CurrentStack
#ai#agents#security#cloud#platform-engineering

Dynamic Workers時代のAIサンドボックス運用設計:ガバナンス実装プレイブック

CloudflareのDynamic Workers公開は、エージェント開発における本質的な問いを前倒しで突きつけました。すなわち、LLMが都度コードを生成して実行する時代に、どこまでを最小安全境界として定義すべきか、そしてその境界を保ったまま対話的な速度を維持できるか、という問いです。

参考: https://blog.cloudflare.com/dynamic-workers/

「サンドボックスが必要」という認識自体は多くのチームで共有されています。問題はその先です。実運用では、セキュリティ要件とレイテンシ、運用負荷、コストが同時に衝突します。従来のコンテナ中心設計だと、起動遅延とウォーム維持コストの都合で、操作単位の分離を標準化しづらい場面がありました。アイソレート実行は、この前提そのものを変えます。

いま重要になる背景

次の3つの潮流が重なっています。

  1. エージェントの実行形態が「ツール呼び出しのみ」から「生成コード+ツール」に拡張している
  2. ユーザー期待が“会話速度で複数ステップ完了”に移っている
  3. セキュリティ監査が「事後ログ確認」ではなく「実行時強制」を求めている

この状況でアイソレート実行は最適化ではなく、制御面の設計選択です。

まず定義すべき実行契約

生成コードは常に非信頼ワークロードとして扱い、契約を明文化します。

  • 許可能力(使えるバインディング/APIを限定)
  • 資源上限(CPU時間・メモリ・タイムアウト)
  • データ境界(テナントID・リージョン・秘匿区分)
  • 証跡出力(ポリシー判定、ツール呼び出し、意思決定ログ)

契約がない状態では「プロンプト品質」が安全境界の代替になってしまいます。これは運用として成立しません。

セキュリティで効く5つの制御

1. 能力を狭くしたAPI公開

生成コードには汎用SDKを丸ごと渡さず、業務意図に沿った細粒度RPCだけを公開します。

  • createInvoiceDraft(customerId, lineItems)
  • scheduleStatusDigest(projectId, dueAt)

こうすることで、プロンプトが崩れても被害半径を抑えられます。

2. デフォルト拒否の外向き通信

不要なタスクでは外部通信を遮断。必要な場合も、宛先・メソッドを制限した許可リストにします。狙いは、意図しないデータ流出と“自己拡張的な挙動”の封じ込めです。

3. 秘密情報の仲介化

認証情報を生成コードへ直接渡さない。短命トークンを発行するブローカー経由に統一し、用途コンテキストを監査可能にします。

4. 不変のポリシー判定ログ

「なぜ許可したか」を不可逆に残すと、障害後の再現・監査・説明責任が成立します。

5. 即時停止できる段階展開

ポリシー変更はテナント単位または機能単位のフラグで段階導入し、誤検知時に即ロールバックできる設計を先に用意します。

SRE観点で押さえるべき点

セキュリティ制御だけを強化すると、今度は障害対応が遅くなることがあります。アイソレート実行基盤では、次の運用品質が重要です。

  • 状態変更APIに対する冪等キー
  • ユーザー待ち時間を超えない期限付きリトライ
  • 長文コンテキスト増大を抑える要約チェックポイント
  • 失敗要因の分類(ポリシー拒否/ツール失敗/モデル失敗)

この分類があるだけで、MTTRは大きく改善します。

FinOpsで見るべき実測指標

AIコストはトークンだけで決まりません。再試行、失敗実行、文脈肥大が積み上がって効いてきます。最低限、以下を週次監視します。

  • 成功タスクあたりのサンドボックス起動回数
  • アイソレート寿命の中央値とp95
  • ポリシー拒否率
  • 成功成果物あたりのトークン費用
  • ポリシー変更後のロールバック頻度

経営向けのダッシュボードがトークン単価だけだと、基盤の非効率を見落とします。

30/60/90日導入プラン

0〜30日

  • 既存ワークフローの失敗要因を棚卸し
  • 高リスク操作を分類
  • 1本の業務フローを「操作単位アイソレート実行」に移行

31〜60日

  • 外向き通信をデフォルト拒否へ移行
  • ポリシー判定ログを不変ストレージへ保存
  • 対話系とバッチ系で別SLOを設定

61〜90日

  • 特権操作をすべて認証ブローカー経由へ
  • テナント単位の段階リリースを実装
  • プロンプト経由の境界突破を想定した机上演習を実施

失敗しやすいアンチパターン

  1. 「よいプロンプトなら安全」という誤解
  2. 過剰なツール公開で権限面が肥大化
  3. 失敗を1種類のエラーにまとめて原因不明化
  4. ロールバック経路を持たないポリシー更新

まとめ

生成コード実行は今後の標準機能になります。差がつくのは、デモ速度ではなく、境界を定義し、証跡を残し、低遅延のまま安全性を再現できる運用品質です。

「動いた」ではなく「意図した境界内で動いたことを証明できる」。ここまで到達して初めて、AIエージェント基盤は事業の中核に置けます。

おすすめ記事

← 記事一覧へ戻る