2026年7月14日 公式マニュアル確認

Codexの承認方法を解説|承認を求める・代理で承認・フルアクセスの使い分け

迷ったら「承認を求める」を基本にします。「代理で承認」は信頼済みの作業を止めにくくする中間設定、「フルアクセス」は隔離され復元できる環境など、必要性が明確な時だけ使います。

公式マニュアルの表示名はAsk for approvalApprove for meFull accessです。本ページでは日本語画面に合わせ、Approve for meを「代理で承認」と表記します。表示名はアプリの言語や設定で異なる場合があります。

普段の基本承認を求める。人が境界を越える操作を確認する。
長時間の信頼済み作業代理で承認。別のレビュアーが対象要求を判定する。
例外的な隔離環境フルアクセス。通常のPCや本番作業の既定値にしない。

承認を求める・代理で承認・フルアクセスの違い

ASK FOR APPROVAL

承認を求める

Codexはsandbox内の通常作業を進め、境界を越える時に停止して人へ確認します。

  • 初めて扱うリポジトリ
  • 本番公開・外部送信
  • 秘密情報を含む可能性がある作業
APPROVE FOR ME

代理で承認

承認が必要な対象操作を、別のレビュアーエージェントが判定します。sandboxはそのままです。

  • 信頼済みフォルダの反復作業
  • 長時間タスク
  • 確認待ちを減らしたい時
FULL ACCESS

フルアクセス

ローカルのsandbox制限と承認停止を外す強い設定です。ファイルとネットワークの境界がなくなります。

  • 隔離済みの検証環境
  • 秘密情報がない環境
  • 失敗しても復元できる作業
重要:「作業を速くしたい」だけでフルアクセスを選ばないでください。確認待ちを減らしたい場合は、先に「代理で承認」と狭いsandboxの組み合わせを検討します。

sandboxと承認方法は別の設定

Sandbox mode

Codexが技術的にどこまで触れられるかを決めます。書き込み可能な場所、ネットワーク利用、保護パスなどの境界です。

Approval policy / reviewer

境界を越える必要が出た時、いつ停止するか、ユーザーとレビュアーエージェントのどちらが確認するかを決めます。

安全な基本形
sandbox_mode = "workspace-write"
approval_policy = "on-request"
approvals_reviewer = "user" または "auto_review"

つまり、代理で承認へ切り替えても、書き込み可能なフォルダやネットワーク権限は自動で広がりません。逆に、承認方法だけを見て安全性を判断せず、sandboxの範囲も一緒に確認します。

「承認を求める」は普段の基本

Ask for approvalでは、Codexが作業フォルダ内の読み取り、編集、通常のローカルコマンドをsandbox内で進めます。外部フォルダへの書き込み、遮断されたネットワーク、本来の境界を越える操作が必要になると、ユーザーへ承認を求めます。

向いている作業:初回作業、本番公開、FTPやGitHubへの送信、パッケージ導入、外部アプリ操作、設定ファイル変更、削除や上書きを含む作業。

承認画面で「今回だけ」「セッション中」などの範囲が選べる場合は、その作業を続けるのに必要な最小範囲を選びます。内容が分からない時は承認せず、実行コマンド、対象ファイル、通信先、元に戻す方法をCodexへ説明させます。

「代理で承認」はレビュー役を替える

Approve for meでは、手動承認の代わりに別のレビュアーエージェントが、対象となる承認要求を確認します。メインのCodexエージェントは同じsandbox、同じ承認ポリシー、同じファイル・ネットワーク境界の中で動き続けます。

作業するメインエージェントがsandbox内で進める。
境界に当たる外部書き込みやネットワークなどの承認要求が出る。
別agentが確認要求内容と必要な会話・ツール証拠を確認する。
承認または拒否ポリシーに沿って理由付きで判定する。
継続または停止拒否時は安全な別手段を探すかユーザーへ戻す。
  • 情報流出、認証情報の探索、恒久的なセキュリティ低下、重大な破壊操作などを確認します。
  • レビュー失敗や解析失敗は、安全側に倒して操作を実行しません。
  • 追加のモデル呼び出しを使うため、Codexの使用量が増える場合があります。
  • Computer Useのアプリレベル承認など、ユーザーへ直接表示される承認もあります。
安全保証ではありません。自動レビューは境界を越える要求だけを確認し、誤判定する可能性もあります。Git差分、ログ、バックアップ、公開後確認は人が残します。

「フルアクセス」は例外的に使う

公式マニュアル上のFull accessは、sandbox_mode = "danger-full-access"approval_policy = "never" を組み合わせた状態です。ローカルのファイルシステムとネットワークのsandbox境界を外し、承認プロンプトで停止しない実行状態になります。

通常のPC、本番サーバー、秘密情報を置いた環境では既定値にしません。誤った削除、別フォルダの変更、認証情報の送信、予想外の外部通信が、そのまま実行される影響を考える必要があります。

使うなら、使い捨てのVMやコンテナ、専用の検証PC、秘密情報を置かない作業環境など、外側でも隔離します。Git、スナップショット、リモートバックアップを用意し、対象ディレクトリ、禁止操作、停止条件、完了確認を指示へ明記します。

Codexガイドくん

まず中間設定を試す:書き込み先が足りないだけなら狭い writable_roots、決まったコマンドだけなら限定的なruleを使い、sandbox全体を外さずに解決できる場合があります。

