コーディングエージェントを安全に実行させる新しいアプローチ 〜Docker Sandboxes・AI Governance〜

181 Views

July 16, 26

スライド概要

https://dockerjapan.connpass.com/event/399476/

Claude Code、GitHub Copilot CLI、Gemini CLI、Codex といったAIコーディングエージェントの普及が急速に進んでいます。これらのエージェントはコード生成・テスト・デプロイを自律的に実行できる一方、ホスト環境へのファイルシステムアクセスや認証情報の漏洩、意図しないネットワーク通信など、企業のセキュリティ担当者が見過ごせないリスクも抱えています。「エージェントに自由を与えながら、大切な環境を守る」この両立こそが、現在の開発組織における最大の課題の一つです。

本ウェビナーでは、こうした課題を解決するDockerの新製品2つ、Docker Sandboxes(コーディングエージェント専用のmicroVM分離サンドボックス)とDocker AI Governance(組織全体のAIエージェント一元管理)をご紹介します。Docker SandboxesはDocker Desktopのライセンスがなくても無償でご利用いただけます。まずはすぐに試せる無償ツールで安全なエージェント運用を体験し、組織全体への展開・管理方法もあわせてご確認ください。

profile-image

複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

各ページのテキスト
1.

コーディングエージェントを安全に 実行させる新しいアプローチ Docker Sandboxes Docker AI Governance Tadashi Nemoto Strategic Solutions Engineer, Docker

2.

アジェンダ ● コーディングエージェントをホストマシンで 直接実行するリスク ● Docker Sandboxes ● Docker Sandboxes デモ ● Docker AI Governance ● Q&A

3.

コーディングエージェントを ホストマシンで直接実行するリスク

4.

コーディングエージェントによる飛躍的な 生産性向上の一方、 リスクも増加している 84% 41% の開発者がコーディング エージェントを利用 の新しいコードが AI によっ て生成されている

5.

ソフトウェアサプライチェーン攻撃(axios) axios は Javascript で書かれた HTTP クライアントアプリで、 React・Vue・Next.js などのフレームワークで広く使われており、自分で直 接インストールしていなくても、他のライブラリの依存関係として自動的に含 まれていることが非常に多い。 2026年3月30日、axios の主要メンテナーの npm アカウントが侵害され、 1.14.1 と 0.30.4 の 2 つの悪意のあるバージョンが公開された。 攻撃者は事前に `plain-crypto-js` という悪意のあるパッケージを公開し、 axios の依存関係に追加。`npm install` を実行するだけで、`postinstall` フックを通じて RAT(遠隔操作トロイの木馬)がインストールされる仕組み だった。 RAT がインストールされると即座にシステム偵察が実行され、マシン上の シークレット(npm トークン、SSH キー、AWS/GCP/Azure の認証情 報、.env ファイルの API キー、GitHub トークンなど)が盗まれる対象となっ た。 https://www.trendmicro.com/ja_jp/jp-security/26/d/expertview-20260409-01.html

6.

コーディングエージェントに含まれる脆弱性 Cursor「CurXecute」CVE202554135 GitHub Copilot CVE202553773 Cursor におけるプロンプトインジェクションによって、 リモートコードを可能とする脆弱性 GitHub Copilot におけるプロンプトインジェクションによって、リモート コードを可能とする脆弱性 Cursor 1.3.9 未満のバージョンでは、ワークスペース内のファイルを ユーザーの承認なしに書き込むことが可能だった。 (編集には承認が必要だったが、新規作成には承認が不要だった ) 攻撃者はソースコードファイル、Webページ、または GitHub Issue に 悪意のあるプロンプトを埋め込み、Copilot を操作して `.vscode/settings.json` に `ˮchat.tools.autoApprove: trueˮ` とい う行を追加させた。 `.cursor/mcp.json` のような MCP 設定ファイルがまだ存在しない場 合、攻撃者はプロンプトインジェクションを利用してコンテキストを乗っ取 り、このファイルを新規作成することで、ユーザー承認なしにリモート コード実行を引き起こすことができた。 その後 Copilot が YOLO モード(すべての安全確認を無効化)で危険 なコード(`rm -rf /`, `os.system(...)`)実行や、ファイル、トークン、ネッ トワークへのアクセスが承認なしで可能になっていた。

7.

Docker Sandboxes

8.

