Managed Agents セルフホスト Sandbox|4 社比較と選び方
Anthropic が 2026 年 5 月 19 日に Managed Agents の Self-Hosted Sandbox をパブリックベータで公開し、Cloudflare・Daytona・Modal・Vercel の 4 プロバイダから選べる構成になりました。エンタープライズ受託や監査要件の厳しい顧客提案で「どこに自社データが届くか」を即答できる構成が、ようやく公式選択肢として揃った形です。本記事では 4 社の料金・レイテンシ・SDK 言語・国内データ residency 対応を比較し、提案書 1 枚に落とせる選定基準と移行 7 ステップまで整理しました。
Anthropic は 2026-05-19 に Managed Agents のセルフホスト Sandbox を公開 し、Cloudflare・Daytona・Modal・Vercel の 4 プロバイダから tool execution / file system / network egress を自社インフラに寄せられる ようになりました。orchestration と model inference は引き続き Anthropic 側で動き、責務分担は 5 ブロック中 3 ブロックがセルフホスト側です。
選定の鉄則は 「顧客の監査要件と主要言語」から逆算する ことです。エッジ即時起動なら Cloudflare、dev container と Python 主体なら Daytona、Python ML パイプラインなら Modal、Node 中心の Web 案件なら Vercel が初手です。同日公開の MCP Tunnels と組み合わせると egress 経路まで自社網に閉じられる ため、SOC2 / ISO27001 を取得済みの顧客向けには Cloudflare + Tunnels が現実解になります。
ベータ期間中の移行は 依存ツール棚卸し → プロバイダ選定 → Sandbox イメージ最小権限 → トンネル接続検証 → 並列実行とリトライ設計 → 監査ログ統合 → GA フォールバック計画の 7 ステップ が定石です。ベータから GA への切り替え時にイメージや権限境界が変わる可能性 があるため、Anthropic ホスト版へ即時フォールバックできる二系統運用を準備したうえで本番投入することを推奨します。
目次 (22)
- Managed Agents セルフホスト Sandbox とは — 2026-05-19 ベータ公開の全体像
- 同日公開された MCP Tunnels との関係
- 「自社インフラで動く」と「自社インフラから到達できる」は別物
- Anthropic ホスト版とセルフホスト版の責務分担 — orchestration は Anthropic 側のまま
- セルフホスト Sandbox が担う 3 ブロック
- Anthropic 側に残る 2 ブロック
- Cloudflare / Daytona / Modal / Vercel 4 プロバイダ比較表 — 料金・レイテンシ・SDK 言語
- 各プロバイダの強み
- 月コスト試算 3 ケース
- セキュリティ監査要件と国内データ residency の選定基準
- 政府生成 AI 調達ガイドライン DS-920 との整合
- 国内案件でセルフホスト Sandbox が優位な場面
- Anthropic ホスト版からセルフホスト版へ移行する 7 ステップ実務チェックリスト
- Step 1: 既存 Managed Agents の依存棚卸し
- Step 2: プロバイダ選定
- Step 3: Sandbox イメージのビルドと最小権限設定
- Step 4: orchestration エンドポイントとのトンネル接続検証
- Step 5: 並列実行・タイムアウト・リトライ方針の設計
- Step 6: 監査ログ・トレースの自社 SIEM 統合
- Step 7: ベータ → GA 移行時のフォールバック計画
- 出典
- 関連記事
Managed Agents セルフホスト Sandbox とは — 2026-05-19 ベータ公開の全体像
Anthropic は 2026 年 5 月 19 日、Managed Agents の Self-Hosted Sandbox 機能をパブリックベータとして公開しました。Anthropic Platform Docs のリリースノート と Cloudflare 公式 Blog の同日発表記事 が一次情報で、英語速報の the-decoder と 9to5Mac が補足しています。これまで Managed Agents は Anthropic ホスト版のみで、ツール実行や一時ファイル書き込みが Anthropic 管理のサンドボックス内で行われていました。ベータ公開以降は同一の API 経路を維持したまま、tool execution 層を Cloudflare / Daytona / Modal / Vercel のうち選んだプロバイダに寄せられる構成が公式選択肢になりました。
