1. 最重要原則
Codexで開くのは、社内共有フォルダ内に設置したObsidianの保管庫フォルダだけです。 共有フォルダの親階層、会社全体の共有ドライブ、個人のデスクトップ、ダウンロード、別ドライブは開きません。
Codexは、開いたワークスペース内のファイルを読み、必要に応じてファイルを作成・編集できるAIエージェントです。そのため、業務利用では「何を読ませるか」だけでなく「どこまで触れる状態にするか」が非常に重要です。
今回の前提では、ワークスペースは社内ネットワークの共有フォルダ内に置いたObsidian保管庫です。Codexには、その保管庫フォルダの中だけを見せます。親フォルダや隣の部署フォルダまで見える場所を開かないことが、最初の安全策です。
\\社内サーバー\共有\ObsidianVault のような、Codex用に決めた保管庫フォルダ。\\社内サーバー\共有 のような、部署や会社全体の資料が見える親フォルダ。2. 先に知っておく言葉
このページには、少し専門的な言葉が出てきます。全部を暗記する必要はありません。まずは「Codexがどこを見てよいかを決めるための言葉」として、ざっくり意味をつかんでください。
| 言葉 | やさしい意味 | このページでの使い方 |
|---|---|---|
| ワークスペース | Codexに「ここで作業して」と渡すフォルダ。 | 社内共有フォルダ内のObsidian保管庫そのもの。 |
| Obsidian保管庫 / Vault | Obsidianのノートや添付ファイルをまとめて入れているフォルダ。 | Codexで開く唯一の作業場所。 |
| サンドボックス | AIが動ける範囲を囲う安全柵。 | 保管庫の外へ勝手に広がらないようにするための設定。 |
| 権限 | 読む、書く、外へアクセスするなどを許す範囲。 | 広げすぎないことが大切。 |
| 承認 | 危ない操作や範囲外の操作を、人間が実行前に確認すること。 | 分からない承認は押さない。 |
| ネットワークアクセス | インターネットや外部サービスへ接続すること。 | 何のために接続するか分かる時だけ許可を考える。 |
| CLI | 黒い画面に文字で命令を打って操作する方法。 | 使わない場合は読み飛ばしてよい。通常は画面操作の説明を見ればよい。 |
| 設定ファイル | アプリの動き方をあらかじめ書いておくファイル。 | 管理者や詳しい人が調整する場所。無理に触る必要はない。 |
3. ワークスペースの作り方
安全な運用では、「社内共有フォルダ全体」ではなく「Codexに触らせてよいObsidian保管庫」だけをワークスペースにします。保管庫の外にある資料を使いたい場合は、必要なコピーだけを保管庫内へ入れてから作業します。
おすすめの配置
\\社内サーバー\共有\AI活用\
Business-AI-Vault\ ← Codexで開くのはここだけ
00_inbox\
10_self-company\
20_daily-work\
30_numbers\
40_projects\
50_outputs\
70_templates\
80_references\
90_archive\
99_attachments\避ける配置
\\社内サーバー\共有\ ← 開かない
経理\
人事\
顧客情報\
契約書\
AI活用\
Business-AI-Vault\| 判断 | フォルダ | 理由 |
|---|---|---|
| よい | Obsidian保管庫そのもの | Codexに読ませたい資料だけを管理しやすい。 |
| 注意 | 保管庫の1つ上の親フォルダ | 他の資料や別用途のフォルダまで見える可能性がある。 |
| 避ける | 共有ドライブ全体 | 人事、経理、契約、顧客情報などに触れる可能性が高い。 |
| 避ける | 個人のデスクトップやダウンロード | 業務外ファイルや一時保存ファイルが混ざりやすい。 |
基本動作: 外部資料を使いたいときは、元の場所をCodexで開くのではなく、必要なファイルだけを 99_attachments や 80_references にコピーしてから扱います。
4. サンドボックスと承認
