Claude Team で監査ログを実現する方法 - Enterprise プラン不要の代替アーキテクチャ

機密情報を AI に投入する際、「誰が、いつ、何を投入したか」を追跡できる監査ログは不可欠です。しかし、Claude の Team プランでは監査ログが提供されていません。Anthropic の公式ヘルプセンターには「監査ログは Enterprise 組織のみで利用可能」と明記されています。

本記事では、Enterprise プランへのアップグレードなしに、Team プランのまま監査ログ相当の可視性を確保する方法をまとめます。

Enterprise プランの監査ログで記録される情報

代替手段を検討する前に、Enterprise プランの監査ログが何を記録するかを整理します。

Enterprise プランの監査ログは、過去 180 日間のイベントを CSV でエクスポートできる機能です。Organization Owner または Primary Owner が管理画面の Admin Settings > Data and Privacy から「Export logs」を実行すると、ダウンロードリンクがメールで届きます。

各ログエントリには以下のフィールドが含まれます。

フィールド	内容
`created_at`	タイムスタンプ
`actor_info`	実行者情報
`event`	イベント種別
`entity_info`	対象エンティティ
`ip_address`	IP アドレス
`device_id`	デバイス ID
`user_agent`	ユーザーエージェント

記録されるイベントは、SSO ログイン/サインアウト、ユーザー招待・削除、プロジェクト作成・削除・公開設定変更、会話作成・削除、ファイルアップロードなど約 30 種です。

ただし、Enterprise プランの監査ログは「誰がいつどの操作をしたか」を記録するイベントログであり、ユーザーと AI のやりとり（会話内容）は含まれません。記録されるのは会話の一意識別子のみです。Compliance API も推論（inference）活動はログ対象外と明記されています。

会話の入出力内容を取得するには、Primary Owner による「データエクスポート」機能を使う必要がありますが、この機能は Team プランでも利用可能です。つまり、会話内容の取得という観点では Enterprise にアップグレードしても得られる追加価値はありません。

Team プランと Enterprise プランの機能差分

Claude の料金ページを基に、監査ログ周辺の機能差分を整理します。

機能	Team	Enterprise
監査ログ	❌	✅（180 日間エクスポート）
Compliance API	❌	✅
カスタムデータ保持期間	❌	✅（最小 30 日、既定は無期限）
SSO	✅	✅
SCIM プロビジョニング	❌	✅
テナント制限	❌	✅
データエクスポート（会話）	✅（Primary Owner のみ）	✅（Primary Owner のみ）
利用分析（Analytics）	✅	✅

Team プランでもデータエクスポートや利用分析は利用できますが、「誰がいつどの操作を行ったか」を IP アドレスやデバイス情報付きで追跡する監査ログは Enterprise 限定です。

Team プランでネイティブに取得できる情報

Team プランでも以下の情報は取得可能で、監査ログの「材料」になります。

利用分析（Analytics）と支出レポート CSV

Analytics 画面から、ユーザー別・モデル別・日別のリクエスト数、トークン数、推定支出を CSV で取得できます。異常な利用量の検知に有効ですが、1 日程度の遅延があり、操作レベルの監査ログとは目的が異なります。

組織データエクスポート

Primary Owner が組織設定の Data and Privacy からデータエクスポートを実行すると、会話データとユーザーデータを一括取得できます。ただし、リアルタイム監視には適さず、ユーザーが削除した会話は含まれません。

OpenTelemetry（Claude Code CLI / Cowork）

OpenTelemetry（OTel）モニタリングは、Team プランで監査証跡を確保する上で最も実用的な手段です。Claude Code CLI と Cowork（デスクトップアプリのエージェント機能、Research Preview）の両方で利用できます。

製品	OTel 対応	管理者が見れるもの	設定方法
Claude Code CLI	✅	トークン使用量、ツール呼び出し、コスト、プロンプト内容（オプトイン）	MDM で `managed-settings.json` を配布（ユーザーによるオーバーライド不可）
Cowork（デスクトップアプリ）	✅（Preview）	Claude Code と同じ OTel イベントスキーマ（Claude Agent SDK 経由）	Organization settings で OTLP endpoint / protocol / headers を一元設定
Claude.ai（Web チャット）	❌	会話数・トークン消費量（集計レベルのみ）	設定不可

Cowork は現在 Research Preview 段階で、Enterprise 機能（監査ログ、Compliance API、データエクスポート）からは除外されていますが、OTel モニタリングは利用可能です。Anthropic は公式に「監査ログの代替ではない」と明言していますが、Team プランにおいては最も粒度の細かい監査証跡を提供します。

収集できるデータ

データ種別	内容
メトリクス	セッション数、変更行数、PR 数、コミット数、コスト（USD）、トークン使用量、アクティブ時間
イベント	`user_prompt`（プロンプト長。`OTEL_LOG_USER_PROMPTS=1` で内容も取得可）、`tool_result`（ツール名、成否、所要時間、bash コマンド）、`api_request`（モデル、コスト、トークン）、`tool_decision`（受入/拒否）
ID 情報	`user.account_uuid`、`user.email`、`organization.id`、`session.id`
カスタムタグ	`OTEL_RESOURCE_ATTRIBUTES` で部署・チーム・コストセンター等を付与可能

prompt.id 属性により、ユーザープロンプト → ツール呼び出し → API リクエストのトレーサビリティチェーンが構成されます。「誰が・いつ・何を・どのツールで実行したか」を追跡できます。

