はじめに
2026年3月4日、OpenAIはAIコーディングアシスタント「Codex」のWindows版アプリを正式リリースしました。macOS版のリリースから約1か月、50万人以上のウェイトリストを経ての公開です。
Windows版の最大の特徴は、Microsoftと共同開発されたネイティブWindowsサンドボックスです。WSLやVMを必要とせず、Windows上でPowerShellをそのまま使いながら、OS レベルのプロセス分離でセキュアなAIコーディング環境を実現しています。
この記事では、Codex Windows版の主要機能・サンドボックスの仕組み・セットアップ手順・実践的な設定について、公式ドキュメントをもとに解説します。
この記事で学べること
- Codex Windows版の主要機能とアーキテクチャ
- ネイティブWindowsサンドボックスの仕組みと設定方法
-
config.tomlによる実践的なカスタマイズ - Skills・Automations・Worktreeを活用した開発ワークフロー
対象読者
- Windows環境でAIコーディングツールを導入したいエンジニア
- Codex CLIやmacOS版を使っていて、Windows版に移行したい開発者
- AIエージェントのセキュリティモデルに関心がある方
TL;DR
- Codex Windows版は2026年3月4日に正式リリース。週間アクティブユーザーは160万人を突破
- ネイティブWindowsサンドボックスは、制限付きトークン・ファイルシステムACL・専用サンドボックスユーザーによるOS レベル分離を実現
- WSLやVM不要でPowerShellから直接利用可能
- サンドボックス実装はオープンソースとしてGitHubで公開済み
- Skills・Automations・Worktreeによる並列タスク管理で、複数プロジェクトを同時に扱える
Codex Windows版の概要
リリースの背景
Codexは2025年にCLIツールとして登場し、その後macOS向けデスクトップアプリがリリースされました。macOS版は1か月で100万ダウンロードを達成し、2026年3月時点で週間アクティブユーザーは160万人に到達しています。
Windows版では、macOS版の全機能に加えて以下が追加されています。
| 機能 | 説明 |
|---|---|
| ネイティブWindowsサンドボックス | OS レベルのプロセス分離(Microsoftと共同開発) |
| PowerShell統合 | WSL不要でWindows環境をそのまま利用 |
| クロスプラットフォームセッション継続 | macOSとWindows間でセッションを引き継ぎ |
| オープンソースサンドボックス | 分離ロジックをGitHubで公開 |
利用条件
Codex Windows版は、ChatGPTの有料プラン(Plus以上)のユーザーが利用できます。2026年4月2日まで、有料ユーザーはレートリミットが2倍に拡大されるキャンペーンが実施されています。FreeプランとGoプランのユーザーも、期間限定でCodexを試用可能です。
ネイティブWindowsサンドボックスの仕組み
Codex Windows版のセキュリティモデルは、技術的なサンドボックス制約と承認ポリシーの2層で構成されています。
サンドボックスモード
Windows版では2つのサンドボックスモードが用意されています。
Elevated モード(推奨)
管理者権限でセットアップし、最も強力な分離を実現します。
- 制限付きトークン(Restricted Token): 通常のWindowsプロセスよりも権限を大幅に制限した状態でコマンドを実行
- ファイルシステムACL: ワーキングディレクトリ外への書き込みをOSレベルでブロック
- 専用サンドボックスユーザー: コマンド実行時に専用のWindowsユーザーアカウントを使用
- Windowsファイアウォールルール: ネットワークアクセスを制限するファイアウォール規則を自動インストール
# ~/.codex/config.toml
[windows]
sandbox = "elevated"
Unelevated モード(フォールバック)
管理者権限が利用できない環境向けのフォールバックモードです。Elevatedモードほどの分離強度はありませんが、基本的なサンドボックス保護を提供します。
[windows]
sandbox = "unelevated"
保護される領域
サンドボックスモードにかかわらず、以下のディレクトリは常に読み取り専用として保護されます。
| 保護対象 | 理由 |
|---|---|
.git ディレクトリ |
Gitリポジトリの整合性保護 |
.agents ディレクトリ |
エージェント設定の改ざん防止 |
.codex ディレクトリ |
Codex設定ファイルの保護 |
ネットワークアクセス制御
デフォルトでは、サンドボックス内のプロセスからのネットワークアクセスは無効です。Web検索が必要な場合は config.toml で明示的に有効化します。
# Web検索を有効化(キャッシュモード推奨)
web_search = "cached"
| モード | 動作 |
|---|---|
disabled |
ネットワークアクセス完全無効(デフォルト) |
cached |
事前インデックスされた検索結果を使用(プロンプトインジェクションリスク低減) |
live |
リアルタイムWeb検索(要明示的設定) |
セットアップ手順
1. インストール
Codex公式サイトからWindows版インストーラーをダウンロードしてインストールします。
2. 前提条件の確認
ネイティブの依存関係のために、以下のC++開発ツールが必要になる場合があります。
- Visual Studio Build Tools(C++ワークロード)
- Microsoft Visual C++ Redistributable(x64)
3. サンドボックス設定
config.toml でサンドボックスモードを設定します。
# ~/.codex/config.toml
# サンドボックスモード(elevated推奨)
[windows]
sandbox = "elevated"
4. 読み取り権限の追加
サンドボックスが特定のディレクトリへの読み取りをブロックしている場合、セッション内で以下のコマンドを使用して一時的に読み取り権限を付与できます。
/sandbox-add-read-dir C:\absolute\directory\path
パスは絶対パスで指定する必要があります。この権限はセッション終了時にリセットされます。
