Codex CLI 自動承認モード: 承認待ちを減らす3つの安全設定¶
対象 / ポイント
対象:
- Codex CLIを日常的に使っていて、承認ダイアログを減らしたい人
approval_policyとsandbox_modeの組み合わせが分かりづらい人- Claude Codeの権限モデルとの違いを短時間で把握したい人
ポイント:
- 日常開発なら、基本は
--full-autoで十分です - ネットワークが必要なら、まずは
workspace-writeを維持したまま許可します danger-full-accessは隔離環境向けで、本記事では--full-autoから強い設定までを用途別に整理します
問題の核心¶
Codex CLIの自動承認は、1つのスイッチで全部切り替わるわけではありません。実際には次の3軸で決まります。
approval_policy: 承認をどこまで省くかsandbox_mode: ファイルやコマンドの実行範囲をどこまで広げるかnetwork_access: ネットワークを使えるか
つまずきやすいのは、approval_policy だけを見てしまうことです。実際には sandbox_mode の影響が大きく、--full-auto でもネットワークは既定で許可されません。1
2026年4月27日時点の前提
OpenAI公式ドキュメントでは、--full-auto は --ask-for-approval on-request と --sandbox workspace-write のショートカットです。workspace-write のネットワークアクセスは既定で無効で、必要な場合は sandbox_workspace_write.network_access = true を明示します。1 本記事もその現行ドキュメントに合わせています。
クイックスタート¶
まずはこの3つだけ覚えれば十分です。
# 1) 日常開発向けの基本形
codex --full-auto "Run unit tests and fix failures"
# 2) サンドボックスを維持したままネットワークを許可
codex -a never -s workspace-write \
-c 'sandbox_workspace_write.network_access=true' \
"Update deps and run migrate"
# 3) 強い自動化が必要な隔離環境向け
codex --dangerously-bypass-approvals-and-sandbox \
"Non-interactive build and deploy"
最初に選ぶ設定
いきなり danger-full-access に寄せるより、まずは --full-auto か -a never -s workspace-write から始める方が安全です。
3つの設定方法¶
方法1: CLIフラグで都度切り替える¶
一時的な作業なら、これが最も分かりやすい方法です。
# バランス型
codex --full-auto "Fix failing tests"
# ネットワークありの安全モード
codex -a never -s workspace-write \
-c 'sandbox_workspace_write.network_access=true' \
"Install packages and run migration"
# フルアクセス
codex -a never -s danger-full-access "Refactor and run full local build"
向いている場面:
- 単発作業
- 検証用セッション
- その場で強さを切り替えたいとき
方法2: config.toml / プロファイルで固定する¶
同じ設定を何度も使うなら、プロファイル化した方が速いです。
approval_policy = "on-request"
sandbox_mode = "workspace-write"
[profiles.auto]
approval_policy = "on-request"
sandbox_mode = "workspace-write"
[profiles.networked]
approval_policy = "never"
sandbox_mode = "workspace-write"
[profiles.networked.sandbox_workspace_write]
network_access = true
起動例:
codex -p auto "Review the repo"
codex -p networked "Update dependencies"
向いている場面:
- 毎回同じ設定を使うチーム
- ローカル環境を標準化したいとき
- 安全な既定値を固定したいとき
方法3: -c で一部だけ上書きする¶
既定は保ちつつ、今回だけ変えたいときの方法です。
# 今回だけ承認設定を強める
codex -c approval_policy=\"never\" "Task"
# 今回だけサンドボックスを変える
codex -c sandbox_mode=\"read-only\" "Analyze project structure"
# ネットワークだけ追加
codex -c 'sandbox_workspace_write.network_access=true' \
"Fetch release notes"
向いている場面:
- 既存プロファイルを少しだけ変えたいとき
- CIやスクリプトで細かく制御したいとき
設定が反映される順序¶
CLI引数 (-c, -a, -s) > プロファイル (-p) > config.toml > デフォルト
モード設定マトリックス¶
体感で理解したい場合は、先にこのシミュレータを触るのが早いです。
| 用途 | approval_policy (-a) | sandbox_mode (-s) | ネットワーク | 特殊フラグ | リスク |
|---|---|---|---|---|---|
| 日常開発の基本形 | on-request | workspace-write | off | --full-auto | 中 |
| ネットワークありの安全運用 | never | workspace-write | on | -c 'sandbox_workspace_write.network_access=true' | 中〜高 |
| フルアクセス運用 | never | danger-full-access | on | なし | 高 |
| 完全無制限 | - | - | - | --dangerously-bypass-approvals-and-sandbox | 極高 |
| 読み取り専用 | never | read-only | off | なし | 低 |
Claude Codeとの対応¶
