Claude Cyber Verification Program（CVP）とは｜Opus 4.7セーフガード解除の申請ガイド

Cyber Verification Program（CVP）は、Anthropicが2026年4月16日のClaude Opus 4.7リリースに合わせて開始した、正当な防御的サイバーセキュリティ業務のためにOpus 4.7の自動セーフガードを限定的に解除する無料の申請プログラムです。申請は約3分・審査は営業日2日以内で、ペネトレーションテストや脆弱性研究などの正規業務でClaudeが過剰にブロックされる問題を回避する公式ルートとして用意されています。2026年5月11日にはLyrie.ai（OTT Cybersecurity LLC）がFirst Batch参加者として発表されるなど、運用が段階的に拡大しています。

この記事では以下がわかります。

CVPの正式な位置づけと、何が解除されて何が引き続き禁止されるか
申請手順・所要時間・必要情報（業務メール推奨の理由を含む）
対応プラットフォームと非対応プラットフォーム（Bedrock / Vertex AI / ZDR）の扱い
承認後に必要なセキュリティ運用（API鍵管理・監査ログ・独立検証）
Claude Code APIへの承認伝播遅延など、GitHub Issueで報告されている既知の制約
却下されたときの再申請のコツと、CVPが向かない組織

対象読者: セキュリティ研究者・ペネトレーションテスター・レッドチーム担当者・脅威インテリジェンスアナリスト・社内CSIRT・情シス管理者で、Claude Opus 4.7を業務で使う、または検討している方。

Claude Opus 4.7 のリアルタイム・サイバーセーフガードとCVPを象徴するセキュリティコード画面

Cyber Verification Program（CVP）の要点

CVPの要点は次のとおりです。

項目	内容
提供元	Anthropic
料金	無料（application-based free program）
開始時期	2026年4月16日（Opus 4.7と同時公開）
対象モデル	Claude Opus 4.7（将来的にMythos系への展開を想定）
申請所要時間	約3分
審査期間	営業日2日以内（公式目標）
承認の単位	個人ではなく組織ID単位
解除される範囲	High-risk dual use（脆弱性研究・オフェンシブツール開発など）
解除されない範囲	Prohibited use（ランサムウェア開発・大規模データ流出など）
申請フォーム	`https://claude.com/form/cyber-use-case`

CVP本体は無料ですが、Opus 4.7自体の利用には入力 $5 / 出力 $25 / 100万トークンのAPI料金、またはClaude Pro / Max / Team / Enterpriseプランへの加入が必要です（Anthropic公式・現時点）。なお、Opus 4.7では新トークナイザーが導入されており、同一入力でも消費トークンが最大35%増になる可能性が複数の解説記事で指摘されています。CVPの費用には影響しませんが、API利用コストの試算時には織り込んでおくことを推奨します。

重要: CVPに承認されても「何でも生成できる」ようにはなりません。Anthropic Usage PolicyのProhibited useは常時ブロックされ続けます。CVPが解除するのは、あくまで「正当な防御業務で誤ブロックされる」グレーゾーンの部分です。

なぜCVPが必要になったのか — Opus 4.7のリアルタイム・サイバーセーフガード

CVPを理解する前提として、Opus 4.7に新搭載された「リアルタイム・サイバーセーフガード」の挙動を押さえる必要があります。Opus 4.7にはリクエストを動的に分類し、ポリシー違反の疑いがあるものを自動ブロックする分類器が組み込まれており、既定状態ではセキュリティ業務で必要になる高度な質問も止まる場合があります。

Anthropicはこの仕組みを2カテゴリに分けて運用しています。

カテゴリ	例	既定動作	CVPで解除可能か
Prohibited use（禁止用途）	ランサムウェア開発、マスデータ流出、能動的攻撃の自動化	常時ブロック	不可（承認後もブロック継続）
High-risk dual use（高リスク・デュアルユース）	脆弱性エクスプロイト解説、オフェンシブセキュリティツールの開発、リバースエンジニアリング	既定でブロック	可（承認で既定ブロック解除）

