クロードの「共同作業」機能がマイクロソフト Copilot の最前線へ――委任が日常化する前に企業が求めるべきガバナンスの統制計画

「同僚」から統制されたエージェントへ

マイクロソフトは2026年3月9日、「Claude Cowork を駆動する技術」を“別の実験”や、ワークフローの端にユーザーが後付けするオプションではなく、Microsoft 365 Copilot の中核的な能力として位置づけました。Copilot Cowork は「リサーチプレビュー」として限られた顧客で試験中であり、より広い利用は3月の「Frontier」プログラムで提供されると同社は述べています。(microsoft.com)

この転換は、企業のガバナンスが守るべき対象を変えます。チャット中心のモデルでは、統制の焦点は出力、すなわちアシスタントが何を言うのか、何を引用するのか、そして方針にどれだけ整合しているのかに置けます。

しかしエージェント型の「協働実行（cowork execution）」モデルでは、ガバナンスは“行為そのもの”を守らねばなりません。どのようなアクションがシステムに許されるのか。承認／拒否を行えるのは誰のどのアイデンティティなのか。どのログが証拠になるのか。そして、エージェントが委任された作業の外へ踏み出さないための実行境界はどう設計されているのか。マイクロソフトが「タスクを完了し、ワークフローを実行し、あなたの代わりに仕事を行う」と語ることは、重心が会話から実行へ移ったことを示唆しています。(microsoft.com)

一方で、アンソロピック自身の企業向けガイダンスは、Cowork のプロダクト化が「デフォルトで監査に耐える（audit-ready）」状態にあるわけではない、という現実を強調しています。Claude のヘルプセンターは、Team および Enterprise 管理者に対し、Cowork は「現在、いくつかの企業向け監視・コンプライアンス能力を欠いている」と伝え、監査証跡が必須となる規制対象のワークロードについて明確に注意しています。この注意は、「エンタープライズプラン」＝「コンプライアンス級の可視性（observability）」が自動的に含意される、と受け止めた組織にとって重要な示唆になります。(support.claude.com)

したがってガバナンス上の問いは、さらに鋭くなります。Claude Cowork のエージェント／ワークフローUIが Copilot スタックへ統合されることで何が変わり、企業は「委任」が未監査の運用リスクへ転化しないために、どんな統制プレーン（control planes）を要求すべきなのか。

統合が統制プレーンに意味するもの

マイクロソフトが描く統合は、単なるブランディングではありません。同社は「Claude Cowork を駆動する技術」を「Microsoft 365 Copilot に持ち込んだ」と述べ、作業はまずリサーチプレビューとして試験され、その後3月に Frontier 経由で提供されるとしています。(microsoft.com)

また PCWorld の記事でも、この統合は Word、Excel、PowerPoint を含む Microsoft 365 アプリケーションの内部に現れるとされています。(pcworld.com)

ガバナンスの影響は、概観レベルでは単純に見えるかもしれません。しかし、エージェント型の“協働サーフェス”が Microsoft 365 の内部に入り、マイクロソフト管理のアイデンティティ、エンドポイント、データ保持制御の上で動くとなると、企業は「既存の境界（パリティ）制御が、エージェント実行も自動的にカバーする」と考えがちです。だとすれば期待は具体化されなければなりません。

統合は、ユーザーが委任した瞬間から、すべてのツール呼び出しと成果物の更新に至るまで、アイデンティティとテレメトリの継続性を維持できる必要があります。

実務上、「その境界に整合している（aligned with that perimeter）」とは、試験的導入（パイロット）の段階でベンダーに実証させられる、4つの統合要件へ翻訳されるべきです。

1. 委任トレースの継続性：Word／Excel／PowerPoint（または Copilot のUI）から開始されたエージェント実行について、ワークフローの実行結果が、ログ上で開始ユーザーとテナント文脈に遡って追跡できなければなりません。エージェントがサービスアイデンティティとして動く場合でも、「サービス実行」から「人間による委任」へと戻る不変の対応付けが、ログとして存在する必要があります。

2. ツール呼び出しのスコーピング：コネクタへのアクセスは、基盤となる Microsoft 365 サービス（例：SharePoint／Exchange／Graph の権限）に用いられるのと同一のポリシー境界を尊重すべきです。別の、統制の弱い権限モデルを使うべきではありません。統制プレーンの整合とは、エージェントが「Copilot の中にいるから」という理由だけで、黙ってより広いアクセスを得られないことを意味します。

