Copilot CoworkはClaude Coworkを企業の統治テストへ変える

企業がAIのガバナンスを「チャットボットの一言」で本当に承認できるわけではありません。統治が現実になるのは、クラウドのワークフロー内で、AIシステムが従業員の代理として複数ステップの業務を実行した、その瞬間です。

だからこそ、Claude Cowork――そして今やMicrosoftのCopilot Cowork――は、ガバナンス上の転換点を示します。Microsoftは、Claude Coworkを支える技術をMicrosoft 365 Copilotに組み込み、研究プレビューとして限られた顧客で検証したうえで、2026年3月にMicrosoftのFrontierプログラムを通じて提供する意向だと述べています。(Microsoft 365 blog, 2026-03-09)
製品としての帰結は単純です。「cowork（共働）アクション」が馴染みのあるM365のワークフローに埋め込まれた時点で、権限モデルは「誰が尋ねられるか」から「エージェントが何を実行できるか」へと移行します。

しかし、企業の経営層にとってその変化は居心地が悪い。ガバナンスは長らく、文章生成の周辺に付随するメタデータとして扱われてきました。エージェントによる自律的実行は、それを“生きた制御面”に変えます。つまり、テナント分離、管理者トグル、コネクタやプラグインの利用、Web検索の権限、監査・ログの境界――これらが、実際に動くワークフローに合わせて整合していなければならないのです。

実行へ到達して初めて到来するガバナンス

Claude Coworkが制御するもの

Claude Coworkは「構築によるガバナンス」です。エージェント用の「ワークスペース」機能と、明示的なリソースのスコーピングを組み合わせます。Anthropicは、顧客がClaudeに見せるフォルダやコネクタを選べること、そして「あなたが明示的に許可しない限り、何にもアクセスできない」ことを示しています。さらに、説明責任の痕跡をくっきり区切ります。Coworkの会話履歴は端末内に保存され、「監査ログ、コンプライアンスAPI、データエクスポートといった企業向け機能は、現時点ではCoworkの活動を記録しません」。(Anthropic Cowork product page)

この組み合わせ――スコープされたアクセスと、coworkアクションに関する中央集約的テレメトリの不完全さ――は、企業が「統制の有効性」をどう評価すべきかを変えます。

要点は、次の2つのガバナンス領域を混同するのをやめることです。

・認可プレーン（エージェントは行為できるか？）
　Anthropicの「許可したフォルダ／コネクタ」という枠組みは、資源の境界での強制を示唆しています。

・エビデンス（証拠）プレーン（企業は何が起きたかを立証できるか？）
　Anthropicの「現時点ではCoworkの活動を記録しない」という注記は、少なくとも一部の実行モードでは、調査時に必要となる正確な出来事が、企業の監査画面に反映されない可能性を示しています。

さらに、Anthropicのヘルプセンターのドキュメントは、エビデンスプレーンを複雑にします。監査ログは「Enterprise組織でのみ利用可能」であるとし、監査ログへのアクセス方法も説明しています。(Anthropic help center, audit logs)
また、Compliance APIについても、プライマリーオーナーが有効化して監査ログのイベントを閲覧できる旨が記されています。(Anthropic help center, Compliance API access)

しかし、Cowork製品ページの「現時点ではCoworkの活動を記録しません」という一文が、具体的な運用リスクを生みます。すなわち、ガバナンスプログラムが「監査ログが存在する」ことを「エージェントのツール実行が完全に表現されている」と同義だと前提してしまうと、実行されたものと記録されたものの間にズレが生じ得るのです。

だからといって、「監査ログは無意味だ」と一刀両断するのは乱暴です。現実に必要なのは、より精緻です。企業は（1）どのcowork実行モードがどのエビデンス成果物を生成するかを対応づけ、（2）欠落がある場合はそれを“ドキュメント上の注釈”ではなく、“検証可能な統制要件”として扱う必要があります。もしCowork活動が中央集約された企業監査画面の外側で証跡化されるのなら、保持、アクセス制御、フォレンジック対応の責任は「監査システム」から「エンドポイントおよびローカル履歴」の層へと移動します。コンプライアンスチームの多くは、意図あるポリシー設計なしに、この建築変更へ即座に備えられるわけではありません。

監査境界の“外縁”が広がるCopilot Cowork

Copilot Coworkのガバナンス境界はどう変わるか

Microsoftは、Copilot Coworkがエージェントによるタスク実行と、Microsoftの企業向けワークフロー制御を融合させると明言しています。Microsoftのブログは、「Claude Coworkを支える技術をMicrosoft 365 Copilotに持ち込み」、エージェント機能と企業が期待する制御を組み合わせると述べ、提供形態が研究プレビューとして検証中であることにも触れています。(Microsoft 365 blog, 2026-03-09)