不安に感じやすいのは、「自分は保管庫だけを開いたつもりでも、AIが勝手に別フォルダへ行くのではないか」という点です。この不安には、気合いや注意だけではなく、仕組みで答える必要があります。
サンドボックスは、Codexが自由に動ける範囲を制限する仕組みです。承認は、その範囲を越える操作や、危険度の高い操作の前に人間へ確認する仕組みです。つまり、AIの意図しない動きを「作業場所」「権限設定」「承認確認」の段階で止める考え方です。
三重の安全策として考える
workspace-write などの制限された設定にすると、基本的な作業範囲をワークスペース中心にできます。広い権限を選ぶほど、この境界は弱くなります。AIがフォルダ外へ行こうとしたらどうなるか
| 状況 | 期待される動き | 人間がすること |
|---|---|---|
| 保管庫内のファイルを読む | 通常の作業として進む。 | 対象ファイルが合っているか見る。 |
| 保管庫内に要約ファイルを作る | workspace-write なら進められることが多い。 | 保存先が保管庫内か確認する。 |
| 保管庫外のファイルを書き換える | 制限設定なら止まる、または承認を求める。 | 基本は許可しない。 |
| 共有フォルダの親階層を読もうとする | 設定や環境によっては承認確認になる。広い権限では止まりにくい。 | 許可せず、必要な資料だけ保管庫へコピーする。 |
| インターネットへ接続する | ネットワーク制限や承認確認の対象になる。 | 接続先と目的が明確な時だけ判断する。 |
大事な理解: 「このフォルダだけ見て」と文章で頼むだけでは、技術的な制限にはなりません。実際の歯止めは、開くフォルダを小さくすること、サンドボックスを広げないこと、承認確認を残すことです。
安全に使うための考え方
- ワークスペースは小さくする。
- サンドボックスは広げすぎない。
- 承認確認が出たら、内容を読んでから判断する。
- 理由が分からない承認は許可しない。
- 削除、移動、上書き、フォルダ外アクセスは特に慎重に見る。
5. 推奨設定と設定方法
画面や設定名は利用しているCodexの種類やバージョンで変わることがあります。ここでは、公式ドキュメントで説明されている代表的な考え方を、業務で使うときの安全確認として整理します。
設定には3つのタイミングがある
Codexのセキュリティ設定は、すべてを毎回自分で細かく設定するものではありません。大きく分けると、管理者が事前に決めるもの、作業を始めるときに自分が確認するもの、作業中に一時的に判断するものがあります。
| タイミング | 誰が見るか | 何を確認するか | 毎回必要か |
|---|---|---|---|
| 導入前・利用開始前 | 社内の管理者、詳しい担当者 | Codexを使える人、インターネット利用、組織全体の権限。 | 最初に設定し、運用変更時に見直す。 |
| 作業を始めるとき | あなた自身 | どのフォルダをCodexで開くか。サンドボックスや承認の設定が安全側か。 | 新しい作業を始めるたびに確認する。 |
| 作業中 | あなた自身 | Codexが追加権限、フォルダ外アクセス、ネットワークアクセスを求めていないか。 | 確認画面が出たときだけ判断する。 |
どこで設定を見るのか
基本の理解: 最初に社内の管理者や詳しい担当者が大枠を整えます。あなたは毎回、開くフォルダがObsidian保管庫そのものかを確認します。作業中に承認が出たら、内容を読んでから判断します。
まず選ぶべき組み合わせ
通常は、Obsidian保管庫をワークスペースとして開き、サンドボックスは workspace-write、承認は on-request 系にします。 これにより、保管庫内の作業は進めやすくしつつ、フォルダ外や強い権限が必要な操作では人間が止められます。
| 項目 | 意味 | この運用での考え方 |
|---|---|---|
read-only読み取り専用 | 基本的に読むだけ。編集や多くの操作には追加確認が必要。 | 最初の資料確認や監査向き。慣れるまでは安心。 |
workspace-write作業フォルダ内は編集可 | 開いているワークスペース内では編集できる。外側への操作は制限される。 | 通常作業の候補。必ずObsidian保管庫だけを開く。 |
