2026年4月8日、Anthropicが「Claude Managed Agents」のパブリックベータを発表した。
AIエージェントを「つくる」だけでなく、「動かし続ける」ためのインフラを丸ごと提供するという宣言だ。
プロトタイプから本番環境への移行に必要な期間を「数ヶ月から数日へ」と短縮する、と公式ブログは明言している。
だが、この発表の本質は「便利なツールが増えた」という話ではない。
Anthropicのエンジニアリングチームが公開した技術ブログを読み込むと、そこにはAIエージェントの根本的な設計課題への回答が詰まっていた。
本稿では、公式ドキュメント・技術ブログ・開発者向けAPI仕様を横断的に分析し、Claude Managed Agentsの設計思想を「どこよりも深く」解剖する。
Claude Managed Agentsとは何か
まず基本を押さえたい。
Claude Managed Agentsは、Claudeをautonomous agent(自律的エージェント)として動かすための「ハーネス(制御装置)+インフラ」をホスティングするサービスだ。
従来、AIエージェントを本番環境で動かすには、開発者が自前で用意しなければならないものが山ほどあった。
- エージェントループ(モデル呼び出し→ツール実行→結果フィードバックの繰り返し)
- サンドボックス環境(コード実行の隔離)
- チェックポイント(中断・復旧のための状態保存)
- クレデンシャル管理(APIキーやOAuthトークンの安全な取り扱い)
- スコープ付きパーミッション(エージェントに許可する操作の制限)
- エンドツーエンドのトレーシング(デバッグ・監査用のログ)
これらを一から構築すれば、数ヶ月のインフラ作業が発生する。
Managed Agentsは、この「エージェントを動かすためのすべて」をAPIとして提供する。
4つのコアコンセプト
公式ドキュメントが定義する基本概念は4つだ。
Agent:モデル、システムプロンプト、ツール、MCPサーバー、スキルの組み合わせ。一度定義すれば、IDで繰り返し参照できる。
Environment:エージェントが動作するコンテナのテンプレート。Python、Node.js、Goなどのパッケージがプリインストールされ、ネットワークアクセスのルールも設定できる。
Session:エージェントの実行インスタンス。特定のタスクを実行し、アウトプットを生成する。数時間にわたる長時間実行にも対応し、接続が切れても状態を保持する。
Event:アプリケーションとエージェント間でやり取りされるメッセージ。ユーザーの入力、ツール実行結果、ステータス更新がすべてイベントとして流れる。Server-Sent Events(SSE)によるリアルタイムストリーミングだ。
三層分離アーキテクチャ――「脳」と「手」を切り離す設計革命
Claude Managed Agentsの技術的核心は、Anthropicのエンジニアリングブログに詳述されている。
タイトルは「Scaling Managed Agents: Decoupling the brain from the hands」。直訳すると、「脳と手の脱結合」だ。
この設計判断の背景には、初期のアーキテクチャで直面した深刻な問題がある。
初期設計の失敗:「ペット」問題
従来のアプローチでは、セッション(状態管理)、ハーネス(エージェントループ)、サンドボックス(コード実行環境)を単一のコンテナに統合していた。
この設計は一見シンプルだが、致命的な欠点を抱えていた。
コンテナが障害を起こすと、セッション全体が失われる。
デバッグのためにコンテナ内でシェルを開く必要があるが、そこにはユーザーデータも存在する。
結果として、各コンテナが「ペット」(手作業で個別管理するサーバー)になってしまい、スケーラビリティが壊滅的だった。
DevOpsの世界では「サーバーはペットではなく家畜として扱え」が鉄則だ。
しかし初期のManaged Agentsは、まさにその鉄則に違反していた。
解決策:脳・セッション・手の三層分離
Anthropicが採用した解決策は、エージェントの構成要素を3つのレイヤーに分離することだった。
第1層「脳」(Brain):ハーネスの外部化
エージェントループ(ハーネス)をコンテナの外に取り出した。
コンテナとの通信は、execute(name, input) → stringというシンプルなツール呼び出しインターフェースに統一。
これにより、コンテナは「交換可能な家畜」に変わった。
障害時には標準レシピで再初期化すればよい。provision({resources})を呼ぶだけだ。
第2層「セッション」:永続的イベントログ
セッションをハーネスから独立した耐久的なログとして外部に配置した。
ハーネスが障害を起こしても、wake(sessionId)で再起動し、getSession(id)でイベントログを取得、emitEvent(id, event)で進捗を記録する。
ハーネス内部に永続化ロジックを持つ必要がなくなり、完全なステートレス設計が実現した。
第3層「手」(Hands):実行環境の多様化