ペネトレーションテストやレッドチーム業務では、High-risk dual useに該当する技術質問が日常的に発生します。CVPは「正当な防御 vs 悪用」の境界をモデル内部で動的に判定するための公式プロセスとして用意されており、申請者の組織IDがホワイトリスト的に扱われることで、既定のブロック挙動が緩和されます。

Project Glasswingという文脈

Opus 4.7とCVPは、Anthropicの段階的AIセキュリティ戦略「Project Glasswing」の一部として位置づけられています。Anthropic公式ページによれば、Project GlasswingにはAnthropicを含む 12社の中核パートナー（AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks、Anthropic）と 40以上の協力組織 が参加。Anthropicは$100M分のモデル利用クレジットを拠出し、Alpha-Omega/OpenSSFに$2.5M、Apache Software Foundationに$1.5Mを寄付しています。

このうちOpus 4.7とCVPは「より強力なMythos Previewを広範に公開する前のproving ground（試験場）」として位置づけられており、Anthropic Red Teamの公開資料では CyberGymベンチマークでOpus 4.7が73.1%、Mythos Previewが83.1% と、Mythosの方が意図的に高いサイバー能力を持つことが示されています。Opus 4.7は訓練時にサイバー能力を差分的に削減（differential reduction of cyber capabilities）された状態で公開されている点も覚えておくと、CVPの位置づけが理解しやすくなります。

2026年5月11日: Lyrie.aiがFirst Batchで参加

CVPはAnthropicによる申請受付だけでなく、特定の防御セキュリティベンダーがFirst Batch（第一陣）として参加する形式も取られています。2026年5月11日、Lyrie.ai（OTT Cybersecurity LLC）がCVP First Batchとして発表され、同時にAIエージェントの認証・行動証明を扱うAgent Trust Protocol（ATP）をオープン公開しました（CIO、Network World、Security Boulevardが報道）。

これはCVPが「自己申請だけのプログラム」ではなく、AnthropicとAIセキュリティ専業ベンダー間でのレファレンス事例を積み上げる枠組みになっている裏付けです。CVPに申請する組織は、こうした先行事例の運用パターンを参考にする価値があります。

CVPで解除される機能と、引き続き禁止される用途

CVPが「全制限を外す承認」ではない点は、申請前に必ず理解しておくべき要素です。承認されても以下の線引きは維持されます。

解除される（CVP承認後に使えるようになる）

脆弱性のエクスプロイト手法に関する技術的な議論
オフェンシブセキュリティツール（Burp拡張・Nucleiテンプレート等）の開発支援
認証フロー・トークン処理のリバースエンジニアリング解析
マルウェア検体の挙動解析・難読化解除支援（防御目的）
レッドチーム演習の計画立案・想定シナリオ作成
認可されたペネトレーションテスト対象の偵察フェーズ支援
CTF（Capture The Flag）環境での教育用途

解除されない（承認後も常時ブロック）

ランサムウェア・ワイパー等の破壊的マルウェアの完成形コード生成
大規模データ流出（mass data exfiltration）を自動化するスクリプト
認可のない第三者システムへの能動的攻撃支援
DoS攻撃ツール開発
通信傍受 / 監視ツールの開発（未認可）
子どもへの危害・武器製造・違法行為の支援
Anthropic Usage Policyに明確に違反するあらゆる用途

判定の粒度について: 公式ドキュメントには「High-risk dual useがどの粒度で解除されるか」の詳細仕様までは現時点で明示されていません。CVPは全面解除ではなく、業務文脈・プロンプト内容に応じてモデルが判断する設計と想定されます。完全な挙動はAnthropic公式の今後のアップデートと運用実績で確認する必要があります。