業界メディアの報道でも、Copilot CoworkはMicrosoftのFrontierプログラムと結びつけられています。限られた顧客を対象にしたパイロットであり、3月の研究プレビューとして位置づけられているのです。Fortuneは、Copilot Coworkがテスト運用され、Frontier Worker製品群を通じて3月の研究プレビューとして利用可能になると報じています。(Fortune, 2026-03-09)
ITProも同様に、限られた顧客セットでプレビューされ、3月下旬にFrontierプログラム経由で提供される見込みだと伝えています。(ITPro, 2026-03-09)

ここで「ガバナンスの素（primitive）」が具体化します。Claude Coworkがクラウドのワークフロー内で実行されると、統治境界は、Microsoftのアイデンティティおよびデータ保護の境界、さらにツール利用を仲介するエージェントのオーケストレーション層まで含むように拡張されるからです。

Copilot Coworkでは、統制はAnthropic側のポリシーだけでは済みません。以下をまたぐ“共同の統制モデル”が必要になります。

・テナント分離とM365のデータアクセス境界
・エージェント挙動を有効化／無効化する管理者トグル
・プラグインまたはコネクタの権限
・Web検索の権限と、グラウンディング（根拠付け）の挙動
・統合されたオーケストレーション全体にわたる監査／ログの境界

多くの企業に欠けているのは「より多くのポリシー」ではなく、各判断に対してどのシステムが最終的な権威（authoritative）を持つのかです。例えば次のように問う必要があります。

・ユーザーがM365からcoworkワークフローを起動したとき、コネクタの許可／拒否を実行するのは誰か。Microsoft側の境界なのか、Anthropic側の境界なのか、それとも両方か？
・ツール実行が起きるとき、証拠（エビデンス）はどこに落ちるべきか。Microsoftの監査画面、AnthropicのEnterprise監査画面、あるいは統合ログのパイプラインか？
・境界に当たったとき――コネクタが遮断される、Web検索が無効化される、トークン／データのレダクションが適用される――その拒否はどう表現されるか。失敗したツール呼び出しか、サニタイズされた痕跡か、特定の監査イベントか、あるいはツールエラーだけか？

これらの層にまたがって、統制マッピングを実施し、強制権限とエビデンス権限を明示的に指定していなければ、「委任ポリシー」は舞台装置になります。エージェントは実際の仕事をし、監査人は実際の証拠を求めるはずです。そのズレはデモではなく、インシデントの場で露呈します。

テストすべき監査ギャップ

「企業プランに監査ログが含まれている」ことを、すべての実行モードが監査に完全である証拠だとみなすのが、最も危険な誤りです。

Anthropicは監査ログがEnterprise組織でのみ利用可能であることと、その構造を説明しています。(Anthropic help center, audit logs)
しかし同時に、Coworkページ自身で「監査ログ、コンプライアンスAPI、データエクスポートといった企業向け機能は、現時点ではCoworkの活動を記録しません」とも記しています。(Anthropic Cowork product page)

エージェントによるcoworkを、より広いワークフローの中で動かす前に、企業は監査可能性をサブスクリプションの“特典”ではなく、実行レイヤーの要件として扱うべきです。つまり、測定可能な合格／不合格条件を持つテストスイートが必要になります。「実行した」かどうかという一般的な検証では足りません。ガバナンスが気にする具体的なアクションを、エージェントに行わせるべきです。

テストは、エージェントに次のように指示します。

1. 成果物を書き込む、または変換するツール操作を行う（例：許可されたフォルダにドキュメントを生成する、スプレッドシートの範囲を更新する、既知のテストデータセットに対して制御された変換を実行する）。
2. 有効化されている場合、外部のWeb検索またはブラウザツールを呼び出す。後で検証できるクエリ文字列を用いることで、グラウンディングが行われたか、結果が取得されたかを確認できるようにする。
3. 異なる権限付与のもとでコネクタにアクセスさせる。少なくとも「エージェントがスコープ外のコネクタを要求し、拒否されるべき」シナリオを1つ含める。
4. 利用する予定の企業監査画面に何が出るかを検証する。期待するツール呼び出し、リソースID、拒否イベント、タイムスタンプが現れるかどうかを確認する。