3. 証拠の完全性：企業は、実行をエンドツーエンドで再構成できる必要があります。つまり、プロンプト／委任、計画された手順、ツールの呼び出し、そして生成された成果物までです。ここでの「証拠」はスクリーンショットではありません。既存のコンプライアンス・パイプラインを通じて照会、保持、エクスポートできる、構造化された監査記録であることが求められます。

4. 相互運用可能な保持とエクスポート：ガバナンスが Microsoft Purview、SIEM 取り込み、監査ログのエクスポート手順に依存するなら、統合は、当該システムが消費できる形でエージェントのイベントを開示しなければなりません。さもなければ、テナント側ではポリシーが強制されていても、インシデント後の再構成ができない事態になります。

このためマイクロソフトは、Copilot Cowork と企業向けのガバナンスレイヤーとして Agent 365 を組み合わせています。Agent 365 は、IT、セキュリティ、ビジネスの各チームが組織全体（パートナーエージェントを含む）にわたるエージェントを観測し、統制し、保護することを助ける「統一された統制プレーン」として説明されています。(microsoft.com)

ただし「統制プレーンがある」ことと、「証拠がある」ことは同義ではありません。ログと境界が運用として実装されていなければ、エージェントはポリシー上は統制されていても、現実には統制されないままになり得ます。アンソロピックの Cowork ヘルプにある“赤信号”こそ、要件の成果物（requirements artifact）として企業が扱うべき類のものです。そこでは Cowork について「現在、いくつかの企業向け監視・コンプライアンス能力を欠いている」とし、コンプライアンス目的で監査証跡が必要な組織は、規制対象のワークロードで Cowork を有効化すべきでないと警告しています。さらにデータは「管理者によって一元的に管理またはエクスポートできない」と明記されています。(support.claude.com)

この事実は、統合プロジェクトの設計制約を生みます。統制プレーンは“願望”であってはならない。後から具体的な問いに答えられなければなりません。たとえば、次のような問いです。

・委任されたワークフローを開始したのは誰のアイデンティティか。
・許可されていないデータへのアクセスや抽出を防いだ境界は何か。
・どのアクションが実行され、証拠として記録されたのは何か。
・監査人は意思決定の連鎖を再構成するために、どこからログを取得できるのか。

マイクロソフトの「Frontier transformation」の語りは、これらの答えへ向けた方向性を示しているようにも見えます。しかし企業は、その語りを“検証可能な受け入れ基準（acceptance criteria）”へと変換すべきです。具体的には、パイロットのテナントが1つの委任ワークフローを実行し、その後に「アイデンティティの継続性」「ツール呼び出しのスコーピング」「エクスポート可能性」を証明する証拠をクエリできることを確認する、という形です。

委任されたワークフローの監査可能性：証拠は行為に従う

委任された仕事の監査可能性には、3つの性質が必要です。第一に、「誰（誰のアイデンティティと役割か）」を記録することです。何が行われたか（何を）だけでなく、誰が行ったのかが要ります。第二に、「いつ（タイムスタンプと順序）」を記録すること。第三に、「どのように（どのツール、どの作業成果物が参照・アクセスされたか／生成されたか）」を記録することです。

Microsoft が Agent 365 と Microsoft Purview 周りで示すドキュメントは、企業がこれらの性質を運用へ落とし込むための具体的な入口になります。Microsoft Learn の「Use Microsoft Purview to manage data security & compliance for Microsoft Agent 365」では、Purview のイベントはユーザーが AI アプリとどのように／いつ接触したかを含み得ること、またその活動が行われた Microsoft 365 サービスや、接触中に参照されたファイルへの参照が含まれ得ることが説明されています。(learn.microsoft.com)少なくとも「サービス」と「ファイル参照」にスコープできる統制プレーンは、再構成のために必要な構成要素です。もちろん、それだけでは十分条件ではありません。

アンソロピックの企業向けガバナンス資料は、もう一つ重要な視点を加えます。コンプライアンス部門が活動やコンテンツの指標へプログラム的にアクセスする必要がある場合、アンソロピックは Compliance API を提供しており、「活動ログ、チャットデータ、ファイルの内容」をプログラム的に取得できること、そして監査ログのイベントも含み得ることが示されています。(support.claude.com)さらに監査ログの参照方法と、組織データのエクスポート開始のようなイベント例を含むログ構造についても説明があります。(support.anthropic.com)これらは、企業のガバナンスが UI 上の履歴だけではなく、エクスポート可能な監査成果物をしばしば必要とすることを、アンソロピックが理解していることを示します。

