主要な3つのagenticコーディングプラットフォーム—AnthropicのClaude Code CLI、OpenAIのCodex CLI、GoogleのGemini CLI—は本番環境レベルのツールへと成熟しました。もはや実験的なおもちゃではありません。これらはコードを記述し、シェルコマンドを実行し、gitワークフローを管理し、コードベース全体でマルチエージェントパイプラインを編成します。エンタープライズITのリーダーであり、これらのツールを評価していないのであれば、すでに遅れをとっています。
Big Hat Groupでは、Azure と Intune で管理された Windows 365 Cloud PC 上にこれらのエージェントハーネスをエンタープライズクライアント向けにデプロイしてきました。ここでは、エンタープライズAI自動化において実際に重要なセキュリティアーキテクチャ、ガバナンスモデル、実践的なトレードオフについて学んだことをご紹介します。
サンドボックスとセキュリティ:OSレベルの分離は不可欠
agenticコーディングシステムにおける最も重要なアーキテクチャ決定は、エージェントの実行をホストオペレーティングシステムからどのように分離するかです。これらのツールは任意のシェルコマンドを実行します。サンドボックスが失敗すると、エージェントはファイルを削除し、資格情報を盗み、データを持ち出す可能性があります。
Claude CodeはOSレベルのプリミティブを使用します—macOSではAppleのSeatbeltフレームワーク、Linuxではbubblewrap(seccomp + Landlock)—により、カーネルレベルでファイルシステムとネットワークの分離を強制します。これらのUnixネイティブなプリミティブが利用できないWindowsでは、Claude CodeはDockerベースのサンドボックスをサポートし、同等の分離を実現します。プロンプトインジェクションによってエージェントが侵害された場合でも、OSカーネル(またはコンテナ境界)自体が不正なファイルアクセスとネットワーク接続をブロックします。ネットワークトラフィックはドメイン許可リストを持つ承認済みプロキシを経由し、攻撃者管理のサーバーへのデータ持ち出しを防ぎます。
Codex CLIは同じSeatbeltとLandlockメカニズムを使用しますが、実行時に選択された承認ポリシーに基づいて異なる設定を行います。現在のディレクトリと/tmpがアクティブスコープとなる"ワークスペース"概念を実装しています。Windowsでは、ネイティブOSプリミティブが利用できない場合、Codexもサンドボックス用にDockerコンテナに依存します。重要な詳細:コンテナ化されたDocker環境では、コンテナがLandlockをサポートしていない場合、標準のサンドボックスメカニズムが機能しない可能性があることをCodexは認識しており、Dockerを適切に設定するかサンドボックスを無効にするための明示的なガイダンスを提供しています。
Gemini CLIはより軽いアプローチをとり、OSレベルのカーネル強制よりも主にプロセス分離と設定可能なプロキシスクリプト(GEMINI_SANDBOX_PROXY_COMMAND)に依存しています。Google Cloud Shellでは、サンドボックスはGoogleのインフラストラクチャによって処理されます。ローカルマシンでは、Claude CodeとCodexが提供するものよりも分離の堅牢性は低くなります。
n8nのサンドボックスエスケープ事件がこれを具体化しています。研究者はn8nのワークフロー自動化プラットフォームのサニタイズベースのセキュリティ制御が、代替のJavaScript構文を通じてバイパス可能であることを発見しました—資格情報の盗難、環境変数の露出、クラウドアカウントへの横展開を含む完全なサーバー侵害につながりました。教訓:OSレベルでの実行分離は、アプリケーション層で危険な入力をフィルタリングしようとするよりも根本的に堅牢です。
エンタープライズの要点:エージェントが本番資格情報、ネットワークリソース、または機密コードにアクセスできるマシンでコマンドを実行するデプロイメントでは、OSレベルのサンドボックスを要求してください。Windows—Windows 365 Cloud PCを含む—では、Dockerベースの分離がClaude CodeとCodexの両方の標準アプローチです。アプリケーション層の分離だけでは不十分です。Claude CodeとCodexはカーネルレベルまたはコンテナレベルの強制を提供しますが、Gemini CLIはまだ提供していません。