同日公開された MCP Tunnels との関係
セルフホスト Sandbox と同じタイミングで、MCP サーバーへの到達経路を専用トンネルで閉じる MCP Tunnels も公開されています。Sandbox がツール実行の「場所」を制御するのに対し、Tunnels はその実行から MCP サーバーへの「経路」を制御する補完関係で、両者を組み合わせると顧客データが Anthropic 管理網を経由しないトポロジを構成できます。9to5Mac の解説でも「privacy and security の 2 機能セット」と整理されており、エンタープライズ提案書ではこの 2 つを必ず併記すべき節目のリリースです。
「自社インフラで動く」と「自社インフラから到達できる」は別物
ここで頻出する誤解が「セルフホスト = orchestration まで自社で動かす」という認識です。実際にはセルフホスト Sandbox が担うのはツール実行の側であり、エージェントを駆動するオーケストレーションロジックとモデル推論は引き続き Anthropic 側で動きます。後段で責務分担表を整理しますが、提案書では「Anthropic ホスト版と何が違うか」を 5 ブロックの責務で言い換えるのが安全です。ベータ期間中は申請ベースでの利用受付となっており、Console の Workspace 単位で機能フラグが有効化されてから sandbox provider を選べるフローになっています。
Anthropic ホスト版とセルフホスト版の責務分担 — orchestration は Anthropic 側のまま
セルフホスト Sandbox の挙動を顧客に説明するときに最も伝わるのは、Managed Agents 全体を 5 ブロックの責務に分解したうえで「どこが自社に来るか」を 1 枚で示す方法です。Anthropic Platform Docs と Cloudflare Blog の説明を突き合わせると、責務分担は次の表のように整理できます。
| 責務ブロック | Anthropic ホスト版 | セルフホスト Sandbox | 主な担当データ |
|---|---|---|---|
| Orchestration(エージェント制御) | Anthropic | Anthropic | エージェント計画・ステップ管理 |
| Model inference(モデル推論) | Anthropic | Anthropic | プロンプト・モデル出力 |
| Tool execution(ツール実行) | Anthropic | 顧客選定プロバイダ | コマンド実行・コード実行 |
| File system(一時ファイル) | Anthropic | 顧客選定プロバイダ | 中間生成物・作業ディレクトリ |
| Network egress(外部通信) | Anthropic | 顧客選定プロバイダ | API 呼び出し・MCP 接続 |
セルフホスト Sandbox が担う 3 ブロック
セルフホスト側に来るのは tool execution / file system / network egress の 3 ブロックです。エージェントが bash や python を叩いて生成した一時ファイル、外部 API 呼び出し、MCP サーバーとの通信はすべて自社インフラ内で完結します。SOC2 や ISO27001 を取得済みの顧客企業に対しては、この 3 ブロックの「データ届く範囲」をプロバイダのリージョン単位で説明でき、顧客監査の Q&A シートを書きやすくなる効果が大きい点が実務上の最重要ポイントです。
Anthropic 側に残る 2 ブロック
一方、orchestration と model inference は引き続き Anthropic 側で動きます。プロンプトとモデル出力は Anthropic API 経由でやり取りされ、Anthropic は推論ログを既定では学習に使わない契約条件を継続しています。「モデル推論まで自社インフラで」と要求する顧客には、Managed Agents ではなく Amazon Bedrock や Vertex AI 経由の Claude 利用 を併用する設計が現実的で、セルフホスト Sandbox は「ツール実行層だけ自社に寄せたい」案件に最適化された機能だと整理してください。
Cloudflare / Daytona / Modal / Vercel 4 プロバイダ比較表 — 料金・レイテンシ・SDK 言語
4 プロバイダの差は提案書の単価と監査適合性に直結します。各社の公式 Blog と Anthropic Platform Docs の対応プロバイダ一覧を突き合わせて整理したのが次の比較表です。料金体系は本記事執筆時点(2026-05-22)のベータ告知ベースで、GA 切り替え時に価格改定が入る可能性がある点だけは顧客提案時に明記してください。