ここで統合プロジェクトがつまずく余地があります。企業が「Copilot Cowork を有効化すれば、規制当局や内部統制が示す監査証跡の要件は自動的に満たされる」と前提していると、後で驚くことになります。アンソロピックの Cowork 固有の警告は明確です。Cowork は現在、企業向けの監視・コンプライアンス能力を複数欠いており、そのデータは管理者が一元的に管理・エクスポートできない、としています。(support.claude.com)言い換えれば、監査証拠がスタックの他の場所に存在していても、それが Cowork 自体の中に存在するとは限らないのです。

曖昧なリスク評価を避けるには、定量の手掛かりも有効です。たとえばマイクロソフトは、Agent 365 は2026年5月1日に一般提供（generally available）となり、月額1ユーザーあたり15ドルであると述べています。(microsoft.com)この価格と提供日が運用上意味を持つのは、監査証拠とポリシー統制が“統制プレーンが利用可能で、有効化され、セキュリティの他の仕組みに統合されているときだけ”現実になるからです。

実行境界：サンドボックスは認可と同じではない

エージェント型の協働相手は、企業に「安全策としてのサンドボックス」を十分条件だと考えさせがちです。保護されたクラウド環境で動くなら、安全なはずだ、と。実際、リリース時の第三者報道では「保護されたサンドボックス環境」が語られています。(techradar.com)

しかしガバナンスの専門家は、サンドボックスを「認可（authorization）の層」ではなく「封じ込め（containment）の層」として理解しています。サンドボックスは被害を閉じ込めることはできても、エージェントが“間違ったが認可されている”行為を実行することまでは防げるとは限りません。

統制されたエージェント型ワークフローの実行境界は、通常、次のような要素を含みます。

・ツール呼び出しの上限（どのコネクタ種別を使えるか）
・データアクセスの制約（どのコンテンツを読めるのか、要約できるのか、抽出や書き換えが可能か）
・出力の公開制御（何をエージェントがコミットできるのか、メールに送れるのか、投稿できるのか）
・段階的な承認（追加のアクションに進む前に、明示的な人間の認可が必要なものは何か）

Microsoft 自身の Agent 365 に関するセキュリティ上の位置づけは、組織内のエージェント（パートナーエージェントを含む）を観測し、統制し、守るための統一的な統制を強調し、既存ワークフローに組み込まれる新しいセキュリティ能力を通じて実現するとしています。(microsoft.com)それはガバナンス上の約束です。企業は、チェックリストとして扱うべきです。必要な箇所に段階的な承認が存在するのかを確認し、境界がメッセージ生成の瞬間だけでなく、ツール呼び出しの瞬間に適用されるのかも確認しなければなりません。

アンソロピックの Cowork ヘルプセンターは、境界への期待が企業の要件からズレ得る具体例として警告を示しています。そこでは Cowork は「現在、いくつかの企業向け監視・コンプライアンス能力を欠いている」とし、コンプライアンス目的で求められる監査証跡は規制対象のワークロードで Cowork に依存すべきではないとしています。(support.claude.com)つまり、実行境界が危険な行為を抑えるとしても、監査可能性に関するコンプライアンス境界が満たされない可能性が残る、ということです。

ガバナンスの最良実務は、実行境界が“強制可能で検証可能”であることを求めることです。つまり、敵対的あるいは想定外（エッジケース）のリクエストであっても、境界が確実に作動することを示せなければなりません。現実的な手順としては、次のようなものが挙げられます。

1. 委任の試行テスト：高リスクな行為を要求する「失敗すべき」プロンプト群を、管理された範囲で実行します（例：許可されていないサイトからのデータ参照、制限されたファイルのエクスポート、外部成果物の作成）。(a) 強制（アクションが起きない）と(b) 可観測性（監査／ログのプレーンへ対応するイベントが出る）を両方確認します。

2. 承認遅延テスト：段階的な承認では、状態変更（チケット作成、メール送信、外部公開）の前に承認が必要かを測ります。後ではありません。システムが先にアクションを完了し、その後に確認を求めるなら、その境界は機能的に破綻しています。

3. ツール・パスの網羅性：ワークフローの成功経路だけでなく、ワークフローが取り得るすべてのツール呼び出し経路をテストします（例：検索／取得（retrieval）と、書き込み（write）と、エクスポート（export））。企業が恐れる失敗モードは「会話による境界カバー（boundary coverage by conversation）」です。これは、モデルが整っているように聞こえる一方で、ツール呼び出しの経路がポリシーを迂回してしまう状態を指します。

4. デフォルト拒否の検証：明示的な権限がない場合に失敗になることを確認します。フォールバックして“うまくいったことにされる”のではいけません。言い換えればデフォルトは「コネクタなし／データなし／公開なし」であるべきで、「部分的に推測して実行（best-effort）」ではないのです。