danger-full-access広い権限 | 制限が大きく外れ、広い範囲に触れる可能性がある。 | この運用では使わない。通常の業務作業には不要。 |
on-request必要時に確認 | 必要なときに承認を求める。 | おすすめ。境界を越える操作で止められる。 |
never確認しない | 承認を求めずに進める。 | 事業データでは避ける。 |
特に避ける設定: danger-full-access のような広い権限、または承認なしで進める設定は、社内共有フォルダ上のObsidian保管庫運用には向きません。
画面で設定する場合の見方
- Codexで新しい作業を始めるとき、ワークスペースとしてObsidian保管庫フォルダそのものを選びます。
- 権限や承認の設定画面がある場合は、読み取り専用またはワークスペース内編集に相当する設定を選びます。
- 「Full Access」「すべて許可」「承認なし」「危険な制限解除」に近い表現は選びません。
- 「作業フォルダ外へのアクセスは確認する」「必要なときに承認する」に近い設定を選びます。
- 作業開始後、Codexが追加権限を求めたら、その理由と対象フォルダを確認してから判断します。
一度設定すれば終わりか
| 項目 | 一度でよいか | 確認するタイミング |
|---|---|---|
| 組織としてCodexを使えるか | 基本は管理者が一度設定する。 | 新しい人を追加した時、運用ルールを変えた時。 |
| インターネット利用や組織権限 | 基本は管理者が一度設定する。 | 外部調査を許可するか変わった時。 |
| どのフォルダを開くか | 毎回確認する。 | Codexで新しい作業を始める時。 |
| サンドボックスの強さ | 作業ごとに確認するのが安全。 | 新しい作業、別フォルダ、別PCで使う時。 |
| 承認確認 | 一度決めても、作業中に出ることがある。 | Codexが追加の操作を求めた時。 |
覚え方: 管理者設定は「入口の鍵」。作業開始時のフォルダ選択は「部屋を選ぶこと」。作業中の承認は「その場でドアを開けるか判断すること」です。
迷ったときの判断: 作業を速くする設定より、止められる設定を選びます。大事なのは、AIが完走することではなく、意図しない場所へ行きそうになった時に止まることです。
設定の強さを比べる
| 組み合わせ | 保管庫内作業 | フォルダ外アクセスへの強さ | おすすめ度 |
|---|---|---|---|
read-only + 承認あり | 読む中心。編集時に止まりやすい。 | 強い。 | 最初の確認作業に向く。 |
workspace-write + on-request | 保管庫内の要約作成や整理がしやすい。 | バランスがよい。 | 通常のおすすめ。 |
workspace-write + never | 進みやすい。 | 承認で止めにくい。 | 事業データでは避ける。 |
danger-full-access | 広く動ける。 | 弱い。 | この運用では使わない。 |
黒い画面で操作する場合
ここからは、CLIという操作方法を使う場合の説明です。CLIとは、黒い画面に文字で命令を打って操作する方法です。普段のアプリ画面だけでCodexを使う場合は、この部分を読み飛ばしてかまいません。
Codex CLIや設定ファイルを使う場合は、権限プロファイルやサンドボックス設定でアクセス範囲を指定できます。権限プロファイルとは、「読み取りだけ」「作業フォルダ内だけ編集可」のような権限セットです。実際の設定名や書き方は、利用中のCodexの画面や公式ドキュメントで確認してください。
# 考え方の例
# 1. 作業フォルダはObsidian保管庫だけにする
# 2. ワークスペース内の編集は許可しても、フォルダ外は制限する
# 3. 境界を越える操作では承認を求める
default_permissions = ":workspace"
# 古い設定方式の例:
# sandbox_mode = "workspace-write"
# approval_policy = "on-request"黒い画面で起動するときに意識すること
# CLIで考える場合の例
# 実際のコマンド名やオプションは、利用中のCodexで確認してください。
cd "\\社内サーバー\共有\AI活用\Business-AI-Vault"
