DocsDigest
一覧へLanguage: EN
ClaudeOpenAI News2026/05/08 12:30

Running Codex safely at OpenAI

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

claudejamodel: claude-haiku-4-5

OpenAIのCodexを安全に運用するための制御とテレメトリ

codexsecuritysandboxingtelemetryagent-governanceopentelemetrycompliance

Key Points

  • サンドボックスと自動承認による段階的な制御
  • ネットワークポリシーと認証情報の厳密な管理
  • OpenTelemetryによるエージェント固有の監査ログ

Summary

OpenAIは、コーディングエージェントであるCodexを本番環境で安全に展開するための包括的な制御フレームワークを公開しました。サンドボックス、承認ポリシー、ネットワークポリシー、エージェント固有のテレメトリを組み合わせることで、開発者の生産性を維持しながらセキュリティを確保しています。

Key Points

  • サンドボックスと承認: 技術的実行境界を定義し、低リスク操作はフリクションレス、高リスク操作は明示的に停止。Auto-review機能で日常的な承認リクエストを自動化
  • ネットワークアクセス制御: オープンエンドなアウトバウンドアクセスを禁止。許可ドメイン、ブロックドメイン、未知ドメインの承認要件を管理
  • 認証情報管理: CLI/MCP認証情報をOSキーリングに保存。ChatGPT経由のログインを強制し、エンタープライズワークスペースにアクセスを固定
  • コマンドルール: 日常的な開発コマンド(gh、kubectl等)は承認なしで許可。危険なコマンドはブロックまたは承認要件を設定
  • OpenTelemetryテレメトリ: ユーザープロンプト、承認決定、実行結果、ネットワークポリシー決定をログ出力。セキュリティチームが意図と行動を関連付け可能
  • AI駆動型セキュリティトリアージ: Codeexログとエンドポイント検知を組み合わせ、期待される動作と真の脅威を区別

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

claudejamodel: claude-haiku-4-5

OpenAIでCodexを安全に実行する

AIシステムがより高度になるにつれて、ユーザーに代わって行動することが増えています。コーディングエージェントはリポジトリを自律的にレビューし、コマンドを実行し、開発ツールと相互作用できます。これらは以前は直接的な人間の実行が必要だったタスクです。Codexでは、これらの機能を組織が安全にデプロイするために必要なコントロールと共に設計しました。

セキュリティチームは、エージェントがどのように動作するかを管理する方法が必要です。エージェントが何にアクセスできるか、人間の承認が必要な場合、どのシステムと相互作用できるか、そしてその動作を説明するテレメトリが存在するかです。

OpenAIでは、Codexを以下の明確な目標でデプロイしています。

  • エージェントを明確な技術的境界内に保つ
  • 低リスクのアクションで開発者が迅速に進められるようにする
  • より高いリスクのアクションを明示的にする
  • エージェント固有のテレメトリを保持して、エージェントが何をしたかを理解・監査できるようにする

実際には、これは管理された設定、制約された実行、ネットワークポリシー、およびエージェント固有のログを意味します。

Codexの動作方法を制御する

Codexは、制限された環境内で生産的であるべき、低リスクの日常的なアクションは摩擦がないべき、より高いリスクのアクションはレビューのために停止すべきという単純な原則でデプロイされます。

サンドボックスと承認

承認とサンドボックスは連携して機能します。サンドボックスは技術的な実行境界を定義し、Codexが書き込める場所、ネットワークに到達できるかどうか、どのパスが保護されたままであるかを含みます。承認ポリシーは、Codexがサンドボックスの外で何かをする必要があるなど、アクションを実行するために許可を求める必要がある場合を決定します。

ユーザーはアクションを1回承認するか、そのセッションのそのタイプのアクションを承認できます。

定期的な承認リクエストについては、Auto-review modeを使用しています。これは有効にすると、ユーザーがCodexアクションを停止して承認する必要がある頻度を減らすために、特定の種類のリクエストを自動承認する機能です。Codexは計画されたアクションと最近のコンテキストを自動承認サブエージェントに送信し、ユーザーを中断させる代わりに低リスクのアクションを自動承認できます。これにより、Codexはルーチンワークを続行しながら、より高いリスクまたは意図しない結果をもたらすアクションで停止します。

# config.toml

# Turn on auto_review
approvals_reviewer = "auto_review"
# Add known development directories to the sandbox automatically
sandbox_workspace_write.writable_roots = ["~/development"]

# requirements.toml

# Require Codex to operate inside the sandbox
allowed_sandbox_modes = ["read-only", "workspace-write"]

ネットワークアクセス

Codexはオープンエンドの送信アクセスで実行しません。管理されたネットワークポリシーは予想される宛先を許可し、Codexが到達したくない宛先をブロックし、未知のドメインに対する承認を要求します。これにより、Codexは広いネットワークアクセスを与えることなく、一般的で既知の良好なワークフローを完了できます。

# requirements.toml

# Ensure web fetch only comes from OpenAI's cache
allowed_web_search_modes = ["cached"]

[experimental_network]
# Turn on Network Proxy
enabled = true
# Allow Codex to interact with localhost
allow_local_binding = true
# Block all requests to this domain
denied_domains = ["pastebin.com"]
# Auto-allow requests to these domains
allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