エージェントをホスト上で直接実行するのではなく、 隔離されたサンドボックス環境で実行 1 軽量な MicroVM で隔離し、エージェントによる ファイル操作・コマンド実行などを安全に実現 2 ファイルシステム・ネットワーク・認証などを 隔離した上で制御 3 専用の Docker Daemon によって、セキュリティを 犠牲Docker-in-Docker)にせずにコンテナを実行 4 主要なエージェントをサポート Claude Code, Codex, GitHub Copilot, Cursor) 安全な環境で YOLO モードで実行可能 claude --dangerously-skip-permissions

9.

Docker Desktop なしで実行可能 brew install docker/tap/sbx winget install Docker.sbx

10.

MicroVM Container Request Network Proxy Request Anthropic, OpenAI, etc Coding Agent Filesystem Manager Docker Daemon Container Source dir Source dir

11.

安全かつ開発しやすい隔離アプローチ Docker Sandboxes VM (full virtual machine) コンテナベースの アプローチ ビルトインサンド ボックス サンドボックス なし (ホストマシン 直接) 隔離レベル の違い ⚫ 完全なカーネル隔離 ⚫ 完全なカーネル隔離 ◐ 名前空間での隔離 ◐ プロセスレベル ◯ ガードレールなし カーネルレベルでの 隔離ではない カーネルは共有 対象はシェルコマンドの み のセキュリティ リスクの高い状態 起動・終了の 素早さ ⚫素早い起動・終了 ◯ 起動・終了が遅い マシンリソースを必要以 上に消費する ⚫ VM より起動が早い ⚫ 素早い起動・終了 — エージェントが コンテナを操作 できるか ⚫ Docker コンテナをネ イティブでサポート ◐ VMの中でコンテナを立 ◯ 権限を変更する必要 ◯ コンテナ実行不可 — ち上げることは 可能だが、別途 セットアップが必要 があり (Docker-in-Docker) 新たなリスクを生む 除外設定で境界の外に 出す必要

12.

Docker Sandboxes デモ

13.

Docker Sandboxes + AI エージェント(Claw) MicroVM Node.js Orchestrator [ Docker Daemon Container Agent A Req Container Agent B https://www.youtube.com/watch?v=mqQ_IH3Bsqw Network Proxy

14.

Experimental + Docker Sandboxes Kits(テンプレート) sbx run --kit “git+https://github.com/~” https://github.com/docker/sbx-kits-contrib

15.

Docker AI Governance

16.

DOCKER AI GOVERNANCE 1 つのコンソールで全ての環境に一括適用 ポリシーの適用は一度だけ エージェントが実際に実行される場所 で厳格に適用します ADMIN CONSOLE · POLICY SANDBOX · NETWORK 01 Sandbox: ネットワークとファイルシステム ALLOW *.github.com DENY 10.0.0.0/8 → :prod ENG · 4,210 ドメイン、IP、CIDR によるアクセスの許可・拒否を設定できます。 Read-only や Read-Write の権限 を指定してディレクトリをマウントします。これらは単なる推奨事項としてではなく、プロキシ層とマウン ORG GUARDRAIL ト層で強制的に適用されます SANDBOX · FILESYSTEM 02 MCP: サーバーとツール 組織で一元管理されるカタログです。審査されていないサーバーへのアクセスはデフォルトでブロック されます。ネットワークやファイルシステムと同じ仕組みを使用しているため、別の管理画面の使い方 を新しく覚える必要はありません。 RO ~/code DENY /etc · ~/.ssh ALL ORG GUARDRAIL MCP CATALOG 03 チームポリシーと監査 ALLOW github · linear · sentry DENY * (unvetted) VETTED · 12 ポリシーグループは SAML と SCIM によって割り当てられます。すべての評価プロセスにおいて、お 使いの SIEM に取り込み可能な構造化されたイベントデータが生成されます。 DEFAULT

17.

DOCKER AI GOVERNANCE Docker MCP Gateway Enterprise

18.

DOCKER AI GOVERNANCE ほとんどのツールは一部のみを保護 Docker はエージェント全体を保護 Docker AI Governance SANDBOX + MCP Sandbox と MCP を 1 つのコンソールから管理し、 MCP ゲートウェイ MCP のみ対象で、ネットワーク・ファイルシステムは対象外 ネットワーク メッシュ データプレーンで動き、開発環境やそのファイルシステムは対象外 リモート開発環境 NETWORK FILESYSTEM MCP NETWORK FILESYSTEM MCP NETWORK FILESYSTEM MCP NETWORK FILESYSTEM MCP 全ての開発環境に適用可能 全てをカバーできるが、全てのエージェントを別の開発環境へ 移行する必要がある