Loop Engineering 時代の多層防御サンドボックスを本気で考えてみた

• URL: https://zenn.dev/miroscular/articles/heartgarden-multilayer-sandbox
• 日付: 2026-06-25
• Tier: Tier 3
• 要旨: Loop Engineering の自動実行環境で Claude Code をエンタープライズレベルで安全に運用するため、プロンプトインジェクション発生を前提に設計した多層防御アーキテクチャ HeartGarden。コンテナ FS 分離 + Bedrock Guardrails 入口検査 + mitmproxy DLP 出口検査 + 秘密鍵分離により、知らない秘密は漏らしようがない構造を実装し、速度と安全性の両立を狙う。脅威モデル明示、防御層マトリックス、実装課題（偽陽性・証明書相性・Podman 永続性）も記録。

詳細

HeartGarden は Podman + Workspace コンテナで Claude Code を隔離し、二系統プロキシ（guardrails-proxy + egress-proxy）でプロンプトインジェクション対策を多層化。

入口層: Bedrock Guardrails がすべての LLM リクエストを自動検査し、言い換えプロンプトインジェクション検知。完全防止は難しいため、下位層を前提。

出口層: mitmproxy ベース egress-proxy による 二段 DLP — ホワイトリスト (第一段) + 正規表現・Shannon エントロピー・AI DLP (第二段)。GitHub/npm など許可ドメイン経由のキー流出防止として機能。

鍵分離層: Workspace に API キーを置かず、Bifrost (LLM Gateway) と egress-proxy が認証肩代わり。Virtual Key 認証で知らない秘密は漏らせない構造。SSH 鍵やクラウド認証情報もマウント範囲最小化で遮断。

FS 分離層: コンテナ外ファイルシステム保護 + ホスト重要ファイル（/.ssh、/.aws など）への到達経路遮断。

脅威マトリックス: 機密漏洩系に複数層が必要。特に「言い換えによる漏洩誘導」は鍵分離のみが ◎。

永続開発環境: 名前付きボリューム + mise でツール構成再現。pc 再起動後も同一状態で再開。

実装課題: AI DLP 偽陽性 (ランダム文字列誤検知)、mitmproxy 証明書ピン留め相性、Podman 永続性の VM/Incus との比較、Claude Pro/Max などサブスクリプション課金未対応。