これらのテストがパイロットで実行できず、証拠も残せないなら、「実行境界」は運用統制というよりマーケティング上の言葉として扱うべきです。

スタックからの実例：ガバナンスが“運用”になる瞬間

統制されたエージェント型ワークフローが実際にどう振る舞い得るのかを理解するには、企業はマーケティングの語りよりも、文書化されたアウトカムを探します。以下の4つの実例は、ガバナンスが「モデルを信じる」だけの話ではなく、証拠を伴う統制プレーンとして設計される必要がある理由を示します。

ケース1：監査証拠のための Claude の企業コンプライアンス統制

アンソロピックの Compliance API と監査ログへのアクセス文書は、企業向けガバナンスの具体的な仕組みです。アンソロピックは、Compliance API のアクセスキーにより活動ログ、チャットデータ、ファイル内容をプログラム的に取得でき、また Compliance API に監査ログイベントが含まれるようになったと説明しています。(support.claude.com) さらに、ログ構造と「例：」としてのイベントを含む形で監査ログアクセスの手順も提示されています。(support.anthropic.com)

アウトカムとタイムライン：コンプライアンス部門が利用できる、エクスポート可能な監査成果物が入手可能になることが統制の成果です。タイムラインは、ヘルプセンターの継続的な更新に反映されています（Compliance API アクセス記事が最近クロールされたことは、現在の企業向けガバナンス文書として整備されていることを示唆します）。(support.claude.com)

統合チーム向けの運用読み替え：企業が監査成果物をプログラム的に取得できない場合、スケジュールされたエクスポート、SIEM 取り込み、調査ワークフローを前提とする社内統制の要件を満たせないことが多くなります。その場合、「ガバナンス」は検証可能な統制ではなく、事後対応（リアクティブ）になってしまいます。

ケース2：Cowork の企業上の制約がデプロイ境界の意思決定になる

アンソロピックの Claude ヘルプセンターは、デプロイ境界を明示しています。そこでは Cowork は「現在、いくつかの企業向け監視・コンプライアンス能力が欠けている」とされ、コンプライアンス目的で監査証跡が必要な組織には、規制対象のワークロードで Cowork を有効化しないよう求めています。またデータは「管理者によって一元的に管理またはエクスポートできない」とも述べています。(support.claude.com)

アウトカムとタイムライン：企業はこれを規制対象ワークロードに対する“実施／停止”のゲート制御として扱えるはずであり、そのタイムラインは現時点のヘルプセンターの説明に基づきます。(support.claude.com)

統合チーム向けの運用読み替え：これはエージェントが動くかどうかだけの話ではありません。証拠がどこに存在するかの問題です。証拠を管理者が一元的に管理・エクスポートできないなら、組織は次の選択を迫られます。 (a) スタックの別の場所（例：Microsoft Purview／Agent 365）にある証拠に依存するのか。あるいは (b) 証拠が実証されて統一されるまで、規制対象ワークフローでの委任サーフェスを制限するのか。

ケース3：Agent 365 ガバナンスに向けた Purview のイベントスコーピング

Microsoft の Agent 365 向け Purview ガイダンスはテレメトリのスコープを示します。イベントには、ユーザーが AI アプリとやり取りしたタイミング、活動が起きた Microsoft 365 サービス、そしてやり取り中にアクセスされた Microsoft 365 に保存されたファイルへの参照が含まれ得る、とされています。(learn.microsoft.com)

アウトカムとタイムライン：企業は、エージェントのやり取りを既存のコンプライアンス・ツール（Purview）へマッピングする手段を得ます。ただしそれは Frontier／プレビュー・プログラムへのアクセスと、設定に依存します。タイムラインは、ヘルプページが「last month」相当でクロールされたこと、そして早期アクセスには Frontier プレビュー・プログラムに入っている必要があることに根拠づけられています。(learn.microsoft.com)

統合チーム向けの運用読み替え：スコーピングは重要です。監査調査はしばしば「サービス」や「成果物」の識別子を起点に分岐します。テレメトリが特定のサービスでのみ、ある一部の手順でのみ、あるいは「チャット」だけにしか存在しないなら、委任されたワークフローで問題が起きるまさにそのポイントに“死角”が生まれます。

ケース4：Agent 365 の提供可用性と価格がガバナンスを納品日へ結びつける

Microsoft のセキュリティブログは、Agent 365 が2026年5月1日に一般提供され、月額は1ユーザーあたり15ドルであると述べています。(microsoft.com)

