- Codex CLIの2026年新機能でOWASP Top 10対応のセキュリティスキャンが可能
- 脆弱性検出→修正提案→適用まで自動化でき、CI/CDにも組み込める
- サンドボックス環境でセキュアに実行でき、GPT-5.4連携で検出精度が向上
「セキュリティ対策が重要なのはわかっているけど、手が回らない」——これは多くの開発現場で聞く声です。特にSES案件では、限られた工数の中でセキュリティと機能開発の両立を求められることが少なくありません。
2026年3月のアップデートで、Codex CLIにセキュリティスキャン機能が本格搭載されました。従来のSAST(静的解析)ツールとは異なり、AIがコードの文脈を理解した上で脆弱性を検出し、修正パッチまで自動生成してくれます。
この記事では、Codex CLIのセキュリティスキャン機能の使い方から、CI/CDへの組み込みまでを実践的に解説します。
Codex Securityとは?2026年の新機能概要
従来のSAST/DASTツールとの違い
従来のセキュリティスキャンツールとCodex CLIの違いを比較します。
| 機能 | 従来のSAST | Codex CLI Security |
|---|---|---|
| 検出方法 | パターンマッチング | AIによるコンテキスト理解 |
| 誤検知率 | 高い(30〜50%) | 低い(10%以下) |
| 修正提案 | なし or 汎用的 | コードベースに合わせた具体的な修正 |
| 学習 | ルール更新が必要 | モデル更新で自動的に改善 |
| 設定コスト | 高い(ルール定義が必要) | 低い(ほぼゼロコンフィグ) |
最大の違いは誤検知率の低さです。従来のSASTツールは「疑わしいものはすべて報告」するため、大量の誤検知に悩まされていました。Codex CLIはコードの文脈を理解するため、本当に危険な箇所だけを報告してくれます。
Codex CLIとの統合方法
セキュリティスキャンはCodex CLIの標準機能として組み込まれています。追加のインストールは不要です。
# Codex CLIの最新版にアップデート
npm update -g @openai/codex
# バージョン確認(セキュリティ機能はv1.4.0以降)
codex --versionAxios報道(2026年3月6日)によると、この機能はOpenAIが企業向けセキュリティニーズに応える形で開発されたもので、SOC2準拠のセキュリティ要件を満たしています。
セキュリティスキャンの基本的な使い方
プロジェクト全体のスキャン
プロジェクト全体をスキャンするには、以下のコマンドを実行します。
# プロジェクトルートで実行
codex security scan
# 詳細レポートを出力
codex security scan --report detailed
# JSON形式でレポート出力(CI/CD連携用)
codex security scan --format json --output security-report.jsonスキャン結果は、脆弱性の**深刻度(Critical / High / Medium / Low)**ごとに分類されて表示されます。
📊 Security Scan Results
========================
Critical: 0
High: 2
Medium: 5
Low: 8
[HIGH] SQL Injection in src/db/queries.ts:42
→ User input directly interpolated in SQL query
→ Fix available: Use parameterized query
[HIGH] XSS Vulnerability in src/components/Comment.tsx:18
→ Unescaped user content rendered in JSX
→ Fix available: Use DOMPurify sanitization特定ファイル・ディレクトリのスキャン
特定の範囲だけをスキャンすることも可能です。
# 特定ディレクトリ
codex security scan src/api/
# 特定ファイル
codex security scan src/auth/login.ts
# 特定の深刻度以上のみ表示
codex security scan --severity high脆弱性の自動検出と分類
OWASP Top 10への対応
Codex CLIのセキュリティスキャンは、**OWASP Top 10(2025年版)**のすべてのカテゴリに対応しています。
| OWASP カテゴリ | Codex CLI対応 | 検出例 |
|---|---|---|
| A01: アクセス制御の不備 | ✅ | 認可チェック漏れ、IDOR |
| A02: 暗号化の失敗 | ✅ | 平文パスワード保存、弱い暗号化 |
| A03: インジェクション | ✅ | SQLi, XSS, コマンドインジェクション |
| A04: 安全でない設計 | ✅ | レート制限なし、入力検証不足 |
| A05: セキュリティ設定ミス | ✅ | デバッグモード有効、CORS設定不備 |
| A06: 脆弱なコンポーネント | ✅ | 既知の脆弱性を持つ依存関係 |
| A07: 認証の不備 | ✅ | セッション管理の問題 |