Codex CLIは approval_policy と sandbox_mode を分けて制御できます。Claude Codeの方が見た目は単純ですが、Codex CLIの方が調整幅は広いです。
| Claude Code | Codex CLI | 説明 |
|---|---|---|
claude --dangerously-skip-permissions | codex --dangerously-bypass-approvals-and-sandbox | 完全無制限実行 |
claude の通常運用 | codex --full-auto | ワークスペース内を自動実行しつつ、外部操作やネットワークは止める基本線 |
| 相談中心の慎重運用 | codex /permissions → Read-only | 変更やコマンド実行の前にプラン承認が必要な安全側モード |
allowedTools / 権限ルール | codex /permissions + approval policy + sandbox mode | 何を自動許可するかを対話的に調整 |
| Hooks | Rules / hooks / skills | ワークフロー制御 |
Plan mode という言い方について
Codexには現在、/plan という built-in command があり、これは read-only とは別物です。read-only は安全側の実行ポリシー、/plan は計画を先に固めるための操作と考えるのが正確です。23
セキュリティとベストプラクティス¶
まず守るべき4原則¶
- 既定は
workspace-write: 日常開発でdanger-full-accessを常用しない - ネットワークは必要時だけ許可:
--full-autoにネットワークが含まれると考えない - 強い設定には外部ガードレールを併用: PRレビュー、CI、隔離環境を前提にする
- ログを残す: 自動承認ほど実行証跡が重要
よく使う安全寄りの設定¶
# 日常開発
codex --full-auto "Task"
# gh / curl / package install が必要
codex -a never -s workspace-write \
-c 'sandbox_workspace_write.network_access=true' \
"Task"
避けたい設定¶
# 本番ホストでの無制限運用
codex --dangerously-bypass-approvals-and-sandbox "Deploy to production"
# 機密情報の直書き
codex -a never "Use API key sk-xxxxxx"
# フルアクセスと広い削除を同時に使う
codex -s danger-full-access "Delete old files recursively"
ガバナンスの最低ライン¶
よくあるトラブルと対処法¶
このページでは「承認モードの設定」に絞ります。長時間運用時の再接続や文脈肥大は、専用記事に切り出して読む方が早いです。
| 症状 | まず確認すること | 次のアクション |
|---|---|---|
--full-auto で gh や curl が失敗する | ネットワークが既定で無効か | workspace-write のまま network_access=true を追加 |
| 設定が反映されない | どのレイヤーが勝っているか | CLI > profile > config.toml > default の順で確認 |
| 強すぎる設定になって不安 | danger-full-access を使っていないか | workspace-write へ戻して再実行 |
長時間実行で re-connecting... が出る | この記事の主題外 | 再接続ガイド を参照 |
context window で止まる | この記事の主題外 | 文脈エラー対策 を参照 |
FAQ¶
Codex CLIで承認をできるだけ減らす基本設定は?
まずは codex --full-auto です。日常開発ではこれが最もバランスが良く、いきなり danger-full-access に寄せる必要はありません。
サンドボックスを維持したままネットワークだけ許可できる?
可能です。codex -a never -s workspace-write -c 'sandbox_workspace_write.network_access=true' を使えば、ファイル保護を保ちながら必要な通信だけ有効にできます。
Claude Codeの --dangerously-skip-permissions に相当するものは?
Codex CLIでは codex --dangerously-bypass-approvals-and-sandbox が最も近い設定です。ただし非常に強いモードなので、隔離環境かCI専用に寄せるのが前提です。
--full-auto でネットワークが使えないのはなぜ?
--full-auto は実質的に on-request + workspace-write の組み合わせで、workspace-write ではネットワークは既定で無効です。必要なら sandbox_workspace_write.network_access=true を追加します。
設定は CLI と config.toml のどちらが優先される?
CLI引数が最優先です。順序は CLI引数 > プロファイル > config.toml > デフォルト です。
まとめ¶
- 日常開発の基本線は
--full-auto - ネットワークが必要なら
workspace-writeを保ったまま追加許可 - 強い自動化は
danger-full-accessや bypass を常用せず、隔離環境に限定 - 判断に迷ったら
approval_policyだけでなくsandbox_modeとnetwork_accessをセットで見る
関連記事¶
- Codex CLI 完全ガイド
- Codex CLI ベストプラクティス
- Codex CLI のネットワーク制限を解く方法
- Codex CLI の Re-connecting ループ対策
- Codex CLI の context window エラー対策
- Claude Code 自動実行許可完全ガイド
Codex agent approvals & security —
--full-auto、--ask-for-approval、--sandbox、sandbox_workspace_write.network_accessの現行整理。 ↩↩Codex CLI slash commands —
/planと/permissionsの現行導線。 ↩Features – Codex CLI —
Read-onlyを consultative mode として説明。 ↩