Microsoftは、Azure Container Appsの新リソースタイプ「Sandboxes」を発表した。AIエージェントが外部コードやツールを安全に実行するためのエフェメラルなセキュアコンピュート環境で、GitHub Copilot Cloud SandboxesおよびAzure AI Foundry Hosted Agentsの基盤インフラとしてすでに採用されている。

Azure Container Apps Sandboxesとは

AIエージェントが実際に役立つ仕事をするには、コードを書くだけでなく「実行する」必要がある。問題は、外部から渡されたコードや動的に生成されたスクリプトの実行が、本質的にセキュリティリスクを伴う点だ。

Azure Container Apps Sandboxesは、このリスクに正面から向き合うために設計されたリソースタイプだ。一言で言えば「使い捨てのセキュアな実行箱」——エージェントがコードを走らせるたびに新しい隔離環境を起動し、タスクが終われば破棄する。

3つの技術的特徴

1. サブ秒起動

従来のコンテナは、起動に数秒〜数十秒かかることが多い。AIエージェントがコードを実行するたびにこれだけ待たされていたら、対話的な開発体験は成立しない。Sandboxesはサブ秒(1秒未満)での起動を実現し、エージェントとのやりとりを自然なテンポで維持できる。

2. スナップショットベースの一時停止・再開

実行状態をスナップショットとして保存し、必要なときに即座に再開できる。長時間の計算タスクや、人間の確認を挟む対話型エージェントフローでも、状態を失わずに作業を継続できる。これはステートレスが前提だった従来のサーバーレスモデルとは一線を画す設計だ。

3. マイクロVM単位の分離

最も重要な特徴がここだ。各Sandboxはマイクロレベルの仮想マシン境界で分離されている。たとえ悪意あるコード(または単純なバグ)が実行されても、影響はそのマイクロVMの内側に封じ込められる。プロセス分離レベルのコンテナと比べて、格段に強固なセキュリティ境界を提供する。

このアプローチはFirecrackerやgVisorなど、クラウドサンドボックスの先駆的技術から影響を受けており、「高速 + 安全」という相反する要件を両立させる設計パターンとして業界に定着しつつある。

GitHub CopilotとAzure AI Foundryへの統合

Sandboxesが単なる新機能発表にとどまらない理由は、すでに主要製品の基盤インフラとして採用されている点にある。

GitHub Copilot Cloud Sandboxes: CopilotのコーディングエージェントがPR作成やコード修正を行う際、コードの実行・テストはSandboxes上で行われる。開発者のローカル環境や本番環境に一切干渉しない。

Azure AI Foundry Hosted Agents: Foundry上でホストされるAIエージェントが外部ツールやAPIを呼び出す際の実行環境としても活用される。エージェントが自律的に動作する際のセキュリティ基盤を担う。

MicrosoftはSandboxesをAIエージェント時代のインフラ基盤として位置づけており、上位製品がこれを透過的に活用する構造を整えている。

実務への影響——日本のエンジニアへの示唆

自社エージェント開発に活用できる

GitHub CopilotやFoundryだけでなく、自社でAIエージェントを開発している組織も、Azure Container Apps Sandboxesを直接利用できる。ユーザーが送信したコードを安全に実行するコードインタープリター機能、動的に生成されたスクリプトのテスト実行、マルチエージェントシステムにおける隔離されたツール実行——これらのユースケースで自前のサンドボックス環境を構築する手間が大幅に削減できる。

セキュリティ設計の発想が変わる

従来、「AIが生成したコードを実行する」という要件には「それは危険なので禁止」という結論が出がちだった。Sandboxesは「禁止ではなく、安全に実行できる仕組みを提供する」という設計思想の転換を技術的に支える。セキュリティを担保しながらAIエージェントの能力を最大限に引き出すアーキテクチャが、Azureのマネージドサービスとして利用可能になった。

Foundryとのセット活用を検討する

現在Azure AI Foundryを評価中・運用中の組織は、エージェントのツール実行部分にSandboxesを組み合わせることで、セキュリティアーキテクチャを強化できる。特に外部APIの呼び出しや動的コード実行を含むワークフローでは、設計の早い段階から組み込むことを推奨する。

筆者の見解

AIエージェントが「コードを読む」から「コードを実行する」フェーズに移行したとき、インフラ側にも相応の進化が必要になる。Sandboxesはその変化に対するMicrosoftの明確な回答だ。

特に評価したいのは、GitHub CopilotとFoundryという自社の主力製品での実績ある採用だ。「発表だけで使われていない」ではなく、自社製品のバックエンドに実際に使っている——これは技術的な成熟度を示す根拠として重要だ。マイクロVM分離という設計の選択も堅実で、「コンテナだから大丈夫」という楽観論より、エンタープライズ採用において信頼を得やすいアプローチだと思う。

一方で、サブ秒起動やスナップショット再開が実際の業務ワークロードでどれだけのスケールに耐えられるか、コストモデルがどうなるかは、現時点ではまだ見極めが必要な部分だ。Microsoftのインフラ基盤の地力は申し分ない。あとは実際に使い込んだときの運用知見をいかに早く積み上げられるかが鍵になる。

Non-Human Identity(NHI)の管理と業務自動化の観点からも、「安全なコード実行環境」の重要性はエージェント普及とともに増す一方だ。Sandboxesはその需要に対して一歩先に手を打った取り組みとして、Azure基盤を採用する組織には注目する価値がある。

出典: この記事は Introducing Azure Container Apps Sandboxes: Secure Infrastructure for Agentic Workloads の内容をもとに、筆者の見解を加えて独自に執筆したものです。