アウトカムとタイムライン：ガバナンス部門は、資源配分や調達計画を特定の日付に合わせて立てられます。これにより、「パイロットのガバナンス」が運用上の証拠へ結実しないという、よくあるパターンを減らすことになります。15ドルという金額は、統制プレーン導入のための予算上のアンカーになります。(microsoft.com)

統合チーム向けの運用読み替え：パイロットが失敗する理由は、統制が概念的に間違っているからだけではありません。証拠パイプラインに人員が配置されず、チューニングもされず、コスト試算もされないからです。価格付きの一般提供日があることで、ガバナンス計画は「ガードレール付き PoC」から「オーナー付きの統制プレーン」へ移行せざるを得なくなります。

Claude Cowork の実行を Copilot で有効化する前に、企業が求めるべき条件

Claude Cowork の実行が Microsoft の Copilot スタックの内部に入るなら、企業は有効化を“セキュリティとコンプライアンスの成果物を伴うシステム統合プロジェクト”として扱うべきです。最大の失敗パターンは、「ワークフローが使える（workflow availability）」ことを「ガバナンスの準備ができている（governance readiness）」と取り違えることです。

エージェント実行に対応づけたガバナンス統制のチェックリスト

企業は、少なくとも次の能力を要求すべきです。

1. アクションをアイデンティティに紐づけること（誰が開始し、誰が承認したのか）。
2. ツール呼び出しと成果物参照を記録すること（どのファイル、どのサービス、どのアクションが使われたのか）。
3. 実行境界を、プロンプト境界だけでなく、段階（ステップ）の境界で強制すること。
4. 内部レビューと外部の精査に耐える、エクスポート可能な監査証拠を生成すること。

Microsoft の Purview に関するエージェントのガイダンスは「成果物参照」の側面を支えます。アンソロピックのコンプライアンス資料は、Compliance API が利用できる環境においてプログラム的な監査証拠を支えるものです。(learn.microsoft.com, support.claude.com) しかし Cowork 自身の制限に関する注意喚起は、企業に対し「一元的な監査可能性が Cowork 内部で保証される」とは考えないよう促しています。(support.claude.com)

ガバナンス成熟度の定量的な計画

政策（ポリシー）から実行（デリバリー）へガバナンスを移すには、5つのデータ点が役立ちます。

・マイクロソフトは、Copilot Cowork は「リサーチプレビュー」であり、Frontier でのより広い提供は2026年3月になると述べています。(microsoft.com)
・マイクロソフトのセキュリティブログでは、Agent 365 は2026年5月1日に一般提供になるとしています。(microsoft.com)
・Agent 365 の価格は月額1ユーザー15ドルです。(microsoft.com)
・Microsoft の Purview の Agent 365 ページでは、早期アクセスは Frontier プレビュー・プログラムに入っていることに結びつけられています。(learn.microsoft.com)
・アンソロピックの Cowork の企業向けガイダンスは、いくつかの企業向け監視・コンプライアンス能力が欠けていること、またデータが管理者によって一元的に管理・エクスポートできないことを警告しています。(support.claude.com)

編集上のメッセージとしては、「怖がれ」ではありません。「稼働（稼働時間）を測るように、ガバナンスを測れ」です。統制されたエージェントとは、行為が再構成できるものです。

結論：証拠を今要求し、次のリリースサイクルで“実行を監査”できる状態に

実務的なガバナンスの提言は明確です。CIO、CISO、コンプライアンス責任者は、Copilot Cowork の有効化を次の条件が満たせる場合に限って要求すべきです。
(a) エージェントのアクションが、ユーザーのアイデンティティと承認に紐づけられること。
(b) ツール呼び出しと成果物参照が、監査可能なログ・プレーンに取り込まれること。
(c) 権限のない外部行為を防ぐ実行境界が強制されること。

Microsoft の Copilot 統合経由で Claude Cowork を導入する組織にとっての要点は、ガバナンスを“後付け”ではなく前提条件として扱うことです。

タイムライン付きの見通しとして、Agent 365 が2026年5月1日に一般提供へ到達した時点で、ガバナンス上の不確実性は意味のある形で減少すると見込むべきです。それは、「統一された統制プレーン」モデルがプレビュー専用ではなく、広く展開できる地点になるからです。(microsoft.com)

4月から5月にかけての期間に、ガバナンスチームは委任の監査テストを実施し、少なくとも1つの高リスクなワークフローと、データに敏感なワークフローについて、実行境界とログ証拠の妥当性を検証すべきです。

これを早い段階で行えば、委任は魅力的な自動化の物語から、監査人が何が起きたかを再構成でき、セキュリティチームが何を防いだかを証明でき、ビジネスリーダーが「実行」を死角に変えずに拡張できる、企業品質の運用能力へと移行します。