OpenAI: Codexを本番環境で安全に運用する方法――サンドボックス、承認フロー、エージェントテレメトリ

OpenAIは5月8日に「Running Codex safely at OpenAI」を公開しました。これはCodexコーディングエージェントを本番環境で安全に運用する方法を説明するエンタープライズユーザー向けガイドです。本資料は、2026年3月にCodex Securityエージェントに関する記事を公開した後、OpenAIのコーディングエージェントセキュリティシリーズの一環として公開されました。

OpenAIが提案する4つのセキュリティレイヤーとは？

このガイドでは4つの補完的なメカニズムが説明されています。サンドボックスはコードの実行を制御された環境に隔離し、エージェントが本番システムに直接影響を与えることを防ぎます。承認フローは高リスクな操作（ネットワークアクセス、機密ファイルの変更、デプロイ）に人間の監視を義務付けます。ネットワークポリシーはエージェントがアクセスできる外部ドメインや内部サービスを定義します。エージェントネイティブテレメトリはツール呼び出し、意思決定、コンテキストを記録し、リクエスト/レスポンスのログ記録だけでなく動作の監査を可能にします。

エンタープライズコンプライアンスにとって何を意味するか？

このアプローチは、AIセキュリティがモデルレベルからエージェント実行レベルへ移行するトレンドを反映しています。従来のアプリケーションセキュリティは決定論的なコードを前提とします。AIエージェントは、コンプライアンスチームが粒度の細かい実行ポリシーと監査証跡で対処しなければならない不確定性をもたらします。OpenAIは「モデルが安全である」だけでは不十分だというシグナルを発しており、環境的な制御によって、たとえ安全でないまたは予測不可能な出力でも許容範囲内に収められる必要があります。

これはOpenAI Codexのナラティブにどう位置づけられますか？

このガイドは2つの先行記事の後に公開されました。3月6日の「Codex Security: Now in Research Preview」（AI脆弱性発見エージェント）と3月16日の「Why Codex Security Doesn’t Include a SAST Report」（制約ベースのバグ発見アプローチ）です。新しいドキュメントはループを閉じます——エージェント自体のセキュリティ機能を説明した後、今度は本番環境でのエージェントの安全な運用に焦点が当てられています。本稿執筆時点では、記事の全文は公開チャンネルから入手できておらず、このサマリーは公式RSSの説明に基づいています。