AnthropicのClaudeのようなAIアシスタントは、1年足らずで単なる好奇の対象から基幹インフラへと変化しました。エンジニアリングチームはこれらを使ってコードを書き、財務チームはモデルを作成し、法務チームは契約を要約し、セキュリティチーム自身もアラート調査に利用しています。これらのワークフローはすべて、ソースコード、財務情報、個人識別情報(PII)、企業秘密などの機密データに触れます。そして、それらすべてが、企業の他の部分を保護するSIEM、DLP、アクセスレビューの範囲外に存在する新しいID、新しいプロジェクト、新しいチャットを生み出します。
セキュリティチームやSOCチームにとって、このギャップは看過できません。昨夜誰がOktaにログインしたか、Google Driveでどのファイルが変更されたかは確認できます。しかしこれまで、財務責任者が午前2時に、自社が事業を展開していない国のIPからClaudeチャットに貼り付けた内容は、見えませんでした。
この度、ExaforceがClaudeのCompliance APIと統合し、Claude Enterpriseのアクティビティを直接 Exaforceプラットフォームインベントリとして、またIDコンテキスト、コンテンツの機密性、脅威検出のための第一級の情報源として取り込むことを発表します。Claudeは今やエンタープライズデータサーフェスです。Exaforceは、他のセキュリティスタックと同様に、Claudeを管理可能、調査可能、検出可能にします。
Claudeを接続するとExaforceが把握できること
Claude Enterprise組織をExaforceに接続すると、Compliance APIから情報を取得し、社内でClaudeがどのように利用されているかについて、完全な全体像を構築します。
- 組織、ユーザー、および組織の役割:すべてのClaudeユーザーは、企業内のIDにマッピングされます。 Okta、Entra、Google Workspace、またはお客様が運用するあらゆるIdP
- プロジェクト、プロジェクトの役割、および所有権:プライバシー設定、添付ファイルの数、チャットの数、および各プロジェクトの責任者。
- 会話とメッセージ:監査可能なイベント。コンテンツは機密性分析に利用可能です(詳細については下記を参照)。
- 添付ファイルとプロジェクトの知識:Claudeプロジェクトにアップロードされたファイルはリソースとしてインベントリ化され、それらに触れたプロジェクトやIDとの関連付けが行われます。
- 監査イベント:ログイン、役割の変更、APIキーの作成、プロジェクトメンバーシップの変更、会話の閲覧など。
- ポスチャーの検出結果: 古くなったAPIキー、最近活動のない特権ユーザー、メンバーシップが広範な機密プロジェクト、孤立したプロジェクトオーナー、脆弱なプロジェクトプライバシー設定、機密チャットやファイルを含むプロジェクト。
ほとんどのAI可視化は、インベントリと監査ログで止まってしまいます。Exaforceは、ClaudeのアクティビティをID、機密性、行動、アクセスに結びつけることで、チームが何が起こったかだけでなく、誰が関与したか、どのようなデータが露出したか、そしてその行動が異常だったかどうかを理解できるようにします。それが基盤です。そして、ほとんどのAI可視化の話は、おおよそそこで終わってしまいます。Exaforceは、SecOpsにとって重要な3つの具体的な方法で、さらに踏み込みます。
1. Claude監査イベントにおける脅威検知
インベントリは「何が存在するか」を教えてくれます。検知は「何かがおかしいとき」を教えてくれます。Exaforceは、Claudeの監査イベントを、Okta、Google Workspace、GitHub、Zscalerのイベントと同様に扱います。これらは、IDごと、ワークスペースごと、プロジェクトごとなど、複数の次元でベースライン化され、行動ベースおよびルールベースの検知器で評価されるストリームとして処理されます。Claudeのアクティビティは周囲のエンタープライズテレメトリと相関しているため、Exaforceは同じ調査中にClaudeイベントをID、デバイス、ネットワーク、リポジトリ、クラウド、エンドポイント、SaaSのアクティビティに接続できます。
例えば、異常な場所から閲覧された機密チャット。90日間のベースラインでバンガロールからのログインのみが示されているユーザーが、突然、別の国のASNからPIIを含むとラベル付けされたチャットを開いた場合。Exaforceは、Claudeの会話閲覧イベントをユーザーのIDグラフベースライン(地理情報、ASN、デバイス、時間帯)と相関させ、完全な証拠チェーンとともにアラートを発します。
その他の標準搭載の検知機能には、高機密プロジェクトへの異常な時間外アクセス、以前にAPIサーフェスを使用したことのないIDによる初めてのAPIキー作成、以前に機密としてフラグ付けされたチャットを含むプロジェクトからの添付ファイルの一括ダウンロード、以前に一切関与したことのないプロジェクトのオーナーまたは管理者へのユーザーの昇格(ロールエスカレーション)、および機密コンテンツを保持するプロジェクトでのSSO無効化またはプライバシー設定の脆弱化が含まれます。
2. 機密チャットのラベリング
チャットが閲覧されたことを知ることは有用です。そのチャットにPII、機密情報、または規制対象データが含まれていたかどうかを知ることで、単なる興味深い監査イベントが、対処すべきインシデントへと変わります。
