Claude チャットのコード実行と外部通信設定を検証してみた
Claude の設定に「コード実行(Code execution and file creation)」という項目があります。その配下に「ネットワーク外部通信を許可(Allow network egress)」というトグルもあります。どちらも名前から挙動を誤解しやすい設定です。
特に「コード実行」という語感から、Claude Code(CLI)を制御する設定だと思われがちです。実際は Claude.ai チャットのサンドボックス機能で、Claude Code とは別物です。
この機能は Free / Pro / Max / Team / Enterprise の全プランにあります。
この設定が実際に何を制御するのか、公式ドキュメントと実機検証で確認していきます。
前提
- 対象: Free / Pro / Max / Team / Enterprise の全プランで使える機能
- 設定場所: 個人プラン(Free/Pro/Max)は設定 > Capabilities、Team / Enterprise は組織設定 > Capabilities
- 外部通信の許可を決める人: 個人プランは本人、Team / Enterprise は組織の Owner
- 挙動は検証日時点のものです。仕様は変わり得るため公式ドキュメントを併記します
そもそも「コード実行」とは何か
Claude.ai(Web)/デスクトップ/モバイルのチャット上で、Claude が Anthropic ホストの隔離サンドボックス(VM/コンテナ)内でコードを実行する機能です。Excel / PowerPoint / Word / PDF の生成、データ分析、グラフの可視化などに使われます。
公式ドキュメントは Create and edit files with Claude です。対象は "web, Claude Desktop, Claude Mobile" と明記されています。
「コード実行」と Claude Code は別物
名前から Claude Code を連想しますが、この設定が制御するのは Claude.ai チャットのサンドボックスだけです。Claude Code は利用者のローカルPC上でコマンドを実行する別アーキテクチャで、この設定の対象外です。
同じコードを2環境で実行して対比
チャットと Claude Code の双方に、同じプロンプトを投げて結果を比べます。
Pythonコードを実行して、以下をそのまま出力してください:
import sys, platform, datetime
print(sys.version)
print(platform.platform())
print(datetime.datetime.now(datetime.timezone.utc).isoformat())
| 項目 | Claude.ai チャット「コード実行」 | Claude Code(ローカル) |
|---|---|---|
| Python | 3.12.3 [GCC 13.3.0] | 3.13.7 [Clang / macOS] |
| プラットフォーム | Linux-6.18.5-x86_64-with-glibc2.39 |
macOS-26.3.1-arm64 |
| マシン | Anthropic ホストの隔離 Linux VM | 利用者のローカル Mac |
| 設定トグルの影響 | OFF にすると実行拒否 | トグル状態に関係なく実行できる |
OS も Python のバージョンも CPU アーキ(x86_64 と arm64)も違います。物理的に別の環境です。
外部通信をオフにしても、ファイル生成・分析は使える
「ネットワーク外部通信を許可」を OFF にしても、コード実行・ファイル生成・データ分析・可視化はそのまま使えます。プリインストール済みライブラリの範囲で動きます。
できなくなるのは外部通信を伴う処理だけです。pip install / npm install での追加ライブラリのインストールと、外部 API・Web からのリアルタイムデータ取得がこれにあたります。
副次効果として、サンドボックスからデータが外に出る経路がなくなります。機密データが外部に持ち出されるリスクを抑えられます。
ネットワーク外部通信の4段階
| レベル | 内容 | 危険度 |
|---|---|---|
| ① なし(オフ) | プリインストール済みパッケージのみ。外部通信なし | なし |
| ② パッケージマネージャのみ | 主要レジストリの既定ドメインのみ許可 | 低〜中 |
| ③ パッケージマネージャ+指定ドメイン | ②に allowlist を追加 | 中 |
| ④ すべてのドメイン | 法的ブロックリスト以外すべて許可 | 高 |
②の既定許可ドメインには api.anthropic.com / github.com / registry.npmjs.org / pypi.org / crates.io / archive.ubuntu.com / yarnpkg.com などが含まれます。
Create and edit files with Claude | Claude Help Center
Skills に外部通信は不要
Chat で Skills を使う際は「コード実行」と「Skills」の有効化が必要です。
「ネットワーク外部通信を許可」のオンは要件ではありません。外部通信をオフにしたままでも Skills は動きます。pptx/xlsx/pdf の生成系など、プリインストール済みパッケージで完結する Skill が対象です。
公式ドキュメントは Use skills in Claude です。"This feature requires code execution to be enabled." と記載されています。
注意点として、Skill 自身が外部接続を促すコードを含む場合は、外部通信がオフなら安全側で遮断されます。
有効化時のセキュリティリスク(外部通信を ON にする場合)
最大の懸念は、プロンプトインジェクションを起点とした機密データの外部持ち出しです。
②でも完全には塞げません。既定許可に api.anthropic.com が含まれるため、Anthropic 自身の API 宛の通信は遮断しにくいです。
サプライチェーン攻撃には本設定だけでは対抗できません。許可レジストリ上のライブラリが汚染された場合が該当します。厳格にやるなら、必要ライブラリの事前検証と手動インストールが必要です。
チャットのサンドボックスは社内ネットワークを通らない
Claude.ai チャットのコード実行は Anthropic 側のサンドボックスで動きます。そのため外部通信は社内ネットワークを経由せず、社内 DLP では検査・制御できません。制御は Anthropic 側のトグルでのみ行います。
一方、Claude Code の通信は利用者端末を経由します。こちらは社内ネットワーク側で制御できます。
外部通信の出口が、チャットは Anthropic 側トグル、Claude Code は社内網側と分かれている、という整理が重要です。
動作確認
コード実行 ON/OFF の判別
実行しないと得られない値を返させます。先ほどの sys/platform/datetime のスニペットが使えます。
Pythonコードを実行して、以下をそのまま出力してください:
import sys, platform, datetime
print(sys.version)
print(platform.platform())
print(datetime.datetime.now(datetime.timezone.utc).isoformat())
ONの状態では、以下のように情報が返ってきます。
OFFにすると、実行できない旨が返ってきました。
外部通信オフでの挙動
コード実行はオン、外部通信だけをオフにした状態(下図)で、外部通信を伴う処理とファイル生成を続けて依頼し、外部通信だけ制限されることを確認します。
外部通信を伴う処理として、パッケージのインストールを投げます。
pip install cowsay を実行して、ログを見せてください。
外部通信オフのため、インストールは失敗しました。
続けて同じ状態でファイル生成を試します。
3×3 の表を入れた Excel を作って、ダウンロードリンクを出してください。
外部通信がオフでも、ファイル生成は問題なくできました。
ちなみに、外部通信をオンにした状態では、1つ目のプロンプトは以下の結果になります。
おわりに
設定名の「コード実行」と「外部通信を許可」を、公式ドキュメントと実機で確認してみました。「コード実行」は Claude.ai チャットのサンドボックス機能で、ローカルで動く Claude Code とは別物です。名前から Claude Code の設定だと思い込みやすいので、ここは押さえておくと良さそうです。
外部通信をオフにしても、ファイル生成・データ分析・Skills はそのまま使えます。
止まるのは pip install や外部 API 取得など外部通信を伴う処理だけでした。機密データの持ち出しを避けたい組織では、まず外部通信オフから始めるのが扱いやすいと思います。
