AIコーディングエージェントを「無人で」動かすのは、正直なところ怖さがあります。コードを自動生成して実行までしてくれるのは便利ですが、万が一おかしなコマンドを叩いたらどうなるのか。そんな不安を解消するために、Dockerが2026年1月にリリースしたのが「Docker Sandboxes」です。

実際に試してみたところ、microVMベースの隔離がかなりしっかりしていて、これなら安心してエージェントを走らせられると感じました。

Docker Sandboxesとは

Docker Sandboxesは、AIコーディングエージェントを安全に実行するためのmicroVMベースのサンドボックス環境です。Claude Code、Gemini CLI、Codex CLI、Kiroといった主要なコーディングエージェントに対応しています。

従来のDockerコンテナよりもさらに強い隔離レベルを提供するのがポイントですね。コンテナはカーネルを共有しますが、microVMは独立したカーネルで動作するため、エージェントが予期しない操作をしてもホストマシンへの影響を最小限に抑えられます。

なぜサンドボックスが必要なのか

AIコーディングエージェントは、ファイルの読み書き、シェルコマンドの実行、パッケージのインストールなど、かなり広い権限を必要とします。人間が監視している間は問題ありませんが、バックグラウンドで自律的に動かす場合はリスクが跳ね上がります。

たとえば、AIエージェントが勝手に中傷記事を公開してしまった事件のように、意図しない外部への影響が発生する可能性は常にあります。Docker Sandboxesはこうしたリスクを物理的に封じ込める仕組みです。

microVM隔離の仕組み

Docker SandboxesはmicroVMテクノロジーを使っています。通常のコンテナがLinuxのnamespaceとcgroupsでプロセスを分離するのに対し、microVMは軽量な仮想マシンとして動作します。

  • カーネル分離:各サンドボックスが独自のLinuxカーネルを持つため、カーネルの脆弱性を突いた脱出が困難
  • ネットワーク制御:外部通信を細かく制限でき、不正なデータ送信を防止
  • ファイルシステム隔離:ホストのファイルシステムへのアクセスを明示的にマウントした範囲に限定
  • リソース制限:CPU・メモリの使用量を制御し、暴走を防止

これはAWSのFirecrackerやGoogleのgVisorと同系統のアプローチで、クラウドプロバイダーが採用してきた実績のある隔離方式です。

対応するAIエージェント

2026年2月時点で、以下のエージェントがDocker Sandboxesに対応しています。

  • Claude Code:AnthropicのCLI型AIコーディングツール
  • Gemini CLI:GoogleのAIコーディングエージェント
  • Codex CLI:OpenAIのターミナルベースエージェント
  • Kiro:AWSが提供するAI開発ツール

どのエージェントも、サンドボックス内でファイル編集やコマンド実行を行い、結果だけをホスト側に同期する形で動作します。

セットアップ手順

Docker Desktop 4.41以降がインストールされていれば、すぐに使い始められます。

# サンドボックスの作成と起動
docker sandbox create --name my-agent-env

# プロジェクトディレクトリをマウントして起動
docker sandbox run --mount ./my-project:/workspace my-agent-env

# サンドボックス内でClaude Codeを実行
docker sandbox exec my-agent-env claude-code

プロジェクトのソースコードだけをマウントし、それ以外のシステムファイルやホームディレクトリにはアクセスさせない、というのが基本的な使い方になります。

実運用で感じたメリット

実際にClaude Codeをサンドボックス内で動かしてみて、いくつかのメリットを感じました。

まず、心理的な安心感が大きいです。エージェントが「このコマンドを実行していいですか?」と聞いてくるたびに判断する必要がなくなり、承認なしで自動実行させても問題ない環境を作れます。

また、環境の再現性も向上しました。サンドボックスごとに独立した環境を持てるため、プロジェクトAの依存関係がプロジェクトBに影響することがありません。

さらに、チーム開発ではプロンプトインジェクション対策としても有効です。悪意のあるプロンプトがエージェント経由でシステムに影響を与えるリスクを、インフラレベルで軽減できます。

注意点と制約

いくつか気をつけるべき点もあります。microVMの起動にはコンテナよりもやや時間がかかりますし、GPU passthrough の対応状況はまだ限定的です。

また、ネットワークを完全に遮断するとエージェントがAPIに接続できなくなるため、許可リスト方式で必要な通信先だけを開ける設定が推奨されています。

まとめ

Docker Sandboxesは、AIコーディングエージェントの「野放し運転」を安全にするための実用的なソリューションだと感じました。AIコーディングツールの進化に合わせて、セキュリティ面のインフラも整ってきているのは心強いですね。

詳しいセットアップ手順はDocker公式ブログで確認できます。AIエージェントを本格的に業務に組み込みたい方は、まずサンドボックス環境での試用から始めてみることをおすすめします。