AI エージェントがコードを生成し、実行し、結果を検証するループを高速に回す時代が本格化しています。このワークフローを支えるのが「Sandbox サービス」です。2024〜2026年にかけて Daytona、Cloudflare Sandbox SDK、Google Agent Sandbox、Vercel Sandbox と新サービスが続々と登場し、市場は急拡大しました。
本記事では、主要な Sandbox サービスを isolation 技術 と 日本リージョン対応 を中心に比較し、料金体系や用途別の選定指針もあわせて紹介します。
なぜ今 Sandbox が注目されるのか
Sandbox への注目が高まっている背景には、3 つのトレンドがあります。
- AI エージェントのセッション長期化 — E2B の報告によると、Sandbox の実行時間は 2024年から2025年にかけて 10 倍以上に伸びました。短いコードスニペットの実行から、数時間にわたる開発セッションへと用途が拡大しています
- コンテナセキュリティへの懸念 — 2024年の「Leaky Vessels」CVE や 2025年の「NVIDIAScape」GPU コンテナエスケープにより、組織が microVM や gVisor へ移行する動きが加速しています
- Firecracker の事実上の標準化 — E2B、Vercel Sandbox、CodeSandbox、Fly.io など主要サービスが Firecracker またはその派生を採用し、isolation レイヤーの収束が進んでいます
isolation 技術の比較
Sandbox 選定で最初に検討すべきは isolation 境界です。現在主流の 6 つのアプローチを整理します。
| アプローチ | isolation 境界 | コールドスタート | セキュリティ強度 | 適したユースケース |
|---|---|---|---|---|
| Firecracker microVM | ハードウェア (KVM) | 約 125 ms | 最強 | 信頼できないコードの実行 |
| gVisor | ユーザー空間カーネル | 50〜100 ms | 強 | セキュリティとパフォーマンスの両立 |
| V8 Isolates | 言語 VM | 1 ms 未満 | 良(多層防御) | 高密度エッジコンピューティング |
| WebAssembly | 言語 Sandbox | 1〜20 ms | 良(deny-by-default) | プラグイン、エッジファンクション |
| ブラウザ Sandbox | ブラウザセキュリティモデル | ミリ秒 | 非常に強(範囲限定) | JS/Node.js 実行 |
| コンテナ (OCI) | OS 名前空間 | ミリ秒 | 弱(カーネル共有) | 信頼済みコードのみ |
Firecracker microVM — ゴールドスタンダード
AWS が開発した Firecracker は 約 5 万行の Rust で書かれた VMM です(QEMU の約 200 万行の C と比較)。各 Sandbox が独自の Linux カーネルを持ち、ハードウェア仮想化(KVM)による完全な isolation を実現します。起動は約 125 ms、メモリオーバーヘッドは 5 MiB 未満。既知のプロダクション環境でのエスケープ事例はありません。
AWS Lambda では 数兆回の呼び出し に利用され、E2B、CodeSandbox、Fly.io、Vercel Sandbox もこの技術を基盤としています。
gVisor — セキュリティとパフォーマンスの中間地点
Google が開発した gVisor (runsc) は、Go で書かれたユーザー空間カーネルです。Linux システムコールの 約 70〜80% を再実装して傍受します。Ant Group のプロダクションデータによれば、アプリケーションの 70% が 1% 未満のオーバーヘッド で動作します。Modal や GKE Sandbox がこのアプローチを採用しています。
V8 Isolates — 極限の低レイテンシ
Cloudflare Workers や Deno Deploy が採用する方式です。共有プロセス内で数千の Isolate を実行し、コールドスタートは 1 ms 未満。Cloudflare はハードウェア Memory Protection Keys(MPK)やプロセスレベルの seccomp Sandbox を追加で適用しています。ただし、V8 エンジンの脆弱性が見つかった場合の横断リスクは理論上存在します。
主要サービスの比較
コード実行・プレビュー環境
Vercel Sandbox
Firecracker microVM で動作する AI エージェント向け実行基盤です。Amazon Linux 2023 ベースで、最大 8 vCPU / 16 GB RAM を利用できます。
特徴的な機能はスナップショット です。実行中の状態をキャプチャし、そこから新しいインスタンスを数ミリ秒で起動できるため、依存関係のインストール済み環境の再利用が可能です。
| 項目 | Hobby(無料枠) | Pro / Enterprise(従量課金) |
|---|---|---|
| CPU 実行時間 | 5 時間/月 | $0.128/時間 |
| メモリ | 420 GB 時間/月 | $0.0106/GB 時間 |
| Sandbox 作成回数 | 5,000 回/月 | $0.60/100 万回 |
| 最大実行時間 | 45 分 | 5 時間 |
| 最大同時実行数 | 10 | 2,000 |
日本リージョン:不可(iad1 固定)。Vercel のエッジネットワークは東京(hnd1)・大阪(kix1)に拠点がありますが、Sandbox の計算リソースは米国東部に集約されています。日本からの利用では片道約 150〜200 ms のレイテンシが発生します。
Currently, Vercel Sandbox is only available in the iad1 region.
