7月16日、Tenableが「Understanding Anthropic's new AI agent Claude Tag's access model in Slack」と題した記事を公開した。この記事では、AnthropicがSlack向けに提供するAIエージェント「Claude Tag」のアクセスモデルと、管理者が取るべきセキュリティ対策について詳しく紹介されている。
「自分として動く」のではなく「エージェントとして動く」
Claude Tagは2026年6月23日にAnthropicがリリースしたSlack向けマルチプレイヤーAIエージェントだ。チャンネルメンバーが@Claudeとメンションするだけでタスクを委任でき、数時間〜数日にわたる自律的なジョブをスレッド上で実行できる。
ここで管理者が真っ先に理解すべきなのが、Claude Tagのアクセスモデルがユーザーごとの認証情報を使わないという点だ。
Slackの標準的なGitHub連携やJira連携は、各ユーザーが個人のOAuthトークンで認証する「ユーザー委任型」を採用している。/githubコマンドを実行すれば、そのユーザーの権限の範囲内でのみ操作が行われる。
Claude Tagは逆の設計を取る。管理者が「アクセスバンドル」と呼ばれる設定を一度構成し、そのバンドルがチャンネル内の全ユーザーに共有される。GitHubへのアクセスには、組織オーナーが設定したリポジトリのホワイトリストにスコープされたClaude GitHub Appのインストールトークンが使われ、個人のOAuthは一切使用されない。操作はClaudeアプリに帰属する。
「Claude Tagは、デプロイボット・ワークフロー自動化・インカミングウェブフックと同じ"サービスアイデンティティパターン"を採用している」
これは設計上の欠陥ではなく、明確な意図を持ったモデルだ。しかしその分、Slackのチャンネル管理がそのままアクセス制御の境界になるという新しいリスクモデルを生む。
アクセスモデルの3層構造
Claude Tagのアイデンティティモデルは3層で構成される。
- Claude Tagインストール — Slackワークスペースに紐づく
- アクセスバンドル — GitHubのApp認証やOAuth認証情報など、コネクタのクレデンシャルをまとめた単位。管理者が一度設定する
- スコープ — バンドルをどのワークスペースまたはチャンネルで有効にするかを定義する

単一のSlackチャンネルに紐づくアクセスバンドル。スコープはユーザーではなく管理者が設定する。(出典:Tenable Research)
Anthropicの公式ドキュメントには次の警告が明記されている。
「パブリックチャンネルにバンドルをアタッチすると、そのチャンネルに参加した全員にバンドルのアクセス権が付与される。多くのSlackワークスペースでは誰でもパブリックチャンネルに参加できるため、チャンネルの参加ポリシーがバンドルの実効的なアクセス制御になる。高権限のクレデンシャルはプライベートチャンネルのスコープに限定すること。」(筆者訳)
要するに、パブリックチャンネルにセンシティブなバンドルをアタッチするのは危険だ。
管理者が今すぐ取るべき4つのアクション
Tenableは、マルチプレイヤーエージェントのアクセスリスクを低減するための具体的なアクションを4点挙げている。
アクセスバンドルを監査する — バンドルが保持するクレデンシャル、アタッチされているスコープ、そのスコープでClaudeを操作できるユーザーを洗い出す。Claude Enterprise企業向けには、claude.aiへのログイン必須化とRBAC(ロールベースアクセス制御)の活用も検討する
チャンネルメンバーシップとバンドルスコープを一緒にレビューする — センシティブなバンドルが紐づくチャンネルへの招待は承認フローを経由させ、監査ログに残す
バンドルのスコープを最小限に保つ — チャンネルが実際に必要なコネクタとリポジトリだけをアタッチする。チャンネルへの招待権限を特定の管理者のみに制限し、そのリストをIAMロールの見直しと同じサイクルでレビューする
可能な場合はユーザー委任型を選ぶ — 長時間の自律ジョブやチーム所有の自動化など、共有エージェントアイデンティティが適切な場面ではスコープを最小化し、チャンネルメンバーシップをIAM境界として扱う
Anthropicが予告している機能拡張
Anthropicは2026年6月24日の公式ブログで、今後の強化策を2点予告している。
- ジャストインタイムのクレデンシャル付与 — 永続的にスコープを広げるのではなく、ユーザーがその場で単一のセンシティブ操作を承認する仕組み
- アイデンティティアウェアオーバーレイ — より複雑なクリアランス構造を持つ組織向けに、エージェントのスコープの上にユーザーレベルのチェックを重ねるレイヤー
これらはあくまで既存のチャンネルスコープ型エージェントモデルへの追加オプションであり、エージェントアイデンティティモデルそのものを置き換えるものではない。
開示の経緯
本記事はTenableのTenable Researchチームによるもので、AnthropicのセキュリティチームとHackerOneを通じた協調的な開示プロセスを経ている。
- 2026-06-30 14:57(UTC) — Tenable ResearchがHackerOneへ初期レポートを提出
- 2026-06-30 17:14 — Anthropicがアクセスモデルの詳細な説明を返答
- 2026-07-01 9:49 — Tenable Researchが管理者設定体験に関する追加所見を送付
- 2026-07-02 13:41 — Anthropicがフィードバックを関連プロダクトチームに共有したことを確認
AnthropicとTenableはパートナーシップ関係にある。Anthropicは提出から約2時間以内に詳細な回答を返しており、対応は迅速だったと評価されている。注目すべきは、Tenableがこれを「脆弱性」としてではなく「アクセスモデルの設計上の注意点」として開示した点だ。バグの報告ではなく、新しいエージェントパラダイムが既存のSlackチャンネル管理の慣習と摩擦を生みうることを、業界全体へ周知する意図が読み取れる。
詳細はUnderstanding Anthropic's new AI agent Claude Tag's access model in Slackを参照していただきたい。