| A08: データの完全性不備 | ✅ | 署名検証の欠如 |
| A09: ログ・監視の不備 | ✅ | セキュリティイベントのログ不足 |
| A10: SSRF | ✅ | サーバーサイドリクエストフォージェリ |
依存関係の脆弱性チェック
コード本体だけでなく、依存パッケージの脆弱性もチェックします。
# 依存関係の脆弱性スキャン
codex security deps
# 出力例
📦 Dependency Vulnerabilities
==============================
[CRITICAL] [email protected] → CVE-2024-xxxxx (Prototype Pollution)
→ Upgrade to: [email protected]
→ Auto-fix available
[HIGH] [email protected] → CVE-2025-xxxxx (Path Traversal)
→ Upgrade to: [email protected]
→ Auto-fix available脆弱性の自動修正ワークフロー
修正提案の確認と適用
検出された脆弱性に対して、修正パッチの自動生成と適用が可能です。
# 修正提案を確認(適用前にdiffを表示)
codex security fix --dry-run
# 修正を適用(インタラクティブモード)
codex security fix --interactive
# すべての修正を一括適用
codex security fix --all--interactiveモードでは、各修正について差分を確認してから適用するかどうかを選択できます。
[HIGH] SQL Injection in src/db/queries.ts:42
- const result = db.query(`SELECT * FROM users WHERE id = ${userId}`);
+ const result = db.query('SELECT * FROM users WHERE id = $1', [userId]);
Apply this fix? [y/n/s(skip)]CI/CDパイプラインへの組み込み
GitHub Actionsへの組み込み例です。
# .github/workflows/security.yml
name: Security Scan
on: [push, pull_request]
jobs:
security:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Install Codex CLI
run: npm install -g @openai/codex
- name: Run Security Scan
run: codex security scan --format json --output report.json
env:
OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }}
- name: Check Results
run: |
CRITICAL=$(jq '.critical' report.json)
if [ "$CRITICAL" -gt 0 ]; then
echo "Critical vulnerabilities found!"
exit 1
fi
サンドボックス環境でのセキュアな実行
Codex CLIのセキュリティスキャンは、サンドボックス環境で実行されます。これにより、スキャン対象のコードが外部に送信されるリスクを最小限に抑えています。
- コードはローカルで前処理され、抽象化された形でAPIに送信される
- ファイル全体ではなく、脆弱性パターンに関連する部分のみを分析
- ネットワーク隔離モードで実行可能(
--sandboxオプション)
# 完全サンドボックスモード(ネットワーク隔離)
codex security scan --sandbox strict機密性の高いプロジェクト(金融、医療など)では、--sandbox strictモードの使用を推奨します。
GPT-5.4との連携で精度が向上したポイント
2026年3月のアップデートで、セキュリティスキャンのバックエンドがGPT-5.4に更新されました。これにより、以下の改善が実現しています。
- 文脈理解の向上:複数ファイルにまたがる脆弱性パターンの検出精度が30%向上
- 誤検知の削減:意図的な実装(テストコードのモック等)を誤検知しなくなった
- 修正提案の品質向上:プロジェクトのコーディング規約に合わせた修正パッチを生成
- 多言語対応の強化:Python, JavaScript, TypeScript, Go, Rust, Javaに対応
まとめ|Codex CLIでセキュリティを開発に組み込む
Codex CLIのセキュリティスキャン機能は、セキュリティ対策のハードルを劇的に下げるツールです。
- ゼロコンフィグでOWASP Top 10対応のスキャンが可能
- 誤検知率10%以下で、本当に危険な箇所だけを報告
- 修正パッチの自動生成で、修正工数を大幅に削減
- CI/CDへの組み込みで、継続的なセキュリティチェックを実現
SES現場でセキュリティ対策が求められる案件は増え続けています。Codex CLIのセキュリティスキャンをマスターすることは、エンジニアとしての市場価値を高めることにも直結します。
