Docker Sandboxes 〜 Claude Code などのコーディングエージェントを隔離されたサンドボックス環境で実行 〜

-- Views

April 27, 26

#docker #security #claude code #codex

スライド概要

https://youtu.be/Jpu8-8xEDYU

Claude Code などのコーディングエージェントを隔離されたサンドボックス環境で実行することができる Docker Sandboxes を紹介します。

近年コーディングエージェントを利用した開発が急速に普及していますが、同時にホストマシンで直接実行することによるセキュリティリスクも懸念されています。

この動画では、具体的にどのようなリスクがあるのか、そして Docker Sandboxes を使ってどのように安全な実行環境を実現しているのか解説していきます。

profile-image
スライド一覧

複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

安全なコンテナイメージを作るための新しい業界標準: Docker Hardened Images
docker security
user-img 根本 征(Tadashi Nemoto) 16K
slide-thumbnail

Unityを使ったモバイルゲームCI/CDパイプラインをクラウドネイティブ化しよう
circleci cicd devops unity ゲーム モバイル ios android
user-img 根本 征(Tadashi Nemoto) 8.3K
slide-thumbnail

自動テストをCIで”実行”させるだけでは不十分な理由
circleci 自動テスト cicd テスト自動化 devops
user-img 根本 征(Tadashi Nemoto) 4.2K
slide-thumbnail

Docker MCP Catalog and Toolkit 〜Docker コンテナで実現する、簡単・安全な MCP サーバーの管理〜
docker mcp claude cursor
user-img 根本 征(Tadashi Nemoto) 3.3K
slide-thumbnail

Docker Hardened Images (DHI) Introduction 〜本番環境向けに構築した、デフォルトで安全なコンテナイメージ〜
docker セキュリティ security sbom
user-img 根本 征(Tadashi Nemoto) 3.2K
slide-thumbnail

Docker Scout を使ったコンテナセキュリティの可視化と管理
docker devsecops security container
user-img 根本 征(Tadashi Nemoto) 2.8K
各ページのテキスト
1.

Docker Sandboxes Claude Code などのコーディングエージェントを隔離された サンドボックス環境で実行 Tadashi Nemoto Strategic Solutions Engineer, Docker

2.

コーディングエージェントを ホストマシンで直接実行するリスク

3.

コーディングエージェントによる飛躍的な 生産性向上の一方、 リスクも増加している 84% 41% の開発者がコーディング エージェントを利用 の新しいコードが AI によっ て生成されている

4.

ソフトウェアサプライチェーン攻撃(axios) axios は Javascript で書かれた HTTP クライアントアプリで、 React・Vue・Next.js などのフレームワークで広く使われており、自分で直 接インストールしていなくても、他のライブラリの依存関係として自動的に含 まれていることが非常に多い。 2026年3月30日、axios の主要メンテナーの npm アカウントが侵害され、 1.14.1 と 0.30.4 の 2 つの悪意のあるバージョンが公開された。 攻撃者は事前に `plain-crypto-js` という悪意のあるパッケージを公開し、 axios の依存関係に追加。`npm install` を実行するだけで、`postinstall` フックを通じて RAT(遠隔操作トロイの木馬)がインストールされる仕組み だった。 RAT がインストールされると即座にシステム偵察が実行され、マシン上の シークレット(npm トークン、SSH キー、AWS/GCP/Azure の認証情 報、.env ファイルの API キー、GitHub トークンなど)が盗まれる対象となっ た。 https://www.trendmicro.com/ja_jp/jp-security/26/d/expertview-20260409-01.html

5.

コーディングエージェントに含まれる脆弱性 Cursor「CurXecute」CVE202554135 GitHub Copilot CVE202553773 Cursor におけるプロンプトインジェクションによって、 リモートコードを可能とする脆弱性 GitHub Copilot におけるプロンプトインジェクションによって、リモー トコードを可能とする脆弱性 Cursor 1.3.9 未満のバージョンでは、ワークスペース内のファイルを ユーザーの承認なしに書き込むことが可能だった。 (編集には承認が必要だったが、新規作成には承認が不要だった) 攻撃者はソースコードファイル、Webページ、または GitHub Issue に悪意のあるプロンプトを埋め込み、Copilot を操作して `.vscode/settings.json` に `ˮchat.tools.autoApprove: trueˮ` と いう行を追加させた。 `.cursor/mcp.json` のような MCP 設定ファイルがまだ存在しない 場合、攻撃者はプロンプトインジェクションを利用してコンテキストを 乗っ取り、このファイルを新規作成することで、ユーザー承認なしにリ モートコード実行を引き起こすことができた。 その後 Copilot が YOLO モード(すべての安全確認を無効化)で危 険なコード(`rm -rf /`, `os.system(...)`)実行や、ファイル、トークン、 ネットワークへのアクセスが承認なしで可能になっていた。

6.

Docker Sandboxes

7.

Docker Sandboxes コーディングエージェントをホスト上で直接 実行するのではなく、 隔離されたサンドボックス環境で実行 軽量な MicroVM ベースで隔離し、コーディングエー ジェントによるコード編集・パッケージのインストール ・コマンド実行などを安全に実現 ファイルシステム・ネットワーク・認証などを隔離・制 御 Docker-in-Docker などを懸念する必要なく、コー ディングエージェントが安全にイメージの ビルドとコンテナの実行・操作が可能 主要なコーディングエージェントをサポート Claude Code, Codex, Gemini CLI, Kiro, GitHub Copilot) 安全な環境で YOLO モードで実行可能 claude --dangerously-skip-permissions

8.

Docker Desktop なしで実行可能 brew install docker/tap/sbx winget install Docker.sbx

9.

MicroVM Container Request Network Proxy Request Anthropic, OpenAI, etc Coding Agent Filesystem Manager Docker Daemon Container Source dir Source dir

10.

Docker Sandboxes デモ

11.

おわりに