そのうえで、モードごとに監視カバレッジが明示されていることを要求します。AnthropicのCowork監視ドキュメントは、Team／Enterpriseプラン向けにOpenTelemetry（OTel）のログ／イベントプロトコル経由でエクスポートされることを説明しており、ユーザーのプロンプト、APIリクエスト、ツール利用、エラーに関する可視性を提供します。さらに、ツール実行イベントにはツールパラメータのフィールドにファイルパスやコマンド詳細が含まれる可能性があるため、機微情報が混じり得るとも警告しています。(Anthropic Cowork monitoring documentation)

ガバナンスの立場を“監査可能性を設計に織り込む”ことで組み立てる必要があります。コネクタに対して最小特権を強制し、エージェントのスコープは「暗黙に信頼すべきもの」ではなく「再生成可能な範囲」に制限することが含まれます。

分析の結論は単純です。「監査ログが存在する」ことを証明しようとしてはいけません。配備するcoworkモード（および有効化するコネクタ）に対して、コンプライアンスやインシデント対応に必要な実行事実を含むエビデンス成果物が存在すること――成功したアクションだけでなく、正しく記録された拒否も含めて――を証明してください。ツール実行が中央集約された監査画面に存在しないなら、「エビデンスプレーン」を再アーキテクチャする必要があります。信頼するシステムを入れ替えるのか、それともエビデンスの完全性が確認できるまで許可するcoworkアクションの集合を締めるのか、どちらかです。

クラウド・ワークフローにおけるテナント分離

エージェントによる実行は、アイデンティティをログイン手段から「権限付与された実行境界」へ変えます。企業のワークフロー内にcowork型のシステムが入るほど、テナント分離は最後の検討事項ではなく、最初のガバナンス課題になります。

AnthropicのCowork製品ページは、アクセスが「許可したフォルダとコネクタ」にスコープされ、それを明示的に許可しない限り何にもアクセスできないことを強調しています。(Anthropic Cowork product page)
これはガバナンスの基本原則そのものです。知的作業のための“サンドボックス”を定義する。

Copilot Coworkは、Microsoftのオーケストレーション層をガバナンス境界に追加します。Microsoftのブログは、エージェントの推論と企業が期待する制御を組み合わせた「マネージドでエンタープライズ品質の体験」を示唆し、また研究プレビューとしての姿勢にも言及しています。(Microsoft 365 blog, 2026-03-09)

企業は、管理者トグルが「機能を有効化する」以上のことを行うように担保すべきです。ツールアクセスとデータアクセスにマッピングされなければなりません。少なくとも次を求めるべきです。

・M365ワークフロー内でのcowork実行に対する別個のロールアウトフラグ
・職務に紐づけたコネクタ／プラグインのホワイトリスト化
・Web検索やブラウザによるグラウンディング権限に関する明確な制約
・エージェントが権限のエスカレーションを要求したときの、明示的な「デフォルト拒否」の挙動

ここでプラットフォーム・ガバナンスは、運用ガバナンスと交差します。管理者が体験をオン／オフできるなら、ITセキュリティは“想定”ではなくログを通じてトグルの有効性を検証しなければならないのです。

コネクタへのアクセスは「本番のAPIキー」のように扱う

cowork型の自動化は、触れ得る外部システムが安全である程度にしか安全にはなりません。企業において、プラグインやコネクタは本番のAPIキーのように振る舞います。エージェントの到達範囲を広げるのです。

Anthropicによる、企業向けCoworkプラグインの推進は、その物語の一部です。企業横断でのcoworkとプラグインに関するAnthropicのブログは、コネクタ管理と管理者制御の改善を述べ、企業向けソフトウェアのコネクタやプラグインの例を列挙しています。さらに、プライベートなプラグイン・マーケットプレイスという考え方にも言及しています。(Anthropic, Cowork and plugins across the enterprise)

ガバナンスの観点で本質的なのは、広さではありません。権限がどう境界付けされるか、そして取り消し（リボケーション）がどう機能するかです。Claude Coworkの製品ページは、アクセスがスコープされ、管理者の制御やオプトアウトが利用できると述べています。(Anthropic Cowork product page)
DocusignはCoworkコネクタに関する発表で、統合が「信頼できる企業のセキュリティとアクセス制御」を用いる形だと位置づけています。(Docusign blog)

Copilot Coworkの企業統合は、リスク表面を増幅します。エージェントがコネクタで“何ができるか”が増えるほど、権限はワークフロー契約として扱う必要がある。組織が、エージェントに「何を読むことが許されているか」「何を書けるか」「外部へ何を送信できるか」を、明確に説明できないのであれば、委任に踏み出す準備ができていません。