管理者設定: Claude Code CLI

MDM で managed-settings.json を配布します。ユーザーによるオーバーライドはできません。

{
  "env": {
    "CLAUDE_CODE_ENABLE_TELEMETRY": "1",
    "OTEL_METRICS_EXPORTER": "otlp",
    "OTEL_LOGS_EXPORTER": "otlp",
    "OTEL_EXPORTER_OTLP_PROTOCOL": "grpc",
    "OTEL_EXPORTER_OTLP_ENDPOINT": "http://collector.example.com:4317",
    "OTEL_EXPORTER_OTLP_HEADERS": "Authorization=Bearer example-token"
  }
}

管理者設定: Cowork

デスクトップアプリの Organization settings > Cowork > Monitoring から、OTLP endpoint / protocol / headers を一元設定できます。管理者が設定すれば組織メンバー全員に適用されます。

導入事例: ZOZO

ZOZO が Claude Code + OTel + BigQuery の構成でログ収集システムを構築した事例が公開されています。Intune で全社員端末に managed-settings.json を配布し、Cloud Run 上の OTel Collector 経由で BigQuery にデータを格納する構成です。

3 層アーキテクチャによる監査ログの実現

単一のツールですべてをカバーすることはできません。以下の 3 層を組み合わせることで、Team プランのまま実用的な監査体制を構築できます。

flowchart LR
  U[ユーザー] -->|SSO| IDP[IdP ログ]
  U -->|API 経由| GW[API ゲートウェイ]
  GW --> CLAUDE[Claude API]
  U -->|claude.ai 直接利用| BM[ブラウザ監視]
  BM --> CLAUDE_WEB[Claude Web UI]
  U -->|ネットワーク| NW[CASB / プロキシ]
  IDP --> SIEM[SIEM / ログ基盤]
  GW --> SIEM
  BM --> SIEM
  NW --> SIEM

第 1 層: API ゲートウェイ

Claude の利用を Web UI から API 経由に切り替え、API ゲートウェイを介してすべてのリクエストとレスポンスを記録する方法です。プロンプト全文、応答全文、トークン数、コスト、タイムスタンプ、ユーザー情報を完全に記録できます。

主要なツールを比較します。

ツール	特徴	導入の容易さ
LiteLLM Proxy	OSS。PostgreSQL バックエンド。仮想 API キーによるチーム/ユーザー管理。Langfuse、S3、Datadog 等へのログ転送	中（PostgreSQL + Redis の運用が必要）
Helicone	OSS / クラウド SaaS。`base_url` の変更だけで導入可能。月 10,000 リクエストまで無料。SOC 2・GDPR 準拠	高
Portkey	仮想キー管理で生の API キーを配布不要。チーム単位のバジェット制御。SOC 2・HIPAA・ISO 27001 対応	高
Cloudflare AI Gateway	Cloudflare 利用企業に最適。DLP プロファイルマッチング、レート制限	高（Cloudflare 利用が前提）

LiteLLM Proxy の設定例を示します。

# litellm_config.yaml
model_list:
  - model_name: claude-sonnet-4-5
    litellm_params:
      model: anthropic/claude-sonnet-4-5-20250929
      api_key: os.environ/ANTHROPIC_API_KEY
general_settings:
  database_url: "postgresql://user:pass@host:5432/litellm"
  store_prompts_in_spend_logs: true  # 全プロンプト・レスポンスを記録

いずれのツールも、既存のアプリケーションで ANTHROPIC_BASE_URL をゲートウェイのエンドポイントに変更するだけで導入できます。

第 2 層: ブラウザ / エンドポイント監視

API ゲートウェイはアプリケーション経由の利用に有効ですが、ユーザーが claude.ai の Web UI を直接利用するケースではログを取得できません。この課題には、ブラウザ拡張やエンドポイント監視ツールで対応します。

ツール	特徴
Harmonic Security	Chrome、Edge、Firefox、Safari 対応。MDM 経由でデプロイ可能。6,000 以上の AI アプリを監視。個人/法人アカウントの区別に対応
PromptRail	Chrome 拡張ベース。Claude、ChatGPT、Gemini の全プロンプト・レスポンスを記録。SSN・クレジットカード番号・API キーの自動検出
Island Enterprise Browser	エンタープライズブラウザ。セッション録画、PII 除去、AI 拡張機能のリスクスコアリング。導入コストは高い

小規模チームで手軽に始めるなら PromptRail、MDM を導入済みの組織なら Harmonic Security が現実的な選択肢です。

第 3 層: ネットワーク制御（CASB / DLP）

既に CASB や SASE ソリューションを導入している組織では、既存インフラの拡張として Claude の利用監視を組み込めます。

Netskope: DLP 制御、アクティビティベースのポリシー、AI 脅威フレームワークへのマッピング
Zscaler: ヘッダーインジェクションによるテナント制限のサポート
Microsoft Purview DLP: M365 E5 に含まれるエンドポイント DLP。AI プラットフォームへの機密データ共有の監視