| 項目 | Cloudflare | Daytona | Modal | Vercel |
|---|---|---|---|---|
| 料金体系 | リクエスト + CPU 時間 | 月額シート + 実行時間 | 秒課金(コア + メモリ) | 実行時間 + 帯域 |
| 起動レイテンシ | エッジで 50ms 級 | 200-500ms 級 | 数百 ms 〜数秒 | 100-300ms 級 |
| 対応 SDK 言語 | TypeScript / Python | Python / Go / Node | Python 主軸 | TypeScript / Node 主軸 |
| 同時実行上限 | 高め(分散) | プロジェクト単位 | コア確保で柔軟 | プラン依存 |
| 主リージョン | 330+ エッジ | US / EU | US / EU | グローバル CDN |
各プロバイダの強み
Cloudflare はエッジ即時起動と 330 以上のロケーションが強みで、レイテンシ要件が厳しい顧客向け SaaS の組み込みに向きます。Daytona は dev container ベースで開発環境ごとサンドボックスにするアプローチが特徴で、Python と Go の混在パイプラインや、IDE 統合まで含めて顧客に渡す受託案件で扱いやすい構成です。Modal は秒課金とコア確保の柔軟性で Python ML / データ処理パイプラインに最適化されており、Vercel は Node を主軸とした Web 寄りのエージェント実行で既存の Vercel 案件と統合しやすい強みがあります。
月コスト試算 3 ケース
実際の月コストは「平均ツール実行時間 × 同時実行数 × 月稼働日数」で見るのが基本です。個人開発の試験運用(1 日 30 分のツール実行・同時 1)であれば 4 社いずれも月数ドル〜十数ドル前後に収まりますが、中小 SI の本番(1 日 4 時間・同時 5)では Modal の秒課金が割安に出やすく、エンタープライズの 24 時間稼働(同時 20 以上)では Cloudflare のエッジ常駐モデルが安定して低レイテンシを保てる傾向が強く出ます。提案時は各プロバイダのレイテンシと月コストを 2 軸で見せ、顧客の SLA に合った 1 社に絞ってください。
セキュリティ監査要件と国内データ residency の選定基準
エンタープライズ受託の場合、料金以上に決定打になるのが監査適合性とデータ residency です。Cloudflare・Modal・Vercel は SOC2 Type II と ISO27001 を取得済みで、Daytona は SOC2 Type II の取得と継続更新を 2026 年に公表しており、4 社とも基本的なエンタープライズ監査要件はクリアできます。一方で国内データ residency については各社の対応リージョンに差があり、顧客が「日本国内でツール実行を完結させたい」と要求する場合は事前確認が必須です。
政府生成 AI 調達ガイドライン DS-920 との整合
国内案件で参照すべき指針が、デジタル庁が 2026 年 4 月 1 日に全面適用した 生成 AI の調達・利活用に係る基本方針 DS-920 と、経済産業省・総務省が 2026 年 3 月末に公表した AI 事業者ガイドライン 1.2 版 です。DS-920 はデータ主権・推論ジオロケーション・監査ログ要件に関する要求事項を整理しており、政府系・自治体系の調達案件では「ツール実行・一時ファイル・egress のリージョン」を契約書に明記する必要が出てきています。セルフホスト Sandbox はこの要件に対応しやすい設計ですが、Anthropic 側の orchestration / inference は引き続き Anthropic 管理のリージョンに依存するため、顧客が「推論まで国内固定」と要求する場合は Bedrock 経由 Claude に切り替える判断も必要です。
国内案件でセルフホスト Sandbox が優位な場面
国内データ residency が「ツール実行と一時ファイル」だけを対象とする要件の場合、セルフホスト Sandbox は強力な選択肢になります。Cloudflare の東京リージョン経由でエッジ常駐させれば 50ms 級のレイテンシで国内案件を捌けますし、Modal を US / EU で運用しつつ顧客データのみ国内 RDS に閉じる構成も組めます。一方で「モデル推論まで国内固定」「ベンダー単一窓口」を求められる金融・公共系案件では、AWS / Microsoft Foundry / Vertex AI 経由の Claude 利用のほうが現実的で、セルフホスト Sandbox は「監査ログ統合と egress 制御だけ自社に寄せる」用途に絞って提案するのが安全です。
Anthropic ホスト版からセルフホスト版へ移行する 7 ステップ実務チェックリスト