注視すべき4つのロールアウト事例

ガバナンスの論点は机上の空論ではありません。企業向けの導入や製品拡張は、エージェントによる実行がいかに速く“統制成熟度のテスト”へ変わるかを示します。

Frontierに紐づくMicrosoft Copilot Cowork

MicrosoftはClaude Coworkを支える技術をMicrosoft 365 Copilotへ持ち込み、研究プレビューとして限られた顧客で検証したうえで、3月にFrontierプログラムを通じて利用可能になると述べました。(Microsoft 365 blog, 2026-03-09)
ITProも同様に、限られた顧客セット向けに3月下旬のFrontier提供を報じています。(ITPro, 2026-03-09)
結論: Copilot Coworkはデフォルトの企業機能ではなく、制御が拡張の前提だとMicrosoftが見ていることを示す“制御されたロールアウト”になります。

AnthropicがCoworkプラグインを企業全体へ拡大

Anthropicは、企業の各種機能に向けたCoworkプラグインを発表し、管理者制御やコネクタ管理の内容、そしてプライベートなプラグイン・マーケットプレイスに向かう道筋も説明しました。(Anthropic, Cowork and plugins across the enterprise)
Axiosもまた、2026年1月下旬におけるAnthropicのCoworkプラグイン強化を報じ、エージェント型プラグインが企業利用向けにカスタマイズ可能だと述べています。(Axios, 2026-01-30)
結論: 新しいコネクタ種別ごとに、エージェントが実行できるアクションの空間が広がるため、プラグインのロールアウトは統治の複雑性を増します。

Anthropicが監視向けにOTelエクスポートを追加

AnthropicのCowork監視ドキュメントは、Team／Enterpriseプラン向けにOpenTelemetryのログ／イベントプロトコルを通じてエクスポートされるイベントを説明し、プロンプト、APIリクエスト、ツール利用、エラーの可視性を高めることを狙っています。(Anthropic Cowork monitoring documentation)
同時に、ツール実行イベントにはツールパラメータに機微な値が含まれる可能性があるとも警告しています。(Anthropic Cowork monitoring documentation)
結論: 企業は観測（オブザーバビリティ）の基本要素を得る一方、テレメトリが機微情報を露出し得るため、監視そのものが統治課題になります。

PwCが規制下のワークフローでCoworkを狙う

PwCは、Anthropicと協業し、規制対応、監査可能性、リスク制御といった不可欠要素を備えながら、Claudeを企業環境へ埋め込むと発表しました。PwCは明確に、Anthropicモデルによって駆動されるClaude CoworkおよびClaude Codeに言及しています。(PwC press release, 2026-03 (published 3 weeks ago))
結論: 大規模なコンサルティングや、規制対象のクライアント生態系においては、ガバナンスがデリバリーモデルに組み込まれ、後付けにならない形で提供されます。

ガバナンス判断のための定量シグナル

企業が、測定可能な制約へと判断を結びつけられるほど、ガバナンス判断は容易になります。ここではcoworkの統治に関わる、一次情報またはほぼ一次情報からの5つの数値シグナルを示します。

1. Snowflakeとのパートナー配信で12,600社以上に到達（2025-12-03）。
   Anthropicは、Snowflakeとの複数年・2億ドル規模のパートナーシップ拡大を発表し、ClaudeモデルをSnowflake上で提供することで「12,600以上のグローバル顧客」に利用可能にすると述べています。(Anthropic press release, 2025-12-03)
   統治上の含意: この規模では、管理者トグルや監査エビデンスは“任意の統制”ではなく、調達（プロキュアメント）レベルの要件になります。

2. パートナーシップの価値2億ドル（2025-12-03）。
   同じリリースは、この提携を「複数年・2億ドルの合意」として定量化しています。(Anthropic press release, 2025-12-03)
   統治上の含意: 企業のエージェント導入に対する商業的な重みが増し、実行統制の立証がより強く求められます。

3. 500,000のコンテキストウィンドウ（Claude for Enterpriseプラン）。
   Anthropicの「Claude for Enterprise」発表は、このプランが拡張された「500Kコンテキストウィンドウ」を提供するとしています。(Anthropic news, Claude for Enterprise)
   統治上の含意: コンテキストが大きいほど、偶発的な機微データ混入の“被害半径”が広がり得ます。結果として、コネクタのスコープやWeb権限の重要性が増します。

4. Copilot Coworkの限定顧客向けテスト（2026年3月）。
   Microsoftは、Copilot Coworkが研究プレビューとして限定された顧客セットで検証され、3月にFrontierプログラムを通じて提供されると述べています。(Microsoft 365 blog, 2026-03-09)
   統治上の含意: ロールアウト自体が統治の意図を示します。まず制御された露出を行い、統制が機能することを確かめた後に拡張する、という姿勢です。