CVPの申請方法・フロー

申請プロセスは公式に整備されており、シンプルです。

申請手順（5ステップ）

組織IDを確認する
- Claude.aiの Settings → Account / Organization から自分が管理するOrganization IDを取得します
- 個人アカウントではなく、業務で使う組織アカウントのIDを使います
Cyber Use Case Formにアクセス
- URL: https://claude.com/form/cyber-use-case
- 申請所要時間は約3分
必要情報を入力
- Claudeで行うサイバー関連業務の内容（具体的に。例: 「自社プロダクトの脆弱性診断」「クライアント企業の認可済みペネトレーションテスト」）
- 正当な専門家であることを示す証拠（所属企業・肩書き・公開実績・GitHub等）
- 組織ID（手順1で取得）
- 連絡先（業務メール推奨。個人ドメインのメールは却下されやすいと専門メディアが指摘）
- 申請時点で既にブロックされているプロンプトの実例を添えると審査がスムーズと海外メディア（Undercode Testing等）が示唆
審査結果を待つ
- 営業日2日以内にメールで結果が届きます（公式目標）
- 承認の場合: 該当組織IDのOpus 4.7利用時に既定セーフガードが緩和される
承認後の挙動確認
- 承認された組織IDでログインし、対象業務の質問が以前ブロックされていたものなら通るかをテスト
- 承認は特定の組織IDに紐付きます。同じユーザーでも別組織（個人ワークスペース等）に切り替えるとブロックに戻ります

却下された場合の対応

Anthropicは公式ヘルプで「時折、有資格の申請を誤って却下することがある」と明記しており、専用の異議申し立てフォーム（cyber-block-false-positive-report-cvp-rejection-appeal）が用意されています。海外専門メディア（Undercode Testing、Graham Heltonのブログ等）は次のような再申請のコツを挙げています。

業務目的を「防御的・教育的」側面に焦点を当てて再記述する（攻撃手法そのものではなく、その対策やインシデントレスポンスの観点を強調）
公開可能な実績（CVE報告履歴・バグバウンティ実績・登壇歴・公開リポジトリ）を添える
組織所属の証跡を明示する（業務メール・社員証・LinkedIn等）
個人の興味本位ではなく、組織として正規の業務であることを明確にする

対応プラットフォームと非対応プラットフォーム

CVP承認はすべての利用経路で有効になるわけではありません。現時点での対応状況を必ず確認してから申請してください。

CVPによるセーフガード解除とプラットフォーム別対応状況を表すセキュリティのイメージ

プラットフォーム	CVP対象	備考
Claude.ai（Web / アプリ）	✅ 対象	組織IDを正しく指定すれば適用
Anthropic API（直接利用）	✅ 対象	APIキーが紐づく組織で申請
Microsoft Foundry（旧Azure AI Foundry）	✅ 対象	Azure Tenant ID + Subscription IDで申請可能
BYOK（Bring Your Own Key）	✅ 対象	自社管理のキーでも対応
Amazon Bedrock	❌ 現時点で未対応	Opus 4.7自体は使えるがCVPによるセーフガード調整は未適用
Google Vertex AI	❌ 現時点で未対応	同上
Zero Data Retention（ZDR）組織	❌ 現時点で未対応	Anthropicセールス担当への直接問い合わせが必要

Bedrock・Vertex AIについては、各プラットフォームから「Platform CVP Interest Form」経由で参加申請が可能と案内されており、対応拡大は継続中です。ただし時期は未確定のため、現時点で「Bedrock経由のOpus 4.7でCVPが効く」と前提にして業務設計するのは避けるべきです。なお、Opus 4.7自体はAmazon Bedrock東京リージョンにDay 1で対応済み（2026年4月16日、DevelopersIO報道）ですが、CVP適用とは別問題である点に注意してください。

既知の制約 — Claude Code APIへの承認伝播遅延

CVPが正常に効くプラットフォームでも、承認が経路によっては即時反映されないケースがユーザーから報告されています。

2026年4月後半から5月にかけて、AnthropicのGitHubリポジトリには複数のIssueが上がっています。

Issue #49679（CVP Exemption granted but Claude Code API still blocking）: CVPが承認されてClaude Chat（Web/Desktop）では正常動作しても、Claude Code API経由では誤検知ブロックが残るケース。2026年5月時点で「duplicate」扱いで集約中。
Issue #50162（Opus 4.6/4.7 refuses to do any cybersecurity research）: 「コンテキスト無視」「初期研究者の排除」「透明性不足」「セッション中断」が主要な不満として継続的に報告されている。