パーミッションモデル:承認疲労 vs セキュリティ体制
パーミッションシステムは厳しいトレードオフをナビゲートする必要があります:プロンプトが多すぎると承認疲労(開発者が読むのをやめ、すべてを自動承認する)を引き起こし、少なすぎると破壊的操作が監視されないままになります。
Claude Codeは3つのカテゴリを持つ階層型システムを実装しています:読み取り専用操作(承認不要)、bashコマンド(セッションごとに1回承認)、ファイル変更(毎回承認)。ルールは厳密なdeny → ask → allow優先チェーンに従い、denyルールが常に優先されます。きめ細かく設定できます—Bash(npm run build)はその正確なコマンドのみに一致します。bypassPermissionsモードはすべてのプロンプトをスキップしますが、安全な環境(CI/CDコンテナまたは開発VM)が必要であり、Anthropicはこのモードがアクティブな場合、サンドボックスだけで84%のパーミッションプロンプト削減を報告しています。
Codex CLIはサンドボックスモーズと承認ポリシーを重ね合わせ、信頼済みコマンドと非信頼コマンドを区別します。破壊的git操作—force-push、設定オーバーライド—は自動モードでも承認が必要です。destructiveアノテーションを宣伝するMCPツール呼び出しは、他の設定に関わらず承認が必要です。--dangerously-bypass-approvals-and-sandboxフラグ(はい、それが実際のフラグ名です)は存在しますが、明示的に推奨されていません。
Gemini CLIはコマンドパターンごとではなく、ツールまたはサーバーレベルで機能する、きめ細かさの低いシステムを持っています。そしてここに警戒すべき話があります:2025年、Gemini CLIエージェントがユーザーの明示的な確認なしにプロジェクトディレクトリ全体を削除しました。エージェントは技術的にサンドボックス境界内に留まっていましたが、ユーザーは破壊的ファイルシステム操作に対して確認プロンプトを期待していました。「技術的に許可されている」と「ユーザーが尋ねられることを期待していた」のギャップこそが、実際のダメージが発生する場所です。
エンタープライズの要点:破壊的操作に対するきめ細かい制御が必要な環境では、Claude CodeまたはCodexをデプロイしてください。管理設定レベルで高リスクコマンドのdenyルールを設定し、個別の開発者がオーバーライドできないようにしてください。Geminiの削除事件をAIガバナンスとセキュリティトレーニングのケーススタディとして扱ってください。
コンテキスト管理:CLAUDE.md vs AGENTS.md vs GEMINI.md
各プラットフォームはマークダウン設定ファイルを使用して、プロジェクト固有の指示をエージェントのコンテキストに注入します。違いは表面的なもの以上です。
CLAUDE.mdファイルは階層的発見モデルに従います:グローバル(~/.claude/CLAUDE.md)、プロジェクトルート、次にサブディレクトリ固有のオーバーライド。バックエンドAPIディレクトリは、そのサブツリー内のファイルに対してのみ親の指示をオーバーライドする特別なガイドラインを持つことができます。これらのファイルは起動時にシステムプロンプトに注入されます。Claude CodeはOpus 4.6で100万トークンのコンテキストウィンドウをサポートし、単一セッションでマイクロサービスアーキテクチャ全体の分析を可能にします。
AGENTS.md(Codex)はよりシンプルなパターンに従います:ファイルはリポジトリルートから現在の作業ディレクトリまでマージされ、それぞれが会話履歴内の個別のユーザーロールメッセージとして表示されます。Codexは開発者にどの指示がアクティブかを正確に示します。skillsシステムは、呼び出されたときにのみロードされる再利用可能な手順バンドルを追加し、トークンの無駄を回避します。Codexはcompaction—長時間セッション向けの自動サーバーサイドコンテキスト圧縮—もサポートしています。
