
企業におけるAIエージェントの本格的な実務展開に向けて、EMAは有効な対策基盤となる。安定版(Stable)として正式リリースされた今が、自社環境への本格導入を検討するタイミングです。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