実務上の含意は次のとおりです。

承認＝全経路で即時解除ではない。CVP承認後でも、Claude Code経由で重要なペネトレーションテスト作業をする予定の組織は、本格運用前に挙動テストを行ってください。
セッション中断時の業務継続計画を用意する。長時間の検証中にブロックが入る前提でログ保全・代替ツールへの切り替え手順を整備しておくと安全です。
不具合があればGitHub Issueへの報告と異議申し立てフォームの併用を検討してください。

公式アナウンスとして「Claude Code API側の誤検知が完全解消した」との発表は2026年5月時点で確認できておらず、今後の改善状況をAnthropicの更新で確認する必要があります。

ZDR契約やBedrock / Vertex AI利用時の代替策

日本企業ではZDR（Zero Data Retention）契約やAWS / GCP上でClaudeを使うケースも多く、CVP非対応の壁にぶつかる可能性があります。現時点で取れる選択肢は次のとおりです。

選択肢1: Anthropicセールスに直接問い合わせる（ZDR組織向け）

ZDR組織の場合、Cyber Use Case Formからの自己申請ではなく、Anthropicの担当アカウントマネージャーまたはセールスチーム経由でCVP相当の対応を相談する必要があります。Anthropic公式も「Sales Managed ZDRはセールス担当に問い合わせを」と明記しています。契約条項とセーフガード調整の双方を個別調整するため、リードタイムは数営業日〜数週間を見込んでおくべきです。

選択肢2: 対象業務だけ別経路（直接API / Microsoft Foundry）に切り出す

Bedrock / Vertex AI上のClaudeはCVP非対応のため、CVPが必要なペネトレーションテスト業務のみをAnthropic直接API経由 or Microsoft Foundry経由に分離する設計が現実的です。データガバナンス上の整合性は社内法務・情シスと確認が必要ですが、業務単位でルートを分けることで既存のクラウド契約と両立できます。

選択肢3: Opus 4.6を継続利用する

Opus 4.6では今回の自動セーフガード分類器が同じ形では動作していなかったため、業務によってはOpus 4.6の継続利用が短期的な回避策になる可能性があります。ただし以下の理由で恒久対応にはなりません。

モデルの性能差（SWE-bench Verified 80.8% → 87.6%、SWE-bench Pro 53.4% → 64.3%、OSWorld 72.9% → 78.0%）
Anthropicが旧モデルを将来サンセットする可能性
Opus 4.6側でもセキュリティ関連質問の拒否がGitHub Issueで報告されている

短期的な回避策として活用しつつ、CVP申請・経路分離など恒久策の準備を並行で進めてください。

CVP承認後に必須のセキュリティ運用

CVPが承認された組織は、セキュリティ機微情報をモデルに送ることが増えます。承認＝安全ではなく、承認後だからこそ自社側の運用を強化する必要があります。海外専門メディア（Penligent等）と一般的な業界ベストプラクティスを踏まえた推奨事項を整理します。

API鍵管理

承認直後にAPIキーを即ローテーションする（申請プロセスに利用したキーは記録に残る前提で扱う）
HashiCorp Vault / AWS Secrets Manager / GCP Secret Manager等のシークレットマネージャで集中管理
ローカル .env への平文保存・GitリポジトリへのコミットはNG
利用組織内でも最小権限で配布。個人開発者にProduction APIキーを渡さない

ネットワーク・通信制御

API呼び出し元のIPアドレスをホワイトリスト化（iptables / クラウドファイアウォール）
HTTPS + 証明書ピニングで中間者攻撃を防ぐ
VPN / プライベートネットワーク経由の利用を原則化

監査ログ・利用記録

全プロンプト・全レスポンスを暗号化された監査ログとして保管（PII・認証情報を含むため）
誰が・いつ・どの目的で・どのプロンプトを送信したかを追跡可能に
法務・コンプライアンス部門と保管期間・閲覧権限を事前に合意

