---
title: コーディングエージェントを安全に実行させる新しいアプローチ 〜Docker Sandboxes・AI Governance〜
tags:  #docker #security #mcp #claude #codex #cursor  
author: [根本 征(Tadashi Nemoto)](https://docswell.com/user/tadashi0713)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/GJWGR31272.jpg?width=480
description: https://dockerjapan.connpass.com/event/399476/  Claude Code、GitHub Copilot CLI、Gemini CLI、Codex といったAIコーディングエージェントの普及が急速に進んでいます。これらのエージェントはコード生成・テスト・デプロイを自律的に実行できる一方、ホスト環境へのファイルシステムアクセスや認証情報の漏洩、意図しないネットワーク通信など、企業のセキュリティ担当者が見過ごせないリスクも抱えています。「エージェントに自由を与えながら、大切な環境を守る」この両立こそが、現在の開発組織における最大の課題の一つです。  本ウェビナーでは、こうした課題を解決するDockerの新製品2つ、Docker Sandboxes（コーディングエージェント専用のmicroVM分離サンドボックス）とDocker AI Governance（組織全体のAIエージェント一元管理）をご紹介します。Docker SandboxesはDocker Desktopのライセンスがなくても無償でご利用いただけます。まずはすぐに試せる無償ツールで安全なエージェント運用を体験し、組織全体への展開・管理方法もあわせてご確認ください。
published: July 16, 26
canonical: https://docswell.com/s/tadashi0713/53J9N2-docker-sandboxes-ai-governance
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/GJWGR31272.jpg)

コーディングエージェントを安全に
実行させる新しいアプローチ
Docker Sandboxes
Docker AI Governance
Tadashi Nemoto
Strategic Solutions Engineer, Docker


# Page. 2

![Page Image](https://bcdn.docswell.com/page/4EZLRVP473.jpg)

アジェンダ
● コーディングエージェントをホストマシンで
直接実行するリスク
● Docker Sandboxes
● Docker Sandboxes デモ
● Docker AI Governance
● Q&amp;A


# Page. 3

![Page Image](https://bcdn.docswell.com/page/Y76WR5MG7V.jpg)

コーディングエージェントを
ホストマシンで直接実行するリスク


# Page. 4

![Page Image](https://bcdn.docswell.com/page/G75M8YZX74.jpg)

コーディングエージェントによる飛躍的な
生産性向上の一方、 リスクも増加している
84%
41%
の開発者がコーディング
エージェントを利用
の新しいコードが AI によっ
て生成されている


# Page. 5

![Page Image](https://bcdn.docswell.com/page/9J29KGRQER.jpg)

ソフトウェアサプライチェーン攻撃(axios)
axios は Javascript で書かれた HTTP クライアントアプリで、
React・Vue・Next.js などのフレームワークで広く使われており、自分で直
接インストールしていなくても、他のライブラリの依存関係として自動的に含
まれていることが非常に多い。
2026年3月30日、axios の主要メンテナーの npm アカウントが侵害され、
1.14.1 と 0.30.4 の 2 つの悪意のあるバージョンが公開された。
攻撃者は事前に `plain-crypto-js` という悪意のあるパッケージを公開し、
axios の依存関係に追加。`npm install` を実行するだけで、`postinstall`
フックを通じて RAT(遠隔操作トロイの木馬)がインストールされる仕組み
だった。
RAT がインストールされると即座にシステム偵察が実行され、マシン上の
シークレット(npm トークン、SSH キー、AWS/GCP/Azure の認証情
報、.env ファイルの API キー、GitHub トークンなど)が盗まれる対象となっ
た。
https://www.trendmicro.com/ja_jp/jp-security/26/d/expertview-20260409-01.html


# Page. 6

![Page Image](https://bcdn.docswell.com/page/DEY4NVDYJM.jpg)

コーディングエージェントに含まれる脆弱性
Cursor「CurXecute」CVE202554135
GitHub Copilot CVE202553773
Cursor におけるプロンプトインジェクションによって、
リモートコードを可能とする脆弱性
GitHub Copilot におけるプロンプトインジェクションによって、リモート
コードを可能とする脆弱性
Cursor 1.3.9 未満のバージョンでは、ワークスペース内のファイルを
ユーザーの承認なしに書き込むことが可能だった。
(編集には承認が必要だったが、新規作成には承認が不要だった
)
攻撃者はソースコードファイル、Webページ、または GitHub Issue に
悪意のあるプロンプトを埋め込み、Copilot を操作して
`.vscode/settings.json` に `ˮchat.tools.autoApprove: trueˮ` とい
う行を追加させた。
`.cursor/mcp.json` のような MCP 設定ファイルがまだ存在しない場
合、攻撃者はプロンプトインジェクションを利用してコンテキストを乗っ取
り、このファイルを新規作成することで、ユーザー承認なしにリモート
コード実行を引き起こすことができた。
その後 Copilot が YOLO モード(すべての安全確認を無効化)で危険
なコード(`rm -rf /`, `os.system(...)`)実行や、ファイル、トークン、ネッ
トワークへのアクセスが承認なしで可能になっていた。


# Page. 7

![Page Image](https://bcdn.docswell.com/page/VJNYXM6R78.jpg)

Docker Sandboxes


# Page. 8

![Page Image](https://bcdn.docswell.com/page/YE9P8NLZJ3.jpg)

エージェントをホスト上で直接実行するのではなく、
隔離されたサンドボックス環境で実行
1
軽量な MicroVM で隔離し、エージェントによる
ファイル操作・コマンド実行などを安全に実現
2
ファイルシステム・ネットワーク・認証などを
隔離した上で制御
3
専用の Docker Daemon によって、セキュリティを
犠牲Docker-in-Docker)にせずにコンテナを実行
4
主要なエージェントをサポート
Claude Code, Codex, GitHub Copilot, Cursor)
安全な環境で YOLO モードで実行可能
claude --dangerously-skip-permissions


