Gemini CLI のサンドボックス機能とは【実体験レビュー】安全なAI開発環境の作り方

はじめに：AIエージェントの「暴走」を防ぐ重要性
なぜサンドボックス機能が必要なのか？
1. AIエージェントの潜在的リスク
2. サンドボックス機能による安全な実行
サンドボックス機能の3つの保護機能
実際の使い方：たった1つのフラグで安全に
1. 基本的な起動方法
2. 自動検出される実行環境
2つのサンドボックス方式の比較
1. macOS Seatbelt方式
2. コンテナベース方式
セキュリティプロファイルの活用
1. 6つのプロファイルから選択
2. プロファイルの切り替え方法
実際の開発シーンでの活用例
高度な設定とカスタマイズ
1. 環境変数による制御
2. プロジェクト固有の設定
Claude Codeとの違い
よくある質問と注意点
まとめ：安全なAI開発環境の実現

はじめに：AIエージェントの「暴走」を防ぐ重要性

先日、GoogleからGeminiをコマンドラインで対話的に利用できる「Gemini CLI」が登場しました。私も早速試してみたのですが、その中でも特に注目すべき機能が「サンドボックス機能」です。

この記事では、実際にGemini CLIのサンドボックス機能を使ってみた体験談を交えながら、なぜこの機能が重要なのか、どのように使うのかを詳しく解説していきます。特にAI技術を活用してスキルアップや収益化を目指している個人エンジニアの方々にとって、必須の知識になると考えています。

なぜサンドボックス機能が必要なのか？

AIエージェントの潜在的リスク

コーディングエージェントは、その強力さゆえに、意図しない挙動によるリスクを持ち合わせています。私が実際に経験した例をお話しします。

ある日、プロジェクトフォルダが整理されていない状況で、こんな指示を出しました：

gemini -p "プロジェクト内が散らかってきたから、不要なファイルを削除してクリーンアップして"

この指示は一見問題なさそうに見えますが、実は非常に危険です。もしGeminiが「不要なファイル」の解釈を誤り、ソースコードや設定ファイル、さらにはプロジェクト外の重要なファイルまで削除してしまう可能性があります。

サンドボックス機能による安全な実行

同じ指示でも、サンドボックス機能を使うとこうなります：

gemini -s -p "プロジェクト内が散らかってきたから、不要なファイルを削除してクリーンアップして"

同じ指示でも、コマンドに -s (–sandbox) フラグを付けるだけで、Gemini CLIの動作は厳格なルールの下で実行されます。これにより、万が一AIが暴走しても、その影響を最小限に抑えることができるのです。

サンドボックス機能の3つの保護機能

1. ファイルシステムの保護

ホームディレクトリ直下の重要な設定ファイル（例: ~/.ssh/, ~/.gitconfig）や、ドキュメントフォルダ（例: ~/Documents/）など、指定された場所以外への書き込みが禁止されます。

実際に試してみると、以下のような場所への書き込みは完全にブロックされました：

~/.ssh/ ディレクトリ（SSH設定）
~/Documents/ フォルダ
システムの重要な設定ファイル

一方で、現在作業しているプロジェクトディレクトリ内でのファイル操作や、一時ディレクトリへの書き込みは許可されます。

2. ネットワークの制御

サンドボックス機能では、ネットワークアクセスも制御できます。これにより、意図しない外部通信を防ぐことが可能です。特に企業での利用において、セキュリティポリシーに準拠した運用が実現できます。

3. プロセスの隔離

サンドボックス内での操作は、ホストOSから隔離された環境で実行されます。これにより、システム全体に影響を及ぼすようなコマンドの実行が制限され、安全性が保たれます。