config.toml による実践的なカスタマイズ
Codexの設定は TOML 形式の設定ファイルで管理されます。
設定ファイルの優先順位
設定は以下の順序で解決されます(優先度が高い順)。
- CLIフラグ /
--configオーバーライド - プロファイル値(
--profile <name>で指定) - プロジェクトレベルの設定(
.codex/config.toml) - ユーザーレベルの設定(
~/.codex/config.toml) - システム設定(
/etc/codex/config.toml、Unixのみ) - ビルトインデフォルト
推奨設定例
# ~/.codex/config.toml
# 使用モデル
model = "gpt-5.2-codex"
# 承認ポリシー
approval_policy = "on-request"
# サンドボックスモード
sandbox_mode = "workspace-write"
# Windows固有設定
[windows]
sandbox = "elevated"
# Web検索(キャッシュモード)
web_search = "cached"
# 推論の深さ
model_reasoning_effort = "high"
# コミュニケーションスタイル
personality = "pragmatic"
# 環境変数のフィルタリング
[shell_environment_policy]
include_only = ["PATH", "HOME", "USERPROFILE"]
承認ポリシー
AIエージェントがどの操作で人間の確認を必要とするかを制御します。
| ポリシー | 動作 |
|---|---|
on-request |
ワークスペース外アクセス・ネットワーク・信頼されないコマンドで承認を要求 |
untrusted |
安全な読み取り操作は自動許可、状態変更操作で承認を要求 |
never |
すべてのプロンプトを無効化(注意して使用) |
on-request がデフォルトであり、安全性と開発効率のバランスが取れています。
主要機能の活用
Skills
Skillsは、Codexの機能を拡張するモジュールです。チームで作成したカスタムSkillをプロジェクト横断で共有・利用できます。サイドバーのSkillsピッカーから、利用可能なSkillを検索・有効化できます。
Automations
Automationsは、定型タスクを自動化する機能です。テレメトリのエラー評価と修正提出、レポート作成などのルーチンワークを、Skillsとスケジュールを組み合わせて自動実行できます。Gitリポジトリでは専用のバックグラウンドWorktreeで実行されます。
Worktree(並列タスク管理)
Codexの3つの実行モードを使い分けることで、並列に複数のタスクを管理できます。
| モード | 説明 | 用途 |
|---|---|---|
| Local | プロジェクトディレクトリで直接作業 | 即座のコード修正 |
| Worktree | Git Worktreeで分離して変更 | 並列ブランチ作業 |
| Cloud | リモート環境で実行 | CI/CD連携 |
Worktreeモードでは、各タスクが独立したGit Worktreeで実行されるため、メインブランチに影響を与えずに複数の変更を同時に進められます。変更完了後は、アプリ内からdiff確認・コミット・プッシュ・PR作成まで行えます。
その他の開発者向け機能
-
統合ターミナル:
Cmd+J(Windows環境ではCtrl+J)でターミナルを開き、検証やGit操作を実行 -
音声入力:
Ctrl+Mで音声によるプロンプト入力 - 画像入力: ドラッグ&ドロップで画像をプロンプトに追加
- IDE Extension連携: VS Codeなどのエディタとコンテキストを自動同期
- MCP対応: Model Context Protocolサーバーの設定がアプリ・CLI・IDE Extensionで同期
WSL2との併用
WSL2を利用する開発者向けに、Codex CLIはWSL2環境でも動作します。VS CodeをWSLターミナルから起動し、ステータスバーに「WSL: <ディストリビューション名>」が表示されていることを確認してください。
ネイティブWindows環境とWSL2環境のどちらを選ぶかは、プロジェクトの技術スタックによって判断します。
| 条件 | 推奨環境 |
|---|---|
| .NET / PowerShellベースのプロジェクト | ネイティブWindows |
| Node.js / Pythonでクロスプラットフォーム対応 | どちらでも可 |
| Linux固有のツールチェーンを使用 | WSL2 |
セキュリティ上の注意点
オープンソースサンドボックス
Windows版のサンドボックス実装は、GitHubでオープンソースとして公開されています。分離ロジックの詳細を確認したい場合は、リポジトリを直接参照できます。
テレメトリ
Codexのテレメトリ(OpenTelemetry)はデフォルトで無効です。有効化する場合でも、ユーザープロンプトはデフォルトで除外されます。ソースコードや機密データの漏洩を防ぐため、log_user_prompt = false(デフォルト)を維持することが公式ドキュメントで推奨されています。
環境変数のフィルタリング
shell_environment_policy を使用して、サンドボックスに渡す環境変数を制限できます。APIキーやトークンを含む環境変数がエージェントに渡らないよう、include_only で必要最小限の変数のみを許可することを推奨します。
[shell_environment_policy]
include_only = ["PATH", "HOME", "USERPROFILE", "GOPATH"]
まとめ
- Codex Windows版は、Microsoftと共同開発されたネイティブサンドボックスにより、WSLやVMなしでセキュアなAI コーディング環境を構築できる
- Elevated サンドボックスモードでは、制限付きトークン・ファイルシステムACL・専用ユーザー・ファイアウォールの4層でプロセスを分離する
-
config.tomlによる細かな設定カスタマイズで、承認ポリシー・Web検索・環境変数などを制御できる - Skills・Automations・Worktreeを組み合わせることで、複数プロジェクトの並列管理が可能になる
- サンドボックス実装がオープンソースで公開されているため、分離ロジックの透明性が確保されている