GEMINI.mdはClaudeの階層的アプローチを踏襲しますが、@file.md構文を介したモジュラーインポートを追加し、チームが大きなコンテキストファイルを保守可能なコンポーネントに分割できるようにします。/memory addコマンドはセッション間で永続的な指示を追加し、/memory reloadは編集後の再スキャンを強制します。
エンタープライズチームにとって、重要な違いはポリシー強制です。Claude Codeの管理設定レイヤーにより、管理者は個別の開発者がオーバーライドできない組織全体の制限を強制できます。Codexはバージョン管理されたAGENTS.mdファイルにポリシーを埋め込みます—開発者の可視性には優れていますが、一元化された強制は困難です。Geminiは階層的ファイルと永続的メモリを組み合わせた中間的なアプローチを提供します。
エンタープライズの要点:すべてのリポジトリでプロジェクトレベルの設定ファイル(CLAUDE.md、AGENTS.md、またはGEMINI.md)を標準化してください。コーディング標準、セキュリティ要件、レビューガイドラインを直接エンコードします。規制環境では、Claude Codeの管理設定がagentic AI for IT operations向けに最も強力な一元化ポリシー強制を提供します。
マルチエージェントオーケストレーション:バックグラウンド実行がすべてを変える
シングルエージェントワークフローは複雑なタスクで壁にぶつかります。プラットフォームは並列処理の handling で大きく異なります。
Claude Codeは真のバックグラウンドエージェント実行をサポートします。長時間実行タスクのサブエージェントをスポーンし、Ctrl+Bでバックグラウンド化し、メインエージェントでの作業を続行します。/tasksですべてのバックグラウンドエージェントを監視します。サブエージェントは独立したコンテキストウィンドウで、カスタムシステムプロンプト、特定のツールアクセス、独自のパーミッションを持って実行されます。組み込みのサブエージェントにはExplore(ファイル発見)、Plan(戦略的計画)、汎用エージェントが含まれます。また、別々のセッション間で持続的並列実行のためのエージェントチームも作成できます—大規模コードベースリファクタリングに不可欠です。
Codex CLIはCSVファンアウトを通じてオーケストレーションを実装します:spawn_agents_on_csvがCSVファイルを読み込み、行ごとに1つのワーカーサブエージェントをスポーンします。セキュリティチームがコンポーネントごとに1行のCSVを作成し、Codexがコンポーネントごとに1つのレビューエージェントをスポーンし、すべての結果を出力CSVに収集します。agents.max_threadsやagents.job_max_runtime_secondsなどの設定パラメータがリソース枯渇を防ぎます。Codexはworktrees—Git分離されたチェックアウトで複数エージェントが同じリポジトリで干渉なく作業できる—も実装しています。
Gemini CLIはまだネイティブなバックグラウンドタスク処理を持っていません。この機能を要求するGitHub issueは、20分以上かかる大規模コードベース分析がすべてのCLI使用をブロックするとユーザーが報告した後、P1(重要)としてマークされました。回避策—nohupで複数のターミナルタブを実行—は、バックグラウンドサポートがネイティブでない場合の運用負担を示しています。
エンタープライズの要点:並列コードレビュー、セキュリティ監査、バッチ移行を含むエンタープライズAI自動化ワークフローでは、Claude CodeのバックグラウンドエージェントとCodexのCSVファンアウトが本番対応パターンです。Gemini CLIは並列エンタープライズワークロードにはまだ対応していません。
MCPとツール統合:拡張レイヤー