モデル出力の独立検証（最重要）

Penligent等の専門メディアが繰り返し指摘しているのは、「Live exploit proof depends on target state」＝モデルが提示するエクスプロイトコードや脆弱性仮説は、独立検証なしに信頼してはいけないという原則です。

モデル出力の脆弱性仮説は必ずサンドボックス環境で検証してから本番に適用
プロキシログ・ランタイム動作確認・既存スキャナ（Burp / OWASP ZAP / Nuclei等）との突合を実施
モデルが「動く」と言ったエクスプロイトでも、対象システムの状態次第で動作しないケースが多い
AI出力をそのままレポート提出・本番適用しない

プロンプトインジェクション対策

外部から取得したコード・ログ・スクリーンショットをClaudeに入力する場合、プロンプトインジェクションが含まれる前提で扱う
信頼できないコンテンツは隔離環境で扱い、結果を機械的に本番に流さない
関連解説: 生成AIのセキュリティリスクと対策、AIエージェントセキュリティ対策ガイド

CVP申請が向いている組織・向いていない組織

申請の判断基準を整理します。

申請を強く検討すべき組織

セキュリティ専業企業（ペネトレーションテストベンダー、レッドチーム提供企業、脅威インテリジェンス事業者）
自社プロダクトの脆弱性診断を内製している事業会社のセキュリティ部門・CSIRT
CTF（Capture The Flag）コンテスト運営・教育機関
バグバウンティハンターで法人格を持つ専門家
クライアント企業から認可済みのセキュリティ業務を受託しているコンサルティング会社
AIエージェントのセキュリティ評価を行うAIガバナンス専業企業（Lyrie.aiの先行事例参照）

申請が通りにくい・向いていない組織

個人の興味本位でのオフェンシブツール開発（業務実態がない）
認可なしの第三者システムへのテストを意図する利用者
ZDR契約のままセールス問い合わせを経由しないケース
Bedrock / Vertex AI経由でしかClaudeを使えず、利用経路を変更できない組織（現時点では別経路の検討が先）
業務メールも所属組織情報も提示できない申請

CVP申請前のセルフチェックリスト

申請する前に以下を確認してください。

自社の業務がProhibited use（破壊的マルウェア開発・無許可攻撃）に該当しないと明確に説明できる
業務メールアドレス（独自ドメイン）を保有している
Claude.aiでのOrganization IDを確認済み
利用プラットフォームがCVP対応（Claude.ai / Anthropic API / Microsoft Foundry / BYOK）である
ZDR契約の有無を社内法務・情シスに確認済み
申請却下時の異議申し立てプロセスを把握している
承認後のAPI鍵管理・監査ログ・IP制限の運用設計が用意されている
モデル出力の独立検証フローが社内に存在する
Claude Code APIで作業する場合、承認伝播遅延の可能性を踏まえたテスト計画がある

よくある質問（FAQ）

Q1. CVPの申請は本当に無料ですか？

A. はい、CVP自体は無料の申請プログラムです。 ただしOpus 4.7の利用には別途API料金（入力 $5 / 出力 $25 / 100万トークン）またはClaude Pro / Max / Team / Enterpriseプランへの加入が必要です。新トークナイザーで同一入力でも最大35%のトークン増になる可能性があるため、コスト試算時には注意してください。

Q2. 個人で申請しても通りますか？

A. 個人での申請は通りにくい傾向があります。 Anthropicは正当な専門家であることの証拠を求めており、業務メール・組織所属・公開実績（CVE報告・バグバウンティ・登壇歴）が説明できることが望ましいです。フリーランスでも法人格や継続的な業務実績があれば申請可能です。

Q3. 承認されたら「何でも」生成できますか？

A. いいえ。 Anthropic Usage PolicyのProhibited use（ランサムウェア開発・大規模データ流出・破壊的マルウェア等）は承認後も常時ブロックされます。CVPが解除するのは、正当な防御業務で誤ブロックされる「High-risk dual use」のグレーゾーン部分のみです。