ExaforceはClaudeのチャットコンテンツを分析し、含まれる機密データの種類に基づいて各会話にラベルを付けます。この分析は、意図的に広範です。1つの会話に顧客の名前とメールアドレス、支払いカード番号、内部APIキーが同時に含まれている場合でも、Exaforceは存在する各カテゴリにフラグを立てます。目標は、チームがチャットを開く前に、それが日常的なものか、調査する価値があるものかを判断するのに十分なシグナルを提供することです。これらの同じラベルは、規制対象データ、機密情報、顧客データ、財務データ、その他の機密情報がClaudeプロジェクト内のどこに現れるかを示すことで、AIガバナンスおよび監査ワークフローもサポートします。
これらのラベルは、検知機能とアクセスグラフにフィードバックされます。異常な場所から閲覧された機密チャットのアラートは、そのチャットに機密性ラベルがある場合にのみ発動します。新しいプロジェクトで共有された機密チャットに関するアラートは、お客様の環境で「機密」が何を意味するかを知っている場合にのみ意味を持ちます。ラベルは、ID、監査、リスクを結びつける結合組織です。
重要なのは、機密性分析は会話コンテンツの並行コピーを保持することなく実行されることです。プラットフォームにはラベルと最小限の証拠スニペットのみが流れます。ExaforceがClaudeの会話の第二の長期リポジトリになる必要はありません。会話コンテンツは、機密性ラベル、最小限の証拠、および検知コンテキストを生成するために分析され、元のコンテンツはClaude内で管理されたままになります。
3. IDアクセスグラフ
3つ目の要素であり、チームがExaforceを他のスタック全体ですでに使用しているものと最も類似しているものは、 IDアクセスグラフ。
Exaforceは、企業IDから、そのIDがアクセスできる個々のClaudeリソースまでをたどるグラフを構築します。組織のロール、組織のメンバーシップ、プロジェクトのロールを経て、プロジェクト自体、そして最終的にはその中の添付ファイルやプロジェクト知識ファイルに至るまでを可視化します。
3つのClaudeプロジェクトでオーナーロールを持つ単一ユーザーの場合のグラフの例を次に示します。
グラフ内の各ノードは、アクセスのレイヤーに対応しています。IDは、お客様のIdPに対して解決される企業ユーザーです。組織ロールは、そのユーザーがClaude組織レベルで何ができるかを捉え、組織は彼らがどのClaude Enterprise組織に属しているかを追跡します。そこから、プロジェクトロールは各プロジェクト内で保持するロールを記録し、プロジェクトはプライバシー設定とメタデータとともにアクセス可能なすべてのプロジェクトを表面化し、リソースはプロジェクト知識ファイル、データセット、添付ファイルを含む、それらのプロジェクトから到達可能な実際のコンテンツを公開します。
任意のノードをクリックすると、視点を切り替えられます。例えば、あるデータセットにアクセスできるすべてのIDを表示したり、PII(個人識別情報)がラベル付けされたチャットを含む、ユーザーが所有するすべてのプロジェクトを表示したりできます。AWS IAM、Oktaグループ、GitHubリポジトリへのアクセスに対してチームが既に実行しているグラフトラバーサルと全く同じものが、Claudeにも適用できるようになりました。
セキュリティとガバナンスにおける支援対象
ID侵害を調査するSOCアナリストは、侵害されたアカウントがアクセスできたClaudeプロジェクト、チャット、添付ファイル、および対象期間中に機密性の高いチャットが開かれたかどうかを即座に確認できます。検出エンジニアは、他のIDスタックで既に利用しているのと同じ言語とエンジンで、ユーザーごとに算出された行動ベースラインを用いて、Claudeの監査イベントに対するルールを作成できます。
コンプライアンス担当者は、誰が何にアクセスできるか、Claudeプロジェクト内で機密データがどこに存在するかを証明し、ログを別のツールにエクスポートすることなく、監査対応可能な証拠を生成できます。内部リスクチームは、退職する従業員やフラグが立てられたユーザーがClaudeをどのように利用していたかについて、閲覧した内容、アップロードした内容、共有した内容を含め、Exaforceが既に監視している他のすべての情報と合わせて、全体像を把握できます。
Claudeが開発者ワークフロー、接続ツール、MCPサーバー、リポジトリ、Webhook、自動化へと拡大するにつれて、Exaforceは、ID、リソース、機密性を理解し、行動が通常から逸脱したときに検出することで、Claudeのアクティビティをより広範なAIサプライチェーンと関連付ける方法をチームに提供します。
Claudeのセキュリティ対策を始める
Claude Compliance API連携は、ExaforceとClaude Enterpriseの両方をご利用のお客様に現在提供されています。既にExaforceをご利用の場合は、「データソース」ページから直接コネクタ経由でオンボーディングできます。Exaforceを初めてご利用で、SOCレベルの視点からClaudeの利用状況を把握したい場合は、 デモをご依頼ください。
Claudeは、あらゆる重要なワークフローに組み込まれるでしょう。その可視性、機密性、検出レイヤーも同様に存在すべきです。