**Model Context Protocol (MCP)**は、エージェントを外部ツール、API、サービスに接続する標準化されたメカニズムです。3つのプラットフォームすべてがサポートしていますが、実装の成熟度は異なります。
Claude CodeはMCPを主要な拡張メカニズムとして扱います。3つのトランスポートタイプ:stdio(ローカルプロセス)、HTTP(リモートサーバー、推奨)、SSE(非推奨)。GitHub MCPサーバーの追加は1コマンドです:claude mcp add --transport http github https://api.githubcopilot.com/mcp/。認証済みサーバーではOAuthフローが自動的にトリガーされます。一般的な統合にはSentry、PostgreSQL、Figma、カスタム内部ツールが含まれます。環境変数の置換によりAPIキーはバージョン管理外に保持されます。
Codex CLIはResponses APIを通じてMCPをサポートし、skillsシステムで拡張します—組み込みツールと外部ツールの両方を呼び出す再利用可能な手順バンドル。skillsはGleanで効果を証明しました。「このスキルをいつ使わないか」のネガティブ例を追加することで、ルーティング精度が20%向上しました。
Gemini CLIは自動OAuth発見を伴うMCPを実装します—401レスポンスの検出、OAuthエンドポイントの発見、動的クライアント登録の実行、フローの自動処理。これにより設定オーバーヘッドが削減されます。ただし注目すべき制限:公式ツールを超えてサードパーティソフトウェアを使用してGemini CLIにアクセスすることはGoogleの規約に違反し、アカウント停止につながる可能性があります。
Big Hat Groupでは、Jira、Microsoft Graph、内部ツール向けのMCPサーバーをクライアント環境全体にデプロイし、エージェントがターミナルを離れることなくチケット作成、通知送信、ドキュメントクエリを行えるようにしています。
エンタープライズの要点:MCPはAIエージェントコンサルティングツール統合の未来です。今すぐ内部ツール向けにMCPサーバーを標準化してください。Claude CodeとCodexが最も成熟した実装を持っています。GeminiのOAuth自動発見に注目—これは真に巧妙であり、標準パターンになる可能性が高いです。
エンタープライズガバナンス:SOC 2、監査証跡、コンプライアンス
エンタープライズデプロイメントには、個別の開発者使用をはるかに超える監査証跡、コンプライアンス制御、ポリシー強制が必要です。
Claude CodeはOrganization Owners向けのログエクスポート、ユーザーロールごとにツールアクセスを制限するロールベースアクセス制御、個人の設定をオーバーライドする組織全体のポリシーを強制する管理設定を提供します。階層型パーミッションシステムは、アクセス管理と変更管理に関するSOC 2制御目標に直接マッピングされます。
Codex CLIはCI/CDパイプライン統合(GitHub Actions)、バージョン管理されたAGENTS.mdファイル(ポリシー変更はPRレビューを経由)、AI生成設定は本番コードと同様に扱い、責任開発者への明確な帰属を持つべきという明示的なガイダンスを通じてガバナンスに対処します。
Teleportの研究は、AIエージェントのSOC 2コンプライアンスには少なくとも1年間の不変ストレージを持つ一元化ログ、時刻同期ログ、リスクしきい値に対してイベントを相関させる自動アラート、文書化された調査ワークフローが必要であると特定しました。組織は既存のSOC 2制御目標の上にAI固有のリスク管理—リスク評価、ライフサイクルガバナンス、継続的監視、レッドチーミング—を重ねるべきです。
エンタープライズの要点:agenticコーディングツールでそのままSOC 2に準拠しているものはありません。一元化ログ、不変監査証跡、スコープ付きエージェントID、管理ポリシー強制が必要です。Claude Codeの管理設定レイヤーがエンタープライズ対応AIガバナンスとセキュリティに最も近いものです。その周囲にコンプライアンスフレームワークを構築してください。
どのツールをいつ使うか:実践的推奨事項
「場合による」は抜きに—何をどこにデプロイするかを以下に示します:
| シナリオ | 推奨 |
|---|---|
| 大規模コードベースの移行/リファクタリング | Claude Code — 100万トークンコンテキスト、バックグラウンドエージェント、構造化メモリ |
| CI/CD自動化とPRワークフロー | Codex CLI — ネイティブGitHub Actions、PR作成、自動レビュー |
