OpenAIは、コード生成AIエージェントであるCodexをWindows環境で安全かつ効果的に動作させるための専用サンドボックスの構築について詳細を発表しました。これは、WindowsがmacOSのSeatbeltやLinuxのseccomp/bubblewrapのような、すぐに利用できる強力なプロセス分離ユーティリティを標準で提供していないという課題に対処するものです。 従来、Windowsユーザーは、Codexの実行時に全てのコマンド承認を求められる非効率な選択肢か、監視なしでフルアクセスを許可する危険な選択肢のどちらかを選ぶ必要がありました。 OpenAIが開発したネイティブサンドボックスは、これらの課題を解決し、安全性と利便性のバランスを実現します。

Windows環境におけるサンドボックスの必要性と課題

Codexのようなコーディングエージェントは、開発者のローカル環境でコードの実行、ファイルの読み書き、テストの実行、Gitブランチの作成といった広範な操作を行うため、強力なセキュリティ境界が不可欠です。 しかし、Windows環境では、macOSやLinuxに存在するOSレベルのネイティブな分離機能が不足しており、AIエージェントが自律的に動作する際のセキュリティリスクを増大させていました。

この背景から、OpenAIはCodexがリアルユーザーのパーミッションで動作するデフォルト設定において、潜在的な危険性をはらんでいると認識していました。 そこで、ファイル書き込みとネットワークアクセスを安全な範囲に自動的に制限できるサンドボックス環境の実装が求められました。 サンドボックスは、権限を制限された実行環境であり、エージェントが実行するコマンドは、これらの制限されたパーミッションの下で起動され、その制約は子プロセスツリー全体に伝播されます。

Windowsネイティブサンドボックスの技術的アーキテクチャ

OpenAIは、Windows向けに2種類のネイティブサンドボックスモードを開発しました。これらは、ユーザーのシステム設定やセキュリティポリシーに応じて選択可能です。

1. Unelevated Sandbox（非昇格サンドボックス）

これは初期のプロトタイプであり、「管理者権限の昇格なし」で動作することを目標としていました。 現在のユーザーから派生した制限付きWindowsトークンを使用し、ACL（Access Control List）ベースのファイルシステム境界を適用します。ネットワークアクセスは、専用のオフラインユーザーファイアウォールルールではなく、環境レベルのオフライン制御によって管理されます。このモードは「elevated」に比べてセキュリティ強度は低いものの、管理者承認が必要なセットアップがローカルまたはエンタープライズポリシーによってブロックされている場合に有効なフォールバックとして機能します。

2. Elevated Sandbox（昇格サンドボックス）

「elevated」が推奨されるWindowsネイティブサンドボックスです。 これは、より堅牢な隔離を実現するために以下の技術的要素を採用しています。

• 専用の低権限サンドボックスユーザー: サンドボックス内でコマンドを実行するために、専用の分離されたユーザーアカウントを使用します。
• ファイルシステム権限境界: ファイルシステムに対して厳密なアクセス制限を適用し、Codexがワークスペース外のファイルを書き換えることを防ぎます。
• ファイアウォールルール: ネットワークアクセスを細かく制御するためのファイアウォールルールを設定し、明示的な許可なしにはインターネットアクセスをブロックします。
• ローカルポリシー変更: サンドボックス内で実行されるコマンドに必要なローカルセキュリティポリシーの変更を適用します。

デフォルトでは、これら両方のサンドボックスモードは、より強力なUI分離のためにプライベートデスクトップを使用します。

さらに、OpenAIはCodexのコード実行サンドボックスをオープンソース化しており、エンタープライズ開発者がAIコーディングエージェントに対する「ブラックボックス」問題に取り組むことができるようにしています。 これにより、開発者やセキュリティエンジニアは、独自の要件に合わせてサンドボックスの動作を監査し、カスタマイズすることが可能になります。

運用モードとセキュリティモデル

Codexのサンドボックスは、その実行環境を制限することで、AIエージェントが自律的に動作しつつも、マシンへの無制限なアクセスを防ぎます。これは、プロンプトやガイドラインによるものではなく、OSレベルでの技術的な強制力によって実現されます。

サンドボックスは、Codexが組み込みのファイル操作だけでなく、git、パッケージマネージャー、テストランナーといった外部ツールを実行する際にも適用されます。 これにより、これらのコマンドも同じサンドボックス境界内で権限を継承して実行されます。

Codexは、サンドボックスの厳格さに関して3つの主要なパーミッションモードを提供しています。

• read-only: Codexはファイルを検査できますが、承認なしにファイルを編集したりコマンドを実行したりすることはできません。
• workspace-write: デフォルトモードであり、摩擦の少ないローカル作業向けです。Codexはファイルを読み取り、ワークスペース内で編集し、その境界内で日常的なローカルコマンドを実行できます。
• danger-full-access: サンドボックスの制限が完全に解除され、ファイルシステムとネットワークへの無制限なアクセスが許可されます。 これは、Codexにフルアクセスさせたい場合にのみ使用すべきであり、データ損失のリスクを伴います。

これらのモードを通じて、開発者はエージェントの自律性とセキュリティレベルを柔軟に調整できます。特にworkspace-writeモードは、低リスクのコマンドに対して確認を求める手間を省き、承認疲れを軽減しつつ、エージェントが強制された制限内で動作するという明確な信頼モデルを提供します。

開発者・エンジニア視点での考察

1. AIエージェントの安全な展開戦略: Windows環境でAIエージェントを導入する際、OSネイティブなサンドボックスの実装は極めて重要です。既存のOS機能に依存できない場合、本事例のようにカスタムサンドボックスを構築するアプローチは、セキュリティと開発効率を両立させるための参考になります。特に、elevatedとunelevatedの2段階のサンドボックスアプローチは、企業ポリシーによる制限がある環境でもAIエージェントの利用を可能にする現実的なソリューションとして応用可能です。

2. オープンソースサンドボックスの活用: OpenAIがサンドボックスのコードをオープンソース化したことは、AIエージェントのセキュリティモデルにおける透明性向上に大きく貢献します。開発者やセキュリティエンジニアは、独自の要件に合わせてサンドボックスの動作を監査し、カスタマイズすることが可能になります。これは、企業がAIエージェントを本番環境に導入する際の信頼獲得とリスク管理において、非常に強力な要素となり得ます。

3. エージェント型開発における環境定義の重要性: サンドボックスは、AIエージェントが「ツールを呼び出す」のではなく、「限定された環境で動作する」という、エージェント型開発のパラダイムシフトを示しています。開発者は、エージェントに与えるツールセットだけでなく、そのエージェントが活動する環境（アクセス可能なファイル、ネットワーク、実行可能なコマンド）を明確に定義し、技術的に強制することの重要性を再認識すべきです。これにより、エージェントの自律性を最大限に活用しつつ、予期せぬ挙動によるシステムへの影響を最小限に抑えることができます。

---

Related Insights / 関連記事

May 5, 2026

Amazon Bedrock AgentCore IdentityとAmazon ECSで実現するAIエージェントのセキュアな運用：3LO認証コードグラントの実践

Apr 24, 2026

OpenAI Codex設定の技術的深掘り：開発者向け最適化ガイド

Apr 23, 2026

OpenAI Codexの自動化機能：開発ワークフローを革新する自律型AIエージェント