codex --sandbox workspace-write --ask-for-approval on-requestポイントは、コマンドそのものよりも、最初に移動する場所がObsidian保管庫であることです。親フォルダで起動してから「保管庫だけ見て」と頼むより、最初から保管庫を作業場所にして起動するほうが安全です。
6. 最初に伝える言葉
設定だけでなく、依頼文でも境界を明確にします。作業開始時に、次の文章をCodexへ渡してください。
この作業では、現在開いているObsidian保管庫フォルダの中だけを対象にしてください。
社内共有フォルダの親階層、他部署フォルダ、デスクトップ、ダウンロード、個人フォルダ、別ドライブにはアクセスしないでください。
原本ファイルは変更しないでください。
新しい要約や分析結果を作る場合は、この保管庫フォルダ内に新しいファイルとして作成してください。
もしフォルダ外へのアクセス、追加権限、ネットワークアクセスが必要になった場合は、実行せずに理由を説明してください。依頼文に入れるとよい一文
- 「この保管庫フォルダの中だけを対象にしてください。」
- 「原本は変更せず、結果は新しいファイルにしてください。」
- 「フォルダ外の情報が必要な場合は、実行せずに教えてください。」
- 「不明なことは推測せず、不明と書いてください。」
7. 権限確認の見方
権限確認は、最初に一度だけ行う設定ではありません。Codexが作業中に「この操作をしてよいですか」と追加で聞いてくる確認です。表示されたら作業を止めて、内容を確認します。とくに社内共有フォルダでは、親フォルダや別部署フォルダへ広がる操作に注意します。
承認が出る例: 保管庫の外を読もうとした時、ネットワークへ接続しようとした時、ファイルを削除・移動・上書きしようとした時、通常より強い権限が必要になった時などです。
| 表示された内容 | 判断 |
|---|---|
| 保管庫内に新しい要約ファイルを作成 | 内容と保存先が分かれば許可してよい。 |
| 保管庫内のファイルを編集 | 原本でないか、編集対象が合っているか確認する。 |
| 保管庫の外にアクセス | 基本は止める。必要なら対象フォルダを確認してから判断する。 |
| 共有フォルダの親階層を読む | 許可しない。必要な資料だけを保管庫へコピーする。 |
| 削除、移動、上書き | 慎重に確認する。迷ったら許可しない。 |
| ネットワークアクセス | どのサイトへ何のために接続するか確認する。 |
danger-full-access 相当の広い権限 | 通常作業では許可しない。 |
合言葉: 「分からない承認は押さない」。これは慎重すぎる態度ではなく、事業データを扱うための基本姿勢です。
8. 日常運用チェック
作業前チェック
- Codexで開いている場所は、Obsidian保管庫フォルダそのものか。
- 共有フォルダの親階層を開いていないか。
- 今回使う資料だけが保管庫内に入っているか。
- 顧客名、住所、電話番号、給与、契約条件などの機密情報は、作業に必要な最小限だけにしているか。不要な情報はマスキングしているか。
- 原本を直接編集しない運用になっているか。
- Codexへの依頼文に「このフォルダ内だけ」と書いたか。
やってはいけないこと
- 会社全体の共有フォルダをCodexで開く。
- 人事、経理、契約、顧客情報フォルダが見える親フォルダを開く。
- 理由が分からない権限確認を許可する。
- 原本PDFや元CSVを直接上書きさせる。
- 広い権限設定を「便利そうだから」という理由で選ぶ。
安全な使い方の型: 必要な資料だけをObsidian保管庫へ入れる。Codexで開くのはその保管庫だけ。結果は保管庫内に新しいファイルとして作る。原本確認は人間が行う。この型を守れば、落ち着いて業務利用を始められます。
9. 参考にした公式情報
- OpenAI Developers: Sandbox - Codex
- OpenAI Developers: Permissions - Codex
注: Codexの画面、設定名、権限プロファイルは変更されることがあります。実際の設定は、利用中のCodexの画面と最新の公式ドキュメントで確認してください。