Cloud Run Sandboxesがパブリックプレビュー、AI生成コードを安全に隔離実行

Cloud Run Sandboxesがパブリックプレビュー、AI生成コードを安全に隔離実行

Cloud Run Sandboxesがパブリックプレビュー、AI生成コードを安全に隔離実行

Cloud Run Sandboxesがパブリックプレビューに。AI生成コードを隔離実行

Cloud Run Sandboxesがパブリックプレビューに。AI生成コードを隔離実行

Google Cloudは2026年7月9日、Cloud Run上で信頼できないコードを安全に実行するサンドボックス機能をパブリックプレビューとして公開した。AIが生成したプログラムや、エンドユーザーがアップロードしたスクリプトを、ホスト環境やクラウドの認証情報から完全に分離した状態で動かせる。

起動はミリ秒単位で、既存のCloud RunインスタンスのCPUやメモリを共有する。追加のVMや専用のサンドボックスホスティングプラットフォームを使う必要はなく、追加料金も発生しない。この発表はベルリンで開催中のWeAreDevelopers World Congressで行われた。

これまで開発者は、AIが動的に生成したコードを安全に実行するために、コンテナクラスタを組んだり、サードパーティのmicroVMランタイムを契約したりする必要があった。Cloud Run Sandboxesは、その複雑さを取り除くサーバーレスネイティブの仕組みだ。

サンドボックスとは何か、なぜ必要なのか

サンドボックスとは何か、なぜ必要なのか

サンドボックスとは、プログラムを隔離された領域で実行する仕組みのことだ。子供が砂場(サンドボックス)の中で自由に遊んでも、砂が外に散らばらないのと同じで、中で何が起きても外側のシステムには影響を与えない。

AIエージェントやLLM(大規模言語モデル)がコードを生成する時代では、この隔離が極めて重要になる。モデルが書いたPythonスクリプトに意図しないファイル削除やネットワーク経由のデータ流出が含まれていたとしても、サンドボックス内で止められるからだ。

従来の単一実行環境とサンドボックスの違い
従来の単一実行環境
アプリ本体 AIが生成したコード
← 同じ領域で実行されるため、悪意あるコードが環境変数やクラウド認証情報にアクセスできる危険がある
Cloud Run Sandboxes(改善後)
アプリ本体 サンドボックス AI生成コード
← アプリ本体とは完全に分離。ネットワークアクセスはデフォルトで遮断され、ファイルの変更も破棄される

Cloud Run Sandboxesは、既存のCloud Runサービスインスタンス内でほぼ瞬時に生成できる軽量な隔離実行境界だ。専用のVMを立ち上げる必要がなく、サーバーレス環境を離れずにすべてが完結する。

サンドボックスの仕組みとセキュリティ設計

サンドボックスの仕組みとセキュリティ設計

シンプルな有効化とネイティブな呼び出し

利用開始は驚くほど簡単だ。Cloud Runサービスをデプロイする際に、gcloudコマンドまたはYAML設定でサンドボックスランチャーを有効にするフラグを1つ追加するだけでよい。有効化すると、軽量なサンドボックスCLIバイナリが実行環境に自動でマウントされ、標準的なサブプロセス呼び出しでプログラムからサンドボックスを生成できる。

実際の動作例として、LLMが動的に生成したPythonコードを安全に実行するデモが公開されている。1000個のサンドボックスを起動し、それぞれの処理を実行して停止するまでの平均レイテンシは500ミリ秒だ。

ゼロトラストを前提とした3層のセキュリティ境界

Cloud Run Sandboxesは、悪意あるコードや誤ったコードからホストアプリケーションとクラウドリソースを守るために、3つの重要なセキュリティ境界を強制する。

Cloud Run Sandboxesの3層セキュリティ境界
境界 1 認証情報と環境変数の隔離
サンドボックス内部からは、Cloud Runサービスの環境変数にアクセスできない。Google Cloudのメタデータサーバーへの呼び出しも不可。AIが誤って認証情報を読み取ろうとしても、物理的に到達できない設計だ。
境界 2 ネットワーク通信のデフォルト遮断
デフォルトでは、サンドボックスからの外向きネットワークアクセスは一切許可されない。仮にAIがデータを外部サーバーに送信しようとするスクリプトを生成しても、システム層でブロックされる。外向き通信が必要な場合は、明示的に許可する設定が可能だ。
境界 3 安全なファイルシステムオーバーレイ
サンドボックスは、コンテナのファイルシステムを読み取り専用で参照する。インストール済みのパッケージやPythonランタイムは利用できるが、書き込みはすべて一時的なメモリオーバーレイに隔離され、サンドボックス終了時に破棄される。必要なファイルはサンドボックス間でインポート・エクスポートできる。
認証情報隔離  ネットワーク遮断  ファイルシステム分離

