エンタープライズエージェントの本番化設計: SandboxとHarnessの実装原則

OpenAI Agents SDKの最新更新で示された本質は、モデル能力の向上より「実行環境をどう囲うか」です。サンドボックスとハーネスが前面に出たことで、エージェント導入の主戦場は精度検証から運用制御へ移りました。

参照: https://techcrunch.com/2026/04/15/openai-updates-its-agents-sdk-to-help-enterprises-build-safer-more-capable-agents/

問いを変える

これからの設計レビューは、次の問いで行うべきです。

• このタスクは隔離環境で実行されるか
• 使えるツールは契約どおりに制限されているか
• 事後監査で全アクションを再構成できるか

この3つが欠けると、長期実行エージェントは遅れて事故化します。

推奨アーキテクチャ

1. Policy Gateway: 認可、リスク分類、ルーティング
2. Sandbox Orchestrator: タスク単位の隔離実行
3. Harness Runtime: ツール契約と実行トレース
4. Evidence Store: 改ざん困難な監査証跡

状態はモデル内部ではなく外部ストアに明示保存するのが原則です。

実務で効くサンドボックス設計

ファイルスコープ

必要パスだけをマウントし、既定はread-only。

外向き通信

default denyで開始し、業務クラス別allowlistを段階開放。

時間・予算制限

wall time、tool call数、token予算で強制停止を設定。

この3点は、セキュリティとFinOpsを同時に守ります。

Harnessを単なる接着コードにしない

各ツールに以下を必ず持たせます。

• 事前条件
• 副作用区分（read/write/external）
• idempotency戦略
• ロールバック定義
• 人手承認条件

契約がないまま増築すると、障害時に責任境界が消えます。

長期タスクの信頼性パターン

• Nステップごとのチェックポイント
• 障害種別ごとの再試行戦略
• 高影響出力の多面検証
• 計画フェーズと実行フェーズの分離

エージェント実行は「API呼び出し」ではなく「分散ワークフロー」です。

監査・統制に必要な実装

• 収集前マスキング
• 署名付き実行サマリー
• actionごとの主体紐付け
• 環境別ポリシーパック

60日導入

• 1〜10日: 上位自動化3件のリスク分類
• 11〜25日: Tier1でsandbox+harness実装
• 26〜40日: 可観測性と運用Runbook整備
• 41〜60日: Tier2展開と障害注入演習

まとめ

2026年の差は「どのモデルを使うか」より「どの境界で走らせるか」です。サンドボックスとハーネス契約を先に固めた組織ほど、安全に自動化の面積を広げられます。