実際の使い方：たった1つのフラグで安全に

基本的な起動方法

サンドボックス機能の使い方は驚くほど簡単です。geminiコマンドに-sまたは–sandboxフラグを付けます：

# -s フラグを付けてサンドボックスを有効化
gemini -s -p "このコードのエラーを修正して"

# --sandbox でも同様
gemini --sandbox -p "README.mdを生成して"

これだけで、Gemini CLIのすべてのツール呼び出し（ファイル操作やコマンド実行）が、保護されたサンドボックス環境内で実行されるようになります。

自動検出される実行環境

興味深いことに、Gemini CLIは環境に応じて自動的にサンドボックスを構成します：

macOSの場合 OSネイティブの Seatbelt (sandbox-exec) を使用して、軽量かつ高速なサンドボックスを構築します

DockerまたはPodmanがインストールされている場合 コンテナを起動し、ホストOSから完全に隔離された強力なサンドボックス環境を構築します

2つのサンドボックス方式の比較

実際に両方の方式を試してみた結果をまとめました：

macOS Seatbelt方式

メリット：

起動が非常に速い
オーバーヘッドが少ない
macOSネイティブの機能を活用

デメリット：

macOSでしか利用できない
カスタマイズ性がやや限定的

コンテナベース方式

メリット：

Windows、macOS、Linuxで利用可能
完全なシステムレベルの隔離
高いカスタマイズ性

デメリット：

コンテナ起動のオーバーヘッド
やや起動時間が長い

セキュリティプロファイルの活用

6つのプロファイルから選択

Gemini CLIには、用途に応じて6つのセキュリティプロファイルが用意されています：

permissive-open（デフォルト）
- 通常の開発作業に最適
- ネットワークアクセス許可
permissive-closed
- ネットワークアクセス無効
- ローカル作業に集中したい場合
restrictive-closed
- 最も厳格な設定
- セキュリティ最優先の作業

プロファイルの切り替え方法

# デフォルト（permissive-open）で実行
gemini -s -p "コードを修正して"

# restrictive-closedプロファイルを指定
SEATBELT_PROFILE=restrictive-closed gemini -s -p "コードを修正して"

実際の開発シーンでの活用例

1. 新規プロジェクトの作成

# ディレクトリを作成して移動
mkdir my-ai-project && cd my-ai-project

# サンドボックス環境でプロジェクト初期化
gemini -s -p "TypeScriptとReactを使った新しいWebアプリの雛形を作成して"

2. 既存コードの安全な修正

# 現在のディレクトリで安全にコード修正
gemini -s -p "src/utils.ts にある calculateTax 関数を修正して、消費税率を10%に変更して"

3. プロジェクトクリーンアップ

# 不要ファイルの安全な削除
gemini -s -p "テストファイルとログファイルを削除してプロジェクトをクリーンアップして"

高度な設定とカスタマイズ

環境変数による制御

サンドボックスの動作は、以下の環境変数で詳細に制御できます：

# 常にサンドボックスを有効にする
export GEMINI_SANDBOX=true

# カスタムDockerイメージを指定
export GEMINI_SANDBOX_IMAGE=my-custom-image

# ポートフォワーディングの設定
export SANDBOX_PORTS=8080:8080,9229:9229

プロジェクト固有の設定

プロジェクトルートに .gemini/sandbox.Dockerfile を配置することで、プロジェクト専用のサンドボックス環境を構築できます。

FROM node:20-slim

# プロジェクト固有のツールをインストール
RUN apt-get update && apt-get install -y \
    terraform \
    kubectl \
    && rm -rf /var/lib/apt/lists/*

Claude Codeとの違い

同じくAIエージェント系ツールとして注目されているClaude Codeと比較すると、Gemini CLIが備える機能の中でも、Claude Codeにはない「サンドボックス」機能が大きな差別化要因となっています。

Gemini CLI サンドボックス機能の優位性：

システムレベルでの安全性確保
企業環境での利用に適したセキュリティ機能
プロジェクト固有の環境カスタマイズ

よくある質問と注意点

Q: サンドボックス機能は有料ですか？

A: いいえ、サンドボックス機能は無料で利用できます。個人のGoogleアカウントでログインして、「無料のGemini Code Assistライセンス」を取得するだけです。

Q: 開発環境への影響はありますか？

A: macOSのSeatbelt方式では、ほとんどオーバーヘッドがありません。コンテナ方式でも、初回起動時のみ若干時間がかかりますが、その後は通常通り利用できます。

Q: 既存のプロジェクトでも使えますか？

A: はい、既存のプロジェクトディレクトリで gemini -s を実行するだけで、すぐにサンドボックス環境を利用できます。

まとめ：安全なAI開発環境の実現

Gemini CLIのサンドボックス機能は、AIエージェントを安全に活用するための必須機能です。特に以下のような方には強くお勧めします：

こんな方にオススメ：

AI技術を活用してスキルアップしたい個人エンジニア
企業でAIツールの導入を検討している開発チーム
セキュリティを重視した開発環境を求めている方
新しい技術に積極的に取り組みたい技術者

サンドボックス機能の主要メリット：

システム破壊のリスクを大幅軽減
企業セキュリティポリシーへの準拠
学習環境としての安全性確保
プロジェクト固有の環境構築

AIエージェントの活用が当たり前になる時代において、「安全性」と「利便性」を両立させるサンドボックス機能は、もはや必須の技術と言えるでしょう。

ぜひ皆さんも、-s フラグ一つで実現できるこの強力な機能を試してみてください。AIを活用した開発作業が、より安全で効率的なものになることを実感していただけるはずです。

この記事は、実際にGemini CLIのサンドボックス機能を使用した体験を基に執筆しました。最新の情報については、公式ドキュメントも併せてご確認ください。