Q4. AWS Bedrock経由でClaude Opus 4.7を使っていますが、CVPは使えますか？

A. 現時点では未対応です。 Bedrock経由のOpus 4.7自体は東京リージョンを含むDay 1対応で利用可能ですが、CVPによるセーフガード調整は適用されません。CVPが必要な業務はAnthropic直接APIまたはMicrosoft Foundry経由に切り替えるか、プラットフォーム側のCVP対応を待つ必要があります。

Q5. 承認されると組織内の誰でもセーフガードが緩和されますか？

A. はい、承認は組織IDに紐付くため、その組織で認証された利用者は対象です。 ただし組織内のアクセス権限・APIキー配布・監査ログは自社で適切に管理する責任があります。同じユーザーでも別組織（個人ワークスペース等）に切り替えるとブロックに戻ります。

Q6. 申請が却下されたら再申請できますか？

A. できます。 専用の異議申し立てフォーム（cyber-block-false-positive-report-cvp-rejection-appeal）が用意されており、防御的・教育的側面に焦点を当てて再申請することが推奨されています。CVE報告・バグバウンティ・登壇歴などの公開実績を添えると審査が通りやすくなります。

Q7. CVPの審査期間が2営業日を超えても連絡が来ません。どうすればいいですか？

A. 公式には営業日2日以内とされていますが、申請内容や混雑状況で遅延する可能性があります。 4〜5営業日待っても連絡がない場合、申請時の連絡先メールアドレスから問い合わせるか、Anthropicサポートに連絡することを検討してください。

Q8. ZDR（Zero Data Retention）契約のままCVPは使えますか？

A. 現時点では自己申請ルートでは対応していません。 Anthropicの担当アカウントマネージャーまたはセールスチームに直接問い合わせ、ZDR契約とCVP相当の対応を個別調整する必要があります。リードタイムは数営業日〜数週間を見込んでください。

Q9. CVP承認後、Claude Codeでもブロックされなくなりますか？

A. 現時点で完全に保証できる挙動ではありません。 GitHub Issue #49679でCVP承認後のClaude Code APIで誤検知ブロックが残るケースが報告されており、Anthropicは「duplicate」扱いで集約中です（2026年5月時点）。実運用前に必ず挙動テストを行い、不具合があれば異議申し立てフォーム経由で報告することを推奨します。

Q10. Mythos PreviewにもCVPは適用されますか？

A. 現時点ではOpus 4.7が主対象です。 Anthropic公式は「最も高性能なモデルから順次適用」と示唆していますが、Mythos Preview自体の一般公開（GA）時期も含めて、Mythos系へのCVP適用範囲は未公開です。Opus 4.7はあくまでMythos GAに向けたproving ground（試験場）として位置づけられている点を意識してください。

まとめ — CVPは「正規セキュリティ業務のための公式ホワイトリスト」

Cyber Verification Programは、Claude Opus 4.7のリアルタイム・サイバーセーフガードによって正当な防御業務がブロックされる問題を解消するために、Anthropicが2026年4月に公式に開始した申請制プログラムです。無料・3分で申請・2営業日で結果という運用負荷の低さに対し、得られるメリット（業務での誤ブロック解消）は大きく、セキュリティ専業企業・社内CSIRT・脅威インテリジェンス部門にとっては早期申請の価値があります。Lyrie.aiのようなFirst Batch参加企業の事例も2026年5月から公開されはじめており、運用イメージは具体化しています。

一方で、承認は「全制限の解除」ではなく、Prohibited useは引き続きブロックされます。また、Bedrock / Vertex AI / ZDR組織の現時点での非対応、Claude Code APIへの承認伝播遅延、承認後のAPI鍵管理・独立検証の必要性など、申請前に確認すべき制約も少なくありません。

「自社のCVP申請可否」「対応プラットフォームの確認」「承認後の運用設計」の3点を整理してから申請に進むことを推奨します。