各実行環境(コンテナ、VPC内リソース、外部ツール等)を統一インターフェース経由でアクセス可能にした。
Claudeが複数の実行環境を推論に基づいて選択し、並行して操作できる設計だ。
この三層分離により、それぞれのレイヤーが独立してスケール・障害復旧・アップグレードできるようになった。
セキュリティ設計の革新――「到達不可能」という構造的防御
エージェントのセキュリティは、従来のWebアプリケーションとは根本的に異なる課題を抱えている。
なぜか。
エージェントは「AIが生成したコード」を「ユーザーの認証情報がある環境」で実行する。
プロンプトインジェクション攻撃が成功すれば、環境変数を読み取るだけで認証情報が漏洩しうる。
Managed Agentsは、この問題に対して「スコープ制限」ではなく「構造的防御」を採用した。
リソースバンドル方式
Git認証トークンはサンドボックスの初期化時にリモートリポジトリに組み込まれる。
エージェントが直接トークンに触れることはない。
OAuth保管庫
MCPツール呼び出しはプロキシ経由で実行される。
クレデンシャルは外部のVault(保管庫)で管理され、サンドボックス内には一切存在しない。
つまり、Claudeがサンドボックス内で何を実行しようと、トークンやクレデンシャルに物理的に「到達できない」構造になっている。
「権限を制限する」のではなく「そもそもアクセスパスが存在しない」という設計だ。
これは、AIエージェントのセキュリティ設計における重要なパラダイムシフトと言える。
コンテキスト管理の新戦略――セッションを「外部オブジェクト」として扱う
長時間稼働するエージェントは、必然的にClaudeのコンテキストウィンドウを超過する。
従来は「圧縮」や「トリミング」によるコンテキスト削減が必要だったが、これは情報の不可逆的な損失を伴う。
Managed Agentsは、別のアプローチを採った。
getEvents()インターフェースにより、セッション履歴を「コンテキスト外のオブジェクト」として扱う。
ハーネスは必要に応じて以下の操作を実行できる。
- イベントストリームの任意の位置からスライスを取得
- 特定時点の直前数イベントまで遡行
- 特定アクション前後の文脈を再読み込み
取得したイベントは変換・加工してからClaudeに渡せるため、プロンプトキャッシュの最適化やコンテキストエンジニアリングを自由に実装できる。
セッションの「耐久性保証」と「文脈管理」の関心事を完全に分離した設計だ。
開発者体験――7言語対応のSDKとCLI
Managed Agentsは、開発者体験にも力を入れている。
Anthropic SDKは7言語(Python、TypeScript、Go、Java、C#、Ruby、PHP)でManaged Agents APIをサポートしている。
さらにantというCLIツールも提供され、Homebrewでインストールできる。
エージェントの作成からセッション開始、イベントストリーミングまでの基本フローは驚くほどシンプルだ。
Pythonの場合、数十行のコードでエージェントの定義・環境構築・セッション開始・ストリーミング処理が完結する。
agent_toolset_20260401というツールタイプを指定するだけで、Bash、ファイル操作、Web検索、MCPサーバー接続といった全ツールが有効になる。
料金体系はシンプルで、通常のClaude APIトークン料金に加え、セッション稼働時間あたり0.08ドル(約12円)が加算される従量課金モデルだ。
競合比較――OpenAI、Google、AWSとの構造的差異
AIエージェントプラットフォームの競争は2026年に入り、一気に激化している。
Managed Agentsの独自性はどこにあるのか。
対OpenAI Agents SDK
OpenAIのAgents SDKは、スレッドベースの薄いラッパーとOS レベルのサンドボックスを提供する。
Code Interpreter、File Search、Web SearchといったホストツールはOpenAIのインフラ上で動作し、サーバー管理は不要だ。
一方、Claude Managed Agentsはhooks(ライフサイクルポイントでの挙動制御)とサブエージェント(タスク委譲による子エージェント)を中核に据え、より細粒度の制御を提供する。
決定的な違いは「インフラの抽象度」だ。
OpenAIは「ツール実行」を抽象化する。Anthropicは「エージェントの運用全体」を抽象化する。
対Google Vertex AI Agent Builder
Googleの強みは100万トークンのコンテキストウィンドウとマルチモーダル対応、そしてBigQueryやGoogle Workspaceとのネイティブ統合だ。
コスト面でもGemini 2.0 Flashは100万入力トークンあたり0.10ドルと、価格競争力が高い。
ただし、Managed Agentsのような「脳と手の分離」という構造的な設計哲学は持たない。
Google Cloudエコシステムに深く統合されている分、ベンダーロックインのリスクも大きい。