ID認証と認証情報

Codexがどのように認証するかも管理します。CLIおよびMCP OAuth認証情報はセキュアなOSキーリングに保存され、ログインはChatGPTを通じて強制され、アクセスはChatGPTエンタープライズワークスペースに固定されます。これにより、Codexの使用がワークスペースレベルのコントロールに結び付けられ、CodexアクティビティがエンタープライズワークスペースのChatGPT Compliance Logs Platformで利用可能になります。

# config.toml

# Store CLI Auth Creds in OS Keychain
cli_auth_credentials_store = "keyring"
# Store MCP Creds in OS Keychain
mcp_oauth_credentials_store = "keyring"
# Require Auth via ChatGPT
forced_login_method = "chatgpt"
# Require Auth to Specific ChatGPT Workspace
forced_chatgpt_workspace_id = "<workspace-uuid>"

ルール

Codexがすべてのシェルコマンドを同じくらい安全に扱わないようにするためにルールを使用します。エンジニアが日常的な開発で使用する一般的な無害なコマンドはサンドボックスの外で承認なしで許可され、特定の危険なコマンドはブロックするか承認を要求できます。これにより、Codexは通常のエンジニアリングタスクを迅速に進めながら、サンドボックスの外で実行したくないパターンのレビューまたはブロックを強制できます。

# default.rules

prefix_rule(
    pattern = ["gh", "pr", ["view", "list"]],
    decision = "allow",
    justification = "Allows read-only GitHub PR inspection via gh CLI.",
)
prefix_rule(
    pattern = ["kubectl", ["get", "describe", "logs"]],
    decision = "allow",
    justification = "Allows Kubernetes resource inspection for debugging.",
)

管理された設定

このポスチャーは、クラウド管理の要件、macOS管理設定、およびローカル要件ファイルの組み合わせを通じて適用されます。要件は、ユーザーがオーバーライドできない管理者が強制するコントロールです。macOS管理設定とローカル要件ファイルにより、一貫したベースラインを維持しながら、チーム、ユーザーグループ、または環境ごとに異なる設定をテストできます。これらの設定は、デスクトップアプリ、CLI、IDE拡張機能を含むローカルCodexサーフェス全体に適用されます。

エージェント固有のテレメトリと監査証跡

コントロールは仕事の半分に過ぎません。エージェントがデプロイされると、セキュリティチームはこれらのエージェントが何をしているのか、そしてなぜそうしているのかについての可視性が必要です。

従来のセキュリティログは、Codexによって実行されたアクションを見るときに依然として有用ですが、主に何が起こったかに答えます。プロセスが開始され、ファイルが変更され、ネットワーク接続が試みられました。ディフェンダーはまだCodexが何かをした理由またはユーザーの意図を理解する必要があります。

Codexはセキュリティチームにより多くのエージェント対応ビューを提供できます。Codexはユーザープロンプト、ツール承認決定、ツール実行結果、MCPサーバー使用、ネットワークプロキシ許可またはブロックイベントなど、様々なCodexイベントのOpenTelemetryログエクスポートをサポートしています。Codexアクティビティログは、OpenAI Compliance PlatformのエンタープライズおよびEduカスタマー向けにも利用可能です。

# config.toml

[otel]
log_user_prompt = true
environment = "prod"

[otel.exporter.otlp-http]
endpoint = "http://localhost:14318/v1/logs"
protocol = "binary"

OpenAIでは、Codexログを当社のAI駆動セキュリティトリアージエージェントと共に使用しています。エンドポイントアラートがCodexが何か異常なことをしたと言うと、エンドポイントセキュリティツールは疑わしいイベントが発生したことを教えてくれます。Codexログはユーザーとエージェントの周囲の意図を説明するのに役立ちます。

AIセキュリティトリアージエージェントはCodexログを使用して、元のリクエスト、ツールアクティビティ、承認決定、ツール結果、および関連するネットワークポリシー決定またはブロックを検査します。AIセキュリティトリアージエージェントは、その分析をセキュリティチームに表示して、予想されるエージェント動作、無害なミス、および真に段階的な対応を保証するアクティビティを区別します。

同じテレメトリを運用上でも使用します。これらのログを使用して、内部採用がどのように変化しているか、どのツールとMCPサーバーが使用されているか、ネットワークサンドボックスがどのくらいの頻度でブロックまたはプロンプトしているか、およびロールアウトがまだチューニングが必要な場所を理解します。これらのOpenTelemetryログはSIEMおよびコンプライアンスログシステムで一元化できます。

今後の展開

Codexのようなコーディングエージェントが開発ワークフローに統合されるにつれて、セキュリティチームはこのシフトを管理するために特別に設計されたツールが必要です。Codexは、安全な採用を確保するために必要なコントロールサーフェス、設定管理、サンドボックス、および詳細なエージェント対応テレメトリを提供します。これらの機能が整備されれば、セキュリティチームはCodexをより大きな自信で有効にでき、開発者の生産性とエンタープライズセキュリティに必要な可視性とコントロールのバランスを取ることができます。

Codexの設定に関する詳細情報は[こちら](opens in a new window)で、Compliance APIは[こちら](opens in a new window)で見つけることができます。