この3層構造によって、AIが生成したコードがどれほど予測不能な動作をしても、ホスト側への影響は生じない。セキュリティを理由にAIコード実行を諦めていた開発者にとって、大きな転換点になる。

3つの主要ユースケース

3つの主要ユースケース

Cloud Run Sandboxesは特に以下の3つの用途で力を発揮する。いずれも「信頼できないコードを隔離実行する」という共通の要件を持つシナリオだ。

Cloud Run Sandboxesの3つの主要ユースケース
LLMコードインタプリタ
AI製品に高度なデータ分析機能を組み込む。モデルがPython、R、SQLのコードを生成してデータセットを分析し、グラフを作成したり複雑な計算を実行したりする。サンドボックスがあれば、そのコードを安全に実行できる。
ユーザー 自然言語で質問 LLM コード生成 サンドボックス 安全に実行
ヘッドレスブラウザ
AIエージェントに安全なブラウザ実行環境を提供する。Webページのスクレイピング、スクリーンショット取得、Webワークフローの自動化をホストマシンにリスクを及ぼさず実行できる。情報収集や競合調査の自動化に有効だ。
ユーザー提出コードの実行
AI以外の用途でも、Cloud Runでホストするプラットフォームがエンドユーザーのカスタムスクリプト、プラグイン、Webhookを安全に実行できる。オンラインジャッジシステムやローコードプラットフォームの基盤として使える。

ADKとComputeSDKとの統合

ADKとComputeSDKとの統合

Cloud Run Sandboxesは、Googleのエージェント開発キットであるADK(Agent Development Kit)の次期バージョンでネイティブサポートされる。新しいCloudRunSandboxCodeExecutorを使うと、ADKエージェントがわずか1行のコードでサンドボックス内のコード実行を指示できる。

また、ベンダーに依存しないサンドボックス実行用SDKであるComputeSDKにも対応が追加された。このSDKを使えば、Cloud Runサービスの外部からリモートでサンドボックスを呼び出すことも、サービス上のローカルツールとして直接使うこともできる。既存のツールチェーンにスムーズに組み込める設計だ。

コスト面の利点と実運用への影響

Cloud Run Sandboxesの大きな特長は、追加コストが一切かからないことだ。オンデマンドのVMに対して高いプレミアムを課金する専用サンドボックスホスティングプラットフォームとは異なり、既存のCloud Runインスタンスに割り当てられたCPUとメモリを直接共有する。

起動時間がミリ秒単位であることも実運用上の利点だ。従来のVMベースの隔離環境では、新しいVMを立ち上げるたびに数秒から数十秒の待ち時間が発生していた。Cloud Run Sandboxesなら、ユーザーからのリクエストに対してほぼ待ち時間なく応答できる。

Google Cloud Blogの記事で紹介されたデモでは、1000個のサンドボックスを起動してコードを実行し、終了するまでの平均レイテンシが500ミリ秒だった。これは「AIが生成したコードをリアルタイムで安全に実行する」という要件に対して十分実用的な数値だ。

この記事のポイント

  • Cloud Run SandboxesはAI生成コードや信頼できないバイナリを安全に実行する隔離環境で、パブリックプレビューとして公開された
  • 起動はミリ秒単位で、既存のCloud Runインスタンスのリソースを共有するため追加コストは発生しない
  • 環境変数の隔離、ネットワーク通信のデフォルト遮断、安全なファイルシステムオーバーレイの3層でセキュリティを確保
  • LLMコードインタプリタ、ヘッドレスブラウザ、ユーザー提出コードの実行が主要ユースケース
  • ADKとComputeSDKに組み込み対応し、開発者は1行のコードでサンドボックス実行を指示できる
海田 洋祐

・ 複数業界における17年間のデジタルビジネス開発経験 ・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識 ・ 15ヶ国語対応の多言語SaaSの開発経験 ・ 17年間にも及ぶ、Eコマース長期運営経験 ・ 幅広い業界でのSEO最適化の豊富な経験

メッセージを残す