記事のサマリー(TL;DR)
- OpenAI は Codex の社内展開で「サンドボックス境界 + 承認ポリシー + エージェントネイティブログ」の3層構成を採用
- Auto-review モードで低リスク操作を自動承認し、高リスク操作のみ人間のレビューを要求する設計
- OpenTelemetry ログを SIEM・コンプライアンス基盤と連携し、「何をしたか」だけでなく「なぜしたか」まで追跡可能
国内エンタープライズ開発チームが Codex 導入前に整備すべき制御設計
Codex のようなコーディングエージェントを企業内に展開する際、日本企業が直面しやすい課題は「どこまで自律実行を許可するか」の基準設計と、既存 SIEM・コンプライアンス基盤との接続です。OpenAI の事例では、macOS マネージドプリファレンスやローカル要件ファイルを組み合わせてチーム・ユーザーグループ・環境ごとに構成を変えながらも管理者が上書き不可の統一ベースラインを維持しています。日本の金融・製造・医療分野では内部統制や監査要件が厳しく、「エージェントが実行した操作とその意図の両方を記録できるか」が導入可否の実質的な判断軸になります。OpenTelemetry によるログ出力は既存の Splunk・Datadog・Microsoft Sentinel などの SIEM と統合しやすく、Compliance API は ChatGPT Enterprise・Edu 契約済みの組織がすぐに活用できます。kintone や Salesforce など業務 SaaS を中心とした開発環境でも、MCP サーバー経由のツール使用ログが取れる点は、内部監査ラインとの整合を取る上で評価ポイントになります。
詳細
Codex の運用原則:生産性と制御のバランス
AIシステムが高度化するにつれ、コーディングエージェントはリポジトリのレビュー、コマンド実行、開発ツールとの対話を自律的に行えるようになっています。これらはかつて人間が直接実行していた作業です。
OpenAI が Codex を社内展開するにあたって設定した目標は明確です。
- エージェントを明確な技術的境界内に収める
- 低リスクなアクションは摩擦なく処理する
- 高リスクなアクションは明示的に停止してレビューを要求する
- エージェントネイティブなテレメトリを保持し、動作を理解・監査できるようにする
サンドボックスと承認ポリシーの連携
サンドボックスは技術的な実行境界を定義します。Codex が書き込めるパス、ネットワークへのアクセス可否、保護されたままにするパスがここで決まります。
承認ポリシーは Codex がいつアクションの承認を求めるかを決定します。たとえばサンドボックス外で何かを実行する必要がある場合などです。ユーザーは特定のアクションを1回だけ承認するか、そのセッション中その種類のアクションを常に承認するかを選択できます。
サンドボックス境界を越えるリクエストには Auto-review モードを使用しています。このモードをオンにすると、承認サブエージェントが計画されたアクションと直近のコンテキストを確認し、低リスクなアクション、または十分な権限を持つユーザーによる高リスクなアクションを自動承認します。これによりユーザーの作業を中断せずに Codex が作業を継続でき、意図しない結果をもたらす可能性のある高リスクなアクションは依然として停止されます。
ネットワークポリシーと認証管理
OpenAI は Codex に対してオープンな外向きネットワークアクセスを与えていません。管理されたネットワークポリシーは以下の制御を実装しています。
- 許可された宛先への通信を明示的に許可
- 不要な宛先はブロック
- 不明なドメインへのアクセスは承認を要求
認証面では、CLI および MCP OAuth 認証情報を OS のセキュアなキーリングに保存し、ログインは ChatGPT 経由に強制、アクセスは ChatGPT Enterprise ワークスペースに固定しています。これにより Codex の使用がワークスペースレベルの制御に紐付けられ、Codex のアクティビティが ChatGPT Compliance Logs Platform で確認できるようになっています。
コマンドレベルのルール設定
すべてのシェルコマンドを同等のリスクとして扱わないよう、ルールを適用しています。
- 日常的な開発で使う無害なコマンドはサンドボックス外でも承認なしに許可
- 特定の危険なコマンドはブロックまたは承認必須
このルールは、クラウド管理要件・macOS マネージドプリファレンス・ローカル要件ファイルを組み合わせて適用されます。管理者が強制する要件はユーザーが上書きできません。デスクトップアプリ・CLI・IDE 拡張機能を含むすべての Codex ローカルサーフェスにこの設定が適用されます。
エージェントネイティブなテレメトリと監査証跡
制御だけでは不十分で、展開後の可視性も同様に重要です。従来のセキュリティログは「何が起きたか(プロセスの起動・ファイル変更・ネットワーク接続の試行)」は答えられても、「なぜ Codex がそれをしたのか」「ユーザーの意図は何か」の説明は難しいです。
Codex は以下のイベントについて OpenTelemetry ログエクスポートをサポートしています。
- ユーザープロンプト
- ツール承認の決定
- ツール実行の結果
- MCP サーバーの使用状況
- ネットワークプロキシの許可・拒否イベント
Codex のアクティビティログは、Enterprise および Edu 顧客向けに OpenAI Compliance Platform からも取得可能です。
AI セキュリティトリアージエージェントとの連携
OpenAI 社内では、Codex ログを AI 搭載のセキュリティトリアージエージェントと併用しています。エンドポイントアラートが Codex の異常な動作を検知した場合、Codex ログがユーザーとエージェントの意図を説明します。AI セキュリティトリアージエージェントは次の情報を確認します。
- 元のリクエスト
- ツールのアクティビティ
- 承認の決定
- ツールの実行結果
- 関連するネットワークポリシーの決定またはブロック
その後、セキュリティチームに分析結果を提示し、「想定内のエージェント動作」「無害なミス」「本当にエスカレーションが必要な活動」を区別します。
同じテレメトリを運用面でも活用しており、内部での採用状況の変化、使用されているツールや MCP サーバー、ネットワークサンドボックスのブロック・プロンプト頻度、展開の調整が必要な箇所の把握に役立てています。これらの OpenTelemetry ログは SIEM やコンプライアンスロギングシステムに集約できます。
今後の展望
Codex のようなコーディングエージェントが開発ワークフローに統合されるにつれ、セキュリティチームにはこの変化を管理するための専用ツールが必要になります。Codex が提供する制御サーフェス・設定管理・サンドボックス・詳細なエージェントネイティブテレメトリにより、セキュリティチームは開発者の生産性とエンタープライズセキュリティに必要な可視性・制御のバランスを取りながら Codex を安心して有効化できます。