OpenAIは2026年5月8日(現地時間)、コーディングエージェントCodexを実業務で安全に運用するための統制、技術的境界、およびテレメトリーに関する詳細を公開した。同社は、ユーザーに代わりリポジトリのレビュー、コマンド実行、開発ツールとの対話を行うエージェントの安全性確保が重要であると強調。Codexを管理された構成、制約付き実行、ネットワークポリシー、およびエージェントネイティブなログによってデプロイしていると説明した。
OpenAIはCodexのデプロイにおいて、エージェントを明確な技術的境界内に維持し、低リスクのアクションは迅速に進め、高リスクのアクションは明示的にすることを目標としています。これにより、エージェントネイティブなテレメトリーを保持し、エージェントの行動を理解し、監査することが可能になります。
Codexの運用管理には、サンドボックスと承認ポリシーが組み合わせて使用されます。サンドボックスは、Codexが書き込める場所、ネットワーク到達性、保護されるパスを含む技術的実行境界を定義します。承認ポリシーは、サンドボックス外のアクションを実行する際に承認を求める時期を決定します。ルーティンな承認要求に対しては「Auto-review」モードが利用され、低リスクのアクションを自動的に承認することで、ユーザーによる承認作業の頻度を低減します。
ネットワークアクセスに関して、Codexはオープンエンドな外部アクセスを持ちません。管理されたネットワークポリシーにより、予期される宛先は許可され、ブロックしたい宛先は遮断され、不明なドメインには承認が必要となります。また、CLIおよびMCP OAuth認証情報はセキュアなOSキーリングに保存され、ログインはChatGPTを通じて強制され、アクセスはChatGPTエンタープライズワークスペースに固定されます。これにより、CodexのアクティビティはChatGPT Compliance Logs Platformで利用可能となります。さらに、日常の開発で使用される一般的なコマンドはサンドボックス外でも承認なしで許可される一方、特定の危険なコマンドはブロックされるか、承認が求められるようにルールが設定されています。
これらの構成は、クラウド管理要件、macOS管理プリファレンス、およびローカル要件ファイルの組み合わせを通じて適用されます。要件は管理者によって強制され、ユーザーが上書きすることはできません。これらの構成は、デスクトップアプリ、CLI、およびIDE拡張機能を含むローカルのCodexインターフェース全体に適用されます。
エージェントの展開後には、セキュリティチームがエージェントの活動内容とその理由を可視化する必要があります。Codexは、ユーザープロンプト、ツール承認決定、ツール実行結果、MCPサーバー使用状況、ネットワークプロキシの許可または拒否イベントなど、様々なCodexイベントに対してOpenTelemetryログエクスポートをサポートします。Codexアクティビティログは、OpenAI Compliance Platform for EnterpriseおよびEdu顧客を通じて利用可能です。
OpenAIでは、CodexログをAIを活用したセキュリティトリアージエージェントと併用しています。エンドポイントアラートが異常なCodexの活動を示した場合、Codexログがユーザーおよびエージェントの意図に関する情報を提供し、元の要求、ツール活動、承認決定、ツール結果、関連するネットワークポリシー決定またはブロックを検査します。AIセキュリティトリアージエージェントはその分析結果をセキュリティチームに提示し、エージェントの予期された動作、無害な間違い、およびエスカレーションが必要な活動を区別するために活用されています。これらのログは、内部での導入状況の変化、使用されているツールやMCPサーバー、ネットワークサンドボックスがブロックまたはプロンプトを発する頻度を理解するためにも運用的に使用されています。
参考: OpenAI Blog — 2026年5月7日 13:00 (JST)