5. 監査ログはEnterprise組織でのみ利用可能。
   Anthropicは、監査ログはEnterprise組織でのみ利用可能だと述べています。(Anthropic help center, audit logs)
   統治上の含意: 「何が監査できるか」はプランの階層に依存します。したがって、委任ポリシーは“汎用の契約文言”ではなく、必ず対象となる正確なプランに整合させる必要があります。

ロールアウト前の委任ポリシー

Anthropicの研究プレビュー枠組みやMicrosoftのFrontierテストの段階を超えて拡大する前に、委任ポリシーは実行契約のように書き下ろすべきです。

実務的なポリシーには、少なくとも次が含まれます。

1. スコープを第一級の対象にする: coworkerがアクセスできるフォルダ、データセット、コネクタを定義し、明示的な許可付与を要求します。
   （AnthropicはCoworkアクセスが顧客によって選ばれたフォルダ／コネクタにスコープされると述べています。）(Anthropic Cowork product page)

2. ツール権限はモデルのプロンプトと切り分ける: 管理者権限を「誰かが尋ねたかどうか」ではなく、ツール呼び出しの権利に紐づけます。
   （MicrosoftのCopilot Coworkの位置づけは、エージェント能力そのものよりも企業向けの制御を強調しています。）(Microsoft 365 blog, 2026-03-09)

3. エビデンスを実行モードに対応づける: Coworkの実行と、それ以外のチャット型の体験で何が記録されるのかを確認します。
   （Anthropicは企業向け監査機能が「現時点ではCoworkの活動を記録しない」と述べています。）(Anthropic Cowork product page)

4. 機微データのように観測を統治する: 監視エクスポートにファイルパスやコマンド詳細が含まれるなら、保持期間とアクセス制御をそれに応じて設定します。
   (Anthropic Cowork monitoring documentation)

5. Web検索とブラウザによるグラウンディングの承認: ブラウザ操作を、機微コンテキストの持ち出し（エクスフィルトレーション）や汚染につながり得るものとして扱い、ポリシー強制とログに何が入るかの双方を検証できるようにします。

肝は順序です。監査境界と権限境界の両方が、実際の実行境界と一致していることがテストで示されるまで、「エージェントを広く展開」してはいけません。

予測：90日で進むガバナンスの収束

MicrosoftはCopilot Coworkが2026年3月にFrontierプログラム経由で利用可能になると述べ、ITProはプレビュー用のコホート向けに3月下旬の提供を示しています。(Microsoft 365 blog, 2026-03-09) (ITPro, 2026-03-09)

このため、3か月間の猶予が生まれます。企業は実行可能なエージェント統治モデルへ収束するか、それとも監査の信頼性ギャップを拡げるかの二択に直面するのです。

予測（2026年6月まで）： 2026年6月末までに、最も成熟した企業は「実行に関する委任ポリシー」を標準化し、コネクタスコープ、ツール権限の付与、そしてエビデンスの捕捉がcoworkの実行モードに対応づけられている状態を自動チェックできるようにするでしょう。
この予測は、(a) MicrosoftによるFrontierでのゲート付きロールアウト、(b) Anthropicの監視エクスポートの存在と監査捕捉に関する明示的な制限のドキュメント、(c) プラグインと企業向けエージェント導入が商業的に加速していること、の組み合わせに基づきます。(Microsoft 365 blog, 2026-03-09) (Anthropic Cowork monitoring documentation) (Anthropic Cowork product page)

具体的なポリシー勧告: 最高情報セキュリティ責任者（CISO）らは、Microsoft 365の管理者オーナーとともに、研究プレビューやFrontierパイロットから拡大する前に、すべてのcoworkワークフローテンプレートへ向けて“事前の実行監査テスト（execution audit test）”を必須にすべきです。テストでは少なくとも次を明示的に検証します。
(1) コネクタ／プラグインへのアクセスが強制されているか、
(2) Web検索の権限がポリシーと一致しているか、
(3) 選択したモードに対して監視／監査のエビデンスが存在するか、
(4) 監視アーティファクトに機微フィールドが含まり得るため、テレメトリへのアクセスが制限されているか。
(Anthropic Cowork product page) (Anthropic Cowork monitoring documentation)

厳しすぎるように聞こえるかもしれませんが、そうです。ただしcoworkのガバナンスこそが、委任を「立証可能」「巻き戻し可能」「精査に耐える」形へ変えるのです。