対Amazon Bedrock Agents
AWSのBedrock Agentsは、IAM認証、VPC分離、CloudTrail監査ログなど、エンタープライズ向けのセキュリティ・コンプライアンス基盤が最も堅牢だ。
マルチモデル対応も強みで、Claude、Llama、Mistral、Cohereなど複数モデルを切り替えられる。
一方で、エージェントの設計思想そのものに踏み込む深さでは、Managed Agentsに及ばない。
Bedrockは「モデルを安全に動かす場所」であり、Managed Agentsは「エージェントの動かし方そのものを再定義する」プラットフォームだ。
企業導入事例が示す「実戦投入」の現在地
パブリックベータの段階で、すでに複数の著名企業がManaged Agentsを導入している。
**Notion**は、ワークスペース内でのタスク委譲機能を実装した。
ユーザーがNotionのインターフェース上でエージェントにタスクを振り、結果がワークスペースに反映される形だ。
Rakutenは、企業向けエージェントの展開サイクルを「週単位」にまで短縮した。
従来のインフラ構築が不要になったことで、PoC(概念実証)から本番投入までの時間が劇的に短くなったという。
Sentryは、デバッグからPull Request自動生成までのパイプラインを数週間で実装した。
エラー検知→原因分析→修正コード生成→PR作成という一連のフローを、Managed Agentsのセッション上で自律的に実行する。
Vibecodeは、アプリケーションのデプロイ時間を10倍以上高速化したと報告している。
内部テストでも、構造化ファイル生成タスクにおいて、標準的なプロンプト方式と比較して成功率が最大10ポイント向上したとAnthropicは発表している。
エージェントAI市場の地殻変動
Managed Agentsの登場は、より大きな市場トレンドの中に位置づけて理解する必要がある。
Gartnerは、2026年末までにエンタープライズアプリケーションの40%がタスク特化型AIエージェントを搭載すると予測している。
2025年時点では5%未満だったことを考えると、異常なペースの浸透だ。
エージェントAI市場全体の規模は、2026年に108億ドル(約1.6兆円)に達する見込みだ。
2034年には1,966億ドル(約30兆円)まで拡大するとの予測もあり、年平均成長率は43.8%に上る。
この爆発的成長の中で、プラットフォームの選択は企業のAI戦略を根本から規定する。
AWS依存の企業はBedrockを選ぶ。Google Cloud上にデータがある企業はVertex AIを選ぶ。
これは「正しい判断」だと多くのアナリストが指摘している。インフラ統合のメリットが、モデル性能の差を上回るケースが多いからだ。
しかしAnthropicは、クラウドベンダーとは異なるポジションを狙っている。
「エージェントの設計思想そのものを提供する」という立ち位置だ。
「メタハーネス」という設計哲学の射程
Anthropicのエンジニアリングブログで最も示唆的だったのは、Managed Agentsを「メタハーネス」と位置づけている点だ。
特定のハーネス実装に意見を持たず、一般的なインターフェースのみを定義する。
セッション操作能力、サンドボックス計算能力、複数脳・複数手のスケーリング、信頼性とセキュリティ。
これらの「能力(capability)」をAPIとして提供し、その上で様々なハーネスが共存できる設計だ。
Claude Codeのような汎用的なハーネスも、特定タスクに特化したハーネスも、同じプラットフォーム上で動作する。
モデルが進化すれば、ハーネス自体をスワップ(交換)できる。
この「未来のハーネスに対して不可知的(agnostic)」な設計は、プラットフォームとしての寿命を大幅に延ばす戦略だ。
残された課題と、問いの行方
Managed Agentsは間違いなく、AIエージェントの本番運用における最も洗練された設計の一つだ。
しかし、課題がないわけではない。
まず、ベータ段階であること。マルチエージェント機能やメモリ機能は「research preview」であり、安定性の保証はまだない。
エンタープライズ導入では、この不確実性がハードルになりうる。
次に、エコシステムの成熟度。AWSやGCPと比べて、Anthropicの周辺ツール・サービスの層は薄い。
IAM、監査ログ、コンプライアンス対応といった「本番に必要だがエキサイティングではない」機能群での競争力が問われる。
そして最も本質的な問いがある。
「脳と手の分離」は、エージェントの信頼性とスケーラビリティを飛躍的に向上させた。
だが、エージェントが自律的に動く範囲が広がるほど、「何をどこまで任せるか」の判断は人間側に委ねられる。
技術的なブレイクスルーは、常に新しい責任の所在を生む。
Managed Agentsが解決した「インフラの問題」の先に、「ガバナンスの問題」が待っている。
エージェントを動かす基盤は整った。
次に問われるのは、それを「どう使いこなすか」という、私たち自身の設計力だ。