移行はベータ期間中であることを前提に、二系統運用で段階的に進めるのが鉄則です。Anthropic ホスト版を維持しつつセルフホスト Sandbox を試験運用し、安定確認後にトラフィックを切り替える流れを 7 ステップで整理します。
Step 1: 既存 Managed Agents の依存棚卸し
最初に、現行 Managed Agents が利用しているツール・MCP サーバー・外部 API・network egress 先を一覧化します。Anthropic Console のエージェント設定とログから、過去 30 日に呼ばれた tool name と egress 接続先を抽出し、顧客監査向けの dependency map を作成します。この時点で「Anthropic 管理外に出してよい依存」と「社内 SIEM へ統合する egress」を分類しておきます。
Step 2: プロバイダ選定
依存棚卸しの結果をもとに、本記事の比較表で 1 社に絞ります。エッジ即時起動が必要なら Cloudflare、Python ML 主体なら Modal、Node Web 案件なら Vercel、dev container と多言語混在なら Daytona が初手です。国内 residency 要件がある場合は東京リージョン対応の Cloudflare を優先候補とし、Anthropic Console の Workspace 設定で sandbox provider をベータ申請します。
Step 3: Sandbox イメージのビルドと最小権限設定
選定プロバイダ向けに、ツール実行に必要な最小限のランタイム(Python / Node / bash 等)だけを含む Sandbox イメージをビルドします。ベースイメージは Distroless や Alpine など攻撃面の小さいものを選び、root 実行を禁じた non-root ユーザーで起動するよう設定します。書き込み権限は作業ディレクトリのみ、egress は許可リスト方式で必要な外部ホストだけを通す方針が定石です。
Step 4: orchestration エンドポイントとのトンネル接続検証
Anthropic 側の orchestration エンドポイントから、選定プロバイダの Sandbox に到達する経路を検証します。MCP Tunnels を併用する場合は、Tunnels 経由で MCP サーバー到達まで通ることを確認します。最初は dev 環境でエージェント 1 体を流し、tool execution と一時ファイル書き込み、egress の 3 ブロックがセルフホスト側で完結することをログで実証します。
Step 5: 並列実行・タイムアウト・リトライ方針の設計
ベータ段階は同時実行上限と起動レイテンシが想定外に出ることがあります。プロバイダ別の同時実行上限・起動レイテンシ・冷起動率をベータ環境で実測し、エージェント側のタイムアウトとリトライ回数を調整します。エッジ常駐型(Cloudflare)と秒課金型(Modal)では適切なタイムアウトが異なるため、本番投入前に SLO を数値で確定させます。
Step 6: 監査ログ・トレースの自社 SIEM 統合
ツール実行・一時ファイル書き込み・egress 接続のログをすべて自社 SIEM(Splunk / Datadog / Sumo Logic / OpenSearch 等)に集約します。プロバイダごとに OTLP / Webhook / S3 export の対応が異なるため、Step 3 のイメージビルド時にエージェント側で OpenTelemetry trace を出力し、SIEM 側で Anthropic 側 orchestration ログと突き合わせられるよう trace_id を伝播させる設計が安全です。
Step 7: ベータ → GA 移行時のフォールバック計画
ベータ期間中はイメージ仕様・権限境界・課金体系が GA 切り替え時に変わる可能性があります。本番投入する場合は、Anthropic ホスト版へ即時フォールバックできる二系統運用を維持し、Console の sandbox provider 設定を 1 操作で戻せる手順書を整備します。Anthropic の Code 系変更履歴 と News ページ を毎週 1 回チェックし、GA 移行アナウンスから 30 日以内に二系統運用を再評価する運用が現実的です。
出典
- Anthropic Platform Docs リリースノート(一次出典)
- Cloudflare 公式 Blog: claude-managed-agents
- the-decoder: Anthropic adds Self-Hosted Sandboxes and MCP Tunnels
- 9to5Mac: Anthropic Enhances Claude Managed Agents
- Anthropic News
- Code 系変更履歴
- デジタル庁 DS-920(2026-04-01 全面適用)
- AI 事業者ガイドライン 1.2 版