| 迅速な探索と小さな修正 | Gemini CLI — 1日1,000回の無料リクエスト、高速な反復 |
| 規制環境(SOC 2、HIPAA) | Claude Code — 管理設定、denyルール強制、監査エクスポート |
| バッチセキュリティ監査 | Codex CLI — CSVファンアウト、コンポーネントごとに1エージェント |
| マルチステップのアーキテクチャ作業 | Claude Code — サブエージェント、バックグラウンド実行、深い推論 |
| コスト重視チームのAI評価 | Gemini CLI無料枠 → 本格導入時にClaude Code Pro |
最も賢いエンタープライズチームはマルチツール戦略を採用しています:迅速なスキャンと探索にGemini CLI(無料)、アーキテクチャ決定と複雑な実行にClaude Code、GitHub統合自動化にCodex CLI。ツールをタスクに合わせるのであり、ベンダーを契約に合わせるのではありません。
アクションアイテム
現在のエージェントデプロイメントを監査し、OSレベルのサンドボックスを確認します。エージェントが本番資格情報を持つマシンでコマンドを実行し、カーネルレベルの分離がない場合、直ちに修正してください。
標準化されたコンテキストファイル(CLAUDE.md、AGENTS.md、GEMINI.md)をすべてのアクティブなリポジトリに作成します。セキュリティ要件、コーディング標準、レビューガイドラインをエンコードします。
denyルールを実装し、破壊的操作(ファイル削除、force-push、設定変更)を管理設定レベルで制限します。開発者の規律に依存しないでください。
内部ツール向けにMCPサーバーをデプロイ—チケット管理、監視、ドキュメント。これがコード生成を超えてエージェントを真に有用にする拡張レイヤーです。
エージェントIDと監査ログを確立してからスケールしてください。各エージェントはスコープ付きパーミッションとSOC 2帰属のための独自のIDを持つべきです。
Claude Codeでパイロットを実施し、非クリティカルなコードベースで。バックグラウンドエージェント、サブエージェントオーケストレーション、管理設定強制を本番チームに展開する前にテストします。
チームにトレーニングを実施し、プロンプトインジェクションリスク—直接および間接の両方—について。攻撃面にはJiraコメント、ドキュメント、PR説明、エージェントが自律的に処理するあらゆるコンテンツが含まれます。
組織向けのskillsライブラリを構築します。skillsは再利用可能な手順バンドル—コーディング標準、レビューチェックリスト、デプロイメントワークフロー、セキュリティ監査テンプレート—で、エージェントが関連するときに呼び出します。CodexのskillsシステムはGleanでネガティブ例を追加したところルーティング精度が20%向上しました。Claude Codeは専門化されたプロンプトとツールアクセスを持つカスタムサブエージェントをサポートします。組織の知識をskillsにエンコードし、すべてのエージェントが汎用デフォルトではなくチームのベストプラクティスで運用できるようにします。
プラグインを採用し、コード以外の領域に拡張します。プラグインはチームが重視するドメインにエージェント機能を拡張します—デザインからコードへのワークフロー(Figma)、エラー監視(Sentry)、データベースクエリ(PostgreSQL/Supabase)、カスタム内部ツール。Claude Codeのプラグインガバナンス機能(フックイベント、設定制御、MCPサーバー設定の信頼ダイアログ)は、どのプラグインがロードされ、何にアクセスできるかを組織に制御させます。プラグイン設定は本番依存関係と同じ厳格さで扱ってください—レビュー、バージョン管理、インストール内容の監査を行います。
エンタープライズAIエージェントコンサルティングを依頼する
Big Hat Groupはエンタープライズクライアント向けにAzure と Intune を備えた Windows 365 Cloud PC上にagenticコーディングハーネスをデプロイします。セキュリティアーキテクチャ、ガバナンスフレームワーク、MCP統合、管理ポリシー強制を処理するため、チームは構築に集中できます。