Cloudflare Sandbox SDK
2025年6月に登場した Cloudflare Sandbox SDK は、V8 Isolates ではなく Cloudflare Containers をベースとしたフル Linux 環境を提供します。Ubuntu 22.04 ベースで、Python・Node.js・シェルコマンドが利用可能です。
R2 バケットのマウントによる永続ストレージや、リクエストがない間はスリープする「スケール・ツー・ゼロ」にも対応しています。
| 項目 | 単価 |
|---|---|
| メモリ | $0.0000025/GiB 秒(約 $6.48/GB 月) |
| vCPU | $0.000020/vCPU 秒(約 $51.84/vCPU 月) |
| ディスク | $0.00000007/GB 秒(約 $0.18/GB 月) |
日本リージョン:条件付き。Cloudflare は東京・大阪・福岡など日本国内に広範なネットワーク拠点を持ちます。コンテナの起動は「最寄りの空きインスタンス」が選ばれる best-effort 方式で、固定はできません。Data Localisation Suite を適用すれば日本国内での処理に限定できますが、コンテナの厳密なリージョン固定には Durable Objects の Jurisdiction Restrictions の併用が必要です。
StackBlitz WebContainers
WebAssembly 上に構築されたマイクロ OS が ブラウザタブ内で完結 して動作します。サーバーサイドのリソースを一切使わないため、リージョンの概念がありません。Node.js 互換ランタイム・仮想ファイルシステム・パッケージマネージャ(npm, pnpm, yarn)を含み、パッケージインストールはローカル比で最大 10 倍高速と謳われています。
制約として、Chromium ベースのブラウザが必須(Firefox/Safari はベータ)、ネイティブ C/C++ バインディングや生ソケットは非対応です。
AI エージェント向け実行環境
Novita AI Sandbox
2025年7月に正式リリースされた、E2B の直接的な競合となる AI エージェント向け Sandbox です。200 ms 未満の起動、最大 24 時間のセッション、50 の並列 Sandbox に対応しています。E2B SDK との互換性を謳っており、既存の E2B 統合からの移行が容易です。ブラウザ操作(Browser Use)・GUI 操作(Computer Use)・VNC によるビジュアル出力にも対応しています。
料金は E2B Pro より約 30% 低コストで、月額サブスクリプション不要の秒単位従量課金です。20 GB の無料ストレージが付属します。
日本リージョン:未確認。リージョンに関する公開情報はありません。Enterprise プランでは任意のクラウドやプライベートインフラへのデプロイが可能と記載されています。
E2B
AI エージェント向け Sandbox として最も広く採用されているサービスで、Fortune 100 の約 88% が登録しています。Firecracker microVM フォークにより約 150 ms で起動し、月間 Sandbox 作成数は 4 万から 1,500 万 へと 1 年で急増しました。
コードインタプリタ(e2b-code-interpreter)やデスクトップ操作(e2b-desktop)など専用パッケージも提供されています。
日本リージョン:不可。マネージドサービスは米国のみです。エンタープライズ BYOC(Bring Your Own Cloud)を利用すれば AWS ap-northeast-1 へのデプロイは理論上可能です。無料枠は $100 のクレジットです。
Daytona
2025年初頭に開発環境から AI エージェントインフラへピボットし、2026年2月に $24M の Series A を調達しました。90 ms 未満の Sandbox 作成 を謳っていますが、デフォルトの isolation は 標準の Docker コンテナ です。Kata Containers や Sysbox は明示的な設定が必要なため、マルチテナントの本番環境では注意が必要です。
Linux・Windows・macOS デスクトップの Sandbox と GPU サポートが特徴です。
