【元記事】https://zenn.dev/aircloset/articles/65efe9614f8e73
3行まとめ
- AIでアプリ作成が簡単になった非エンジニア社員向けに、安全に社内公開できるSandbox MCPを開発した
- Cloudflare Worker上の自前OAuth・Firestore名前空間分離・専用Cloud Run SAで「実装の正しさに依存しない」4層のセキュリティゲートを構築
- UI Kit統一・自動Dockerfile生成・localStorage/Firestore透過フォールバックで、非エンジニアもAIと1セッション内で作って公開できる
要約
背景・課題
- Claude Code等で非エンジニアもアプリが作れるようになったが、安全に公開するにはクラウド権限・認証・SSL・セキュリティ等の壁がある
- 各々が独立に作るとUIやデータの置き場がバラバラになり社内ツールがカオス化する
アプローチ
- Sandbox MCP:UI Kitで統一デザイン、自動Dockerfile生成+Cloud Runデプロイ、Wildcard DNS+Cloudflare Workerで即時公開
- SandboxDB SDKでlocalStorage↔Firestoreを自動切り替え、データはFirestore named DBで物理分離
- 4層セキュリティ:Worker OAuth(公開画面ゲート)・MCP OAuth(デプロイ操作ゲート)・名前空間分離(データゲート)・Cloud Run SA+IAM(実行権限ゲート)
成果・ポイント
- 公開URLは
sbx-{nickname}--{app-name}.example.comでオーナーシップが明確、社内SSO必須 - MCPツールのdescriptionにAI向けrunbookを埋め込み、人間に追加質問せず自律的に正しい使い方を選択させる
- 大規模アプリは既存自前Git Serverへのgit pushでデプロイ、トークン消費とサイズ制限を回避