# Page. 9

![Page Image](https://bcdn.docswell.com/page/GE8D8KWYED.jpg)

Docker Desktop なしで実行可能
brew install docker/tap/sbx
winget install Docker.sbx


# Page. 10

![Page Image](https://bcdn.docswell.com/page/LELMRZN97R.jpg)

MicroVM
Container
Request
Network
Proxy
Request
Anthropic,
OpenAI,
etc
Coding Agent
Filesystem
Manager
Docker
Daemon
Container
Source dir
Source dir


# Page. 11

![Page Image](https://bcdn.docswell.com/page/4JMYRVXVJW.jpg)

安全かつ開発しやすい隔離アプローチ
Docker
Sandboxes
VM (full
virtual
machine)
コンテナベースの
アプローチ
ビルトインサンド
ボックス
サンドボックス
なし
(ホストマシン
直接)
隔離レベル
の違い
⚫ 完全なカーネル隔離
⚫ 完全なカーネル隔離
◐ 名前空間での隔離
◐ プロセスレベル
◯ ガードレールなし
カーネルレベルでの
隔離ではない
カーネルは共有
対象はシェルコマンドの
み
のセキュリティ
リスクの高い状態
起動・終了の
素早さ
⚫素早い起動・終了
◯ 起動・終了が遅い
マシンリソースを必要以
上に消費する
⚫ VM より起動が早い
⚫ 素早い起動・終了
—
エージェントが
コンテナを操作
できるか
⚫ Docker コンテナをネ
イティブでサポート
◐ VMの中でコンテナを立
◯ 権限を変更する必要
◯ コンテナ実行不可
—
ち上げることは
可能だが、別途
セットアップが必要
があり
(Docker-in-Docker)
新たなリスクを生む
除外設定で境界の外に
出す必要


# Page. 12

![Page Image](https://bcdn.docswell.com/page/PJR9R2NW79.jpg)

Docker Sandboxes デモ


# Page. 13

![Page Image](https://bcdn.docswell.com/page/PEXQRDNVJX.jpg)

Docker Sandboxes + AI エージェント(Claw)
MicroVM
Node.js
Orchestrator
[
Docker
Daemon
Container
Agent A
Req
Container
Agent B
https://www.youtube.com/watch?v=mqQ_IH3Bsqw
Network Proxy


# Page. 14

![Page Image](https://bcdn.docswell.com/page/3EK9RXN5ED.jpg)

Experimental
+
Docker Sandboxes Kits(テンプレート)
sbx run --kit “git+https://github.com/~”
https://github.com/docker/sbx-kits-contrib


# Page. 15

![Page Image](https://bcdn.docswell.com/page/L73W85V175.jpg)

Docker AI Governance


# Page. 16

![Page Image](https://bcdn.docswell.com/page/87DKMD8KJG.jpg)

DOCKER AI GOVERNANCE
1 つのコンソールで全ての環境に一括適用
ポリシーの適用は一度だけ
エージェントが実際に実行される場所
で厳格に適用します
ADMIN CONSOLE · POLICY
SANDBOX · NETWORK
01
Sandbox: ネットワークとファイルシステム
ALLOW
*.github.com
DENY
10.0.0.0/8 → :prod
ENG · 4,210
ドメイン、IP、CIDR によるアクセスの許可・拒否を設定できます。
Read-only や Read-Write の権限
を指定してディレクトリをマウントします。これらは単なる推奨事項としてではなく、プロキシ層とマウン
ORG GUARDRAIL
ト層で強制的に適用されます
SANDBOX · FILESYSTEM
02
MCP: サーバーとツール
組織で一元管理されるカタログです。審査されていないサーバーへのアクセスはデフォルトでブロック
されます。ネットワークやファイルシステムと同じ仕組みを使用しているため、別の管理画面の使い方
を新しく覚える必要はありません。
RO
~/code
DENY
/etc · ~/.ssh
ALL
ORG GUARDRAIL
MCP CATALOG
03
チームポリシーと監査
ALLOW
github · linear · sentry
DENY
* (unvetted)
VETTED · 12
ポリシーグループは SAML と SCIM によって割り当てられます。すべての評価プロセスにおいて、お
使いの SIEM に取り込み可能な構造化されたイベントデータが生成されます。
DEFAULT


# Page. 17

![Page Image](https://bcdn.docswell.com/page/VJPKRX83E8.jpg)

DOCKER AI GOVERNANCE
Docker MCP Gateway Enterprise


# Page. 18

![Page Image](https://bcdn.docswell.com/page/2EVVRLNNEQ.jpg)

DOCKER AI GOVERNANCE
ほとんどのツールは一部のみを保護
Docker はエージェント全体を保護
Docker AI Governance
SANDBOX + MCP
Sandbox と MCP を 1 つのコンソールから管理し、
MCP ゲートウェイ
MCP のみ対象で、ネットワーク・ファイルシステムは対象外
ネットワーク
メッシュ
データプレーンで動き、開発環境やそのファイルシステムは対象外
リモート開発環境
NETWORK
FILESYSTEM
MCP
NETWORK
FILESYSTEM
MCP
NETWORK
FILESYSTEM
MCP
NETWORK
FILESYSTEM
MCP
全ての開発環境に適用可能
全てをカバーできるが、全てのエージェントを別の開発環境へ
移行する必要がある


# Page. 19

![Page Image](https://bcdn.docswell.com/page/57GLMXK5EL.jpg)

Thank you!!
tadashi.nemoto@docker.com