作業別にどれを選ぶか

表は横へスクロールできます。

作業推奨理由と確認点
初めて開くリポジトリの調査・修正承認を求める構成とスクリプトを理解する前に権限を広げない。
信頼済みGitリポジトリのテスト・整形・反復修正承認を求める
または代理で承認
workspace-writeを維持し、差分とテスト結果を確認する。
長時間の調査・複数ファイル処理代理で承認を検討確認待ちを減らしつつsandboxを残す。使用量とログを見る。
FTP、本番公開、Git push、PR、外部アプリへの書き込み承認を求める送信先、差分、バックアップ、公開後確認を人が見る。
DB、DNS、課金、顧客情報、秘密鍵、削除・復旧困難な操作承認を求める人間確認と組織の承認フローを外さない。
隔離済み・秘密情報なし・復元可能な検証環境必要な場合のみフルアクセス環境の外側で隔離し、作業後すぐ通常設定へ戻す。

承認方法を切り替える場所

ChatGPTデスクトップアプリ

入力欄の下にある権限コントロールを開き、Ask for approval、Approve for me、Full access、または利用可能なカスタムプロファイルを選びます。

Codex CLI

対話画面で /permissions を実行し、現在の権限プロファイルを変更します。

IDE拡張

入力欄の下にある権限コントロールを使います。表示項目は設定や組織ポリシーで異なります。

ChatGPT Web / Work

ローカルCodexのsandbox・承認モード選択は表示されません。Work、Web検索、アプリ、ブラウザには別の権限制御があります。

config.tomlで既定値を設定する

毎回同じ動作で開始したい場合は、config.tomlの3項目をセットで確認します。以下は意味を理解するための代表例です。管理対象の環境では組織ポリシーが優先される場合があります。

承認を求める

sandbox_mode = "workspace-write"
approval_policy = "on-request"
approvals_reviewer = "user"

代理で承認

sandbox_mode = "workspace-write"
approval_policy = "on-request"
approvals_reviewer = "auto_review"

フルアクセス

sandbox_mode = "danger-full-access"
approval_policy = "never"

コピー前に確認:フルアクセスの設定例は仕組みの説明用です。理由が曖昧なまま設定ファイルへ貼り付けず、まずUIの承認を求める、または代理で承認を使ってください。

承認ボタンを押す前の6項目

1. 何を実行するか

コマンド、ツール、外部アプリの操作内容を確認します。

2. どこへ作用するか

対象ファイル、書き込み先、通信先、Gitブランチを確認します。

3. 秘密情報がないか

APIキー、Cookie、認証情報、個人情報を送らないか確認します。

4. 元に戻せるか

バックアップ、Git差分、ロールバック方法を用意します。

5. 最小範囲か

1回の許可で足りる操作を、セッション全体へ広げません。

6. 完了後に何を見るか

テスト、公開URL、ログ、差分、エラーの確認方法を決めます。

選択肢が表示されない・承認が止まらない時

使っている画面を確認

デスクトップ、CLI、IDEでは選択できますが、ChatGPT WebにはローカルCodexの承認モード選択がありません。

管理ポリシーを確認

組織の管理設定によって、利用できるレビュアーやプロファイルが制限される場合があります。

承認ポリシーを確認

代理レビューは、on-requestなど承認が対話的に発生する設定で動きます。neverではレビュー対象がありません。

人への承認が残る場合

Computer Useのアプリレベル承認などは、代理レビューにせずユーザーへ直接表示される場合があります。

今回確認したOpenAI公式情報

FAQ

Codexの承認方法はどれを選べばよいですか?

迷った場合はAsk for approval(承認を求める)を選びます。信頼済みの作業フォルダで長時間の反復作業を止めたくない時はApprove for meを検討し、Full accessは隔離され復元可能な環境など必要性が明確な時だけ使います。

代理で承認はCodexへフルアクセスを与える設定ですか?

いいえ。Approve for meは、承認が必要になった時のレビュー役をユーザーから別のレビュアーエージェントへ替える設定です。sandboxの書き込み範囲やネットワーク境界は広がりません。

代理で承認なら危険な操作も自動で通りますか?

すべてが通るわけではありません。レビュアーは情報流出、認証情報の探索、恒久的なセキュリティ低下、破壊的操作などを確認し、ポリシーに合わない要求を拒否します。自動レビューも完全な安全保証ではありません。

フルアクセスでは毎回の承認がなくなりますか?

公式マニュアル上のFull accessはdanger-full-accessとapproval_policyのneverを組み合わせた状態です。ローカルのsandbox境界と承認停止を外す強い設定なので、通常作業の既定値にはしません。

本番公開やFTPアップロードはどの承認方法が安全ですか?

Ask for approvalを基本にします。アップロード先、対象ファイル、バックアップ、差分、秘密情報、公開後の確認方法を見てから人が承認します。

承認画面で1回だけとセッション中の許可はどちらを選びますか?

その操作だけで足りる場合は1回だけを選びます。同じ安全な操作を繰り返す必要が明確な場合に限ってセッション中の許可を選び、最小の範囲にします。

CLIで承認方法を変更するにはどうしますか?

対話型のCodex CLIで/permissionsを実行し、権限プロファイルを選びます。毎回同じ設定にしたい場合はconfig.tomlのsandbox_mode、approval_policy、approvals_reviewerを確認します。

Approve for meが表示されないのはなぜですか?

表示項目は利用中の画面、設定、カスタム権限プロファイル、組織の管理ポリシーで異なります。ChatGPT WebにはローカルCodexの承認モード選択がないため、デスクトップアプリ、CLI、IDEのどこを使っているかも確認します。