しんたろーのITアカデミー
AI活用Tips

Claude Code開発で必須の承認ゲート。AIの実行権限を制限する安全な設計術

Claude Code開発で必須の承認ゲート。AIの実行権限を制限する安全な設計術
しんたろーしんたろー
6分で読めます
この記事の内容(目次)

SNS運用を自動化しませんか?

ThreadPostなら、投稿作成・画像生成・スケジュール管理までAIがサポート。

無料で始める

AIエージェントの主戦場は「ブラウザ操作」から「ローカル開発環境」へ

AIエージェントのトレンドが変化している。

ブラウザ操作AIから、制御可能なコーディングエージェントへ開発リソースが移行している。

セキュリティと実行権限の壁が浮き彫りになった。

MetaではAIの誤ったアドバイスを人間が実行し、機密データへの不正アクセスを許すインシデントが発生した。

Claude Codeを安全に運用するために、承認ゲートの設計が不可欠だ。

「AIにどこまでやらせて、どこで止めるか」という境界線を引く。

ブラウザエージェントの現状とセキュリティ事故

ブラウザ操作AIは、実用性とセキュリティの課題に直面している。

Googleはブラウザ操作AI「Project Mariner」のチームを再編し、開発リソースをGemini Agent等のプロジェクトへ移した。

Metaで発生したインシデントは、AIの出力が引き起こすリスクを証明した。

社内AIエージェントが誤った技術アドバイスを公開フォーラムに投稿した。

それを信じた従業員が操作を行い、機密データへの不正アクセスが発生した。

この事象はMetaのセキュリティ格付けで上から2番目に深刻なSEV1と定義された。

AIが直接システムを破壊したわけではなく、人間がAIの回答を信じて実行した結果だ。

しんたろーしんたろー:
Metaの事例は、AIを自動実行ツールとして扱うリスクを示している。
僕のThreadPost開発でも、AIの提案をそのままデプロイするのは避けている。
AIのバグよりも、僕らの「慣れ」が怖いと思った。

開発環境を守る「5つのサンドボックス層」

AIエージェントを実務に導入する際、サンドボックスによる境界設計が不可欠だ。

これはAIのための「専用の作業机」として機能する。

以下の5つの層で境界を設計する。

第一に、ワークスペースの境界だ。

読み書き可能なディレクトリを物理的に制限する。

第二に、プロセスの境界だ。

実行可能なコマンドをホワイトリスト化する。

第三に、ネットワークの境界だ。

外部APIやパッケージマネージャーへの接続を制御する。

第四に、ランタイムの境界だ。

特定の言語実行環境にAIを閉じ込める。

第五に、リモートサンドボックスだ。

ローカルPCから切り離した環境でAIを動かす。

しんたろーしんたろー:
サンドボックスはAIに全権限を渡さないための仕組みだ。
Claude Codeを使っていると、つい全てを任せたくなる。
APIキーが入ったディレクトリにはアクセスさせない設定が基本だ。

ここまで読んだあなたに

今なら無料で全機能をお試しいただけます。設定後はAIが投稿案を毎日生成。確認して選ぶだけ。

無料で始める

実務で事故を防ぐ「承認ゲート」構築術

AIの権限は段階的に開放する。

導入初期は読み取り専用(Read-only)から始める。

書き込みを許可する場合も、ディレクトリ単位で制限をかける。

「package.json」や「db/migrations/」へのアクセスは禁止する。

AIが出したコードの差分は、必ず人間がレビューする。

git diffを確認せずにマージしてはいけない。

AIを「提案を行うジュニアエンジニア」として扱う。

コマンド実行はホワイトリスト制を導入する。

許可するコマンドの例:

- rg

- cat

- ls

- npm test

注意が必要なコマンドの例:

- npm install

- curl

- docker run

- rm

しんたろーしんたろー:
最後に人間がボタンを押すルールが最も強い。
1人SaaS開発では、自分がCEOでありセキュリティ担当だ。
自分の首を絞めないための承認ゲートを構築する。

FAQ

Q1: AIエージェントにどこまで権限を渡すべきですか?

最初は「読み取り専用(Read-only)」から始めます。書き込み権限を与える場合は、特定のディレクトリに限定し、rm -rfdeploysecretへのアクセスは物理的に遮断する環境で動かします。

Q2: AIの回答で事故を起こさないためには?

AIの回答をそのまま実行せず、人間が必ずレビューします。技術的な助言やコマンド提案はgit diffで差分を確認し、最終的な実行ボタンは人間が押すというHuman-in-the-loopの原則を徹底します。

Q3: ブラウザエージェントはなぜ下火になっているのですか?

実用性とセキュリティのバランスが理由です。ブラウザはWebページからのプロンプトインジェクションを受けやすく、制御が困難です。現在は、より制御しやすいコーディングエージェントにリソースが集中しています。

まとめ

AIの進化に管理能力を追いつかせる必要がある。

ブラウザを飛び回るAIよりも、ローカル開発環境という聖域を守ることに集中する。

サンドボックスを設計し、権限を絞り、人間が最後にチェックする。

「AIに何をさせるか」と同じくらい、「AIをどこで止めるか」に知恵を絞る。

👉 ThreadPostでSNS運用を自動化する

ThreadPost — SNS投稿をAIが自動化

この記事が参考になったら、ThreadPostを試してみませんか?投稿作成・画像生成・スケジュール管理まで、AIがサポートします。

無料で始める

この記事をシェア

XはてブLINE
しんたろー

ThreadPost開発者・個人開発エンジニア

AI × SaaS個人開発者。Cursor / Claude Code を使った効率的開発、SNS自動化について実体験から発信。

人気の記事