ネットワークレベルでは「誰がどのサービスにアクセスしたか」は把握できますが、会話内容の詳細な監査は困難です。API ゲートウェイやブラウザ監視との併用が前提になります。

また、テナント制限も重要です。Team プランではテナント制限を適用できないため、ユーザーが個人アカウントに切り替えて組織のセキュリティポリシーをバイパスするリスクがあります。ネットワークプロキシ側で anthropic-allowed-org-ids ヘッダーを挿入し、許可された組織 ID 以外の利用を遮断することで、すべての利用を監査可能な環境に限定できます。

組織規模別の推奨パターン

組織の規模と既存インフラに応じて、導入パターンを 3 つに分けて整理します。

パターン A: 小規模チーム（50 名以下）

Team プランの機能 + SSO ログで最低限の監査体制を構築します。

ステップ	実施内容
SSO 必須化	Team プランの SSO 機能を有効化し、IdP 側で認証ログを取得
利用量の定期確認	Analytics 画面の支出レポート CSV を定期保管し、異常利用を検知
事故調査用のデータ保全	必要時のみ組織データエクスポートを実施

パターン B: 中規模チーム（50〜150 名）

パターン A に加え、API ゲートウェイと OpenTelemetry で「何を投入したか」の可視性を確保します。

ステップ	実施内容
API ゲートウェイの導入	Helicone または Portkey を導入し、API 経由の利用をすべてログ記録
ブラウザ監視の導入	PromptRail 等で claude.ai 直接利用を可視化
OpenTelemetry の設定	Cowork / Claude Code 利用時は OTLP エンドポイントを設定し、SIEM に集約

パターン C: 大規模組織 / 規制業種

Enterprise プランへの移行を推奨します。2026 年 2 月に Anthropic がセルフサーブ型 Enterprise プランを導入しており、20 席以上からクレジットカード決済で即時利用開始できます。公式の監査ログ、Compliance API、カスタムデータ保持期間が利用可能になり、管理負荷は大幅に下がります。

ログ管理のベストプラクティス

監査ログを収集するだけでは不十分です。ログ自体が機密情報の塊になるため、保護と最小化が重要です。

観点	推奨事項
暗号化	転送時 TLS、保管時暗号化。KMS / HSM による鍵管理
最小権限	ログ閲覧者を限定し、監査担当と運用担当の権限を分離
改ざん防止	WORM / イミュータブルストレージに保管。ハッシュチェーンや署名の付与
保持期間	規制要件に応じて設定。PCI DSS では 12 か月保持、直近 3 か月は即時分析可能が基準
内容の最小化	プロンプト本文の収集は必要最小限に。過剰収集はログ自体が漏洩リスクになる

情シス向けの説明方針

Enterprise 監査ログの代わりに、以下の補完的統制（compensating controls）を組み合わせることで、同等のカバレッジを実現できます。

機密情報を扱う作業は Claude Code CLI / Cowork に集約 - OTel で監査証跡を確保
Web チャットでは機密情報の投入を禁止 - AI 利用ポリシーで明文化
Claude Team の利用分析 CSV エクスポート - ユーザー別トークン使用量の定期レポート
AI 利用ポリシー（Acceptable Use Policy）の策定 - データ分類ティアと利用ルールの明文化

OTel モニタリングでカバーできない Web チャット部分は、ポリシーによる統制で補います。機密情報を扱う作業を Claude Code CLI や Cowork に集約するルールを設けることで、技術的な監査証跡の網羅性を高められます。

まとめ

Claude Team プランで監査ログ相当の体制を構築するには、OTel モニタリングを軸にした多層的なアプローチが現実的です。

Enterprise プランの監査ログの代わりに、OpenTelemetry モニタリングを活用することで、Team プランでも開発作業の監査証跡を確保できます。OTel は Claude Code CLI と Cowork の両方で利用可能で、プロンプト内容、ツール実行、コスト、ユーザー情報をリアルタイムに収集できます。

加えて、以下の 3 層を組み合わせることでカバレッジを広げられます。

API ゲートウェイ（LiteLLM、Helicone、Portkey 等）で API 経由の利用を記録
ブラウザ / エンドポイント監視（Harmonic Security、PromptRail 等）で Web UI の直接利用を可視化
ネットワーク制御（CASB / プロキシ）でテナント制限を実施し、個人アカウントへの逸脱を防止

コスト効率を重視するなら、OSS の LiteLLM Proxy + Langfuse の組み合わせが最小投資で始められます。一方で、20 席以上の組織であれば、セルフサーブ型 Enterprise プランへの移行が最も確実な選択肢です。

最終的には、監査で求められるログの粒度、ユーザーの利用パターン（API 中心か Web UI 中心か）、既存のセキュリティインフラとの整合性を踏まえて判断してください。

以上、Claude Team で監査ログを実現する方法についてまとめた、現場からお送りしました。