日本リージョン:不可。公開リージョンはインド・EU・US のみ。無料枠は $200 のクレジットです。
Modal
GPU ワークロードに最も強いサービスで、T4 から B200 まで秒単位課金で利用可能です。gVisor コンテナによる isolation で、秒間 1,000 Sandbox 作成・50,000 以上の同時実行にスケールします。
日本リージョン:未確認。APAC の料金係数(1.25 倍)は存在しますが、具体的な日本ロケーションは公開されていません。無料枠は月 $30 のクレジットです。
Riza
WebAssembly ランタイムにより 10 ms 未満のコード実行レイテンシ を実現する異色のサービスです。Sandbox の起動待ちが不要で、月間 8.5 億以上のリクエストを処理しています。Python・JavaScript・TypeScript・Ruby・PHP に対応しますが、OS レベルのアクセスやファイルシステムの永続化はできません。
インフラ / VM プラットフォーム
Fly.io
Firecracker microVM を 18 のグローバルリージョン で提供し、そのなかに東京(nrt) が含まれます。任意の Docker コンテナイメージをデプロイでき、永続 NVMe ボリュームや WireGuard プライベートネットワーキングに対応しています。
日本リージョン:利用可。Vercel Sandbox と同等の Firecracker isolation を日本国内で実行できる数少ない選択肢です。秒単位課金で、共有 256 MB インスタンスは月額約 $1.94 です。
日本リージョン対応の全体像
調査した全サービスの日本リージョン対応をまとめます。
| サービス | 日本リージョン | APAC カバレッジ | 補足 |
|---|---|---|---|
| Fly.io | ✅ nrt(東京) | Singapore, Sydney, Mumbai | Firecracker VM を日本で直接実行 |
| Cloudflare Sandbox SDK | △(best-effort) | 330 以上のグローバル拠点 | 最寄り起動だが固定不可。DLS で日本限定は可能 |
| StackBlitz | N/A(ブラウザ内実行) | N/A | サーバー不要 |
| Vercel Sandbox | ❌ iad1 固定 | Edge は東京あり | Sandbox は米国のみ |
| E2B | ❌ | ❌ | BYOC で理論上可能 |
| Daytona | ❌ | India のみ | — |
| Modal | ❓ | APAC 料金係数あり | 具体的な拠点未公開 |
| CodeSandbox | ❓ | EU / US | Together AI 買収後不明 |
| Riza | ❌ | — | WebAssembly ランタイム |
| Novita AI | ❓ | — | リージョン情報未公開 |
用途別の選定ガイド
「日本リージョン」と一口に言っても、目的によって必要な要件は異なります。
- データ主権 / 規制対応 — 日本国内でデータを処理・保管したい
- レイテンシ最適化 — 国内ユーザーや国内 DB との往復を最小化したい
- 災害対策 — 日本リージョン内での冗長構成を組みたい
目的に応じた選定の分岐を以下に整理します。
実行コンピュートを東京に固定したい場合
長時間稼働アプリ / VM → Fly.io(nrt)が最有力。Firecracker による強力な isolation を日本国内で利用できます。
信頼できないコードを安全に実行したい場合
Vercel Sandbox と Cloudflare Sandbox SDK が設計思想として最も合致します。ただし Vercel は iad1 固定、Cloudflare は best-effort のため、日本リージョン固定とはトレードオフになります。
日本リージョンの Firecracker 環境が必要なら、Fly.io 上でセルフホストの isolation 環境を構築するか、AWS 上で Firecracker / gVisor を直接運用するアプローチが現実的です。
グローバル分散でよい場合
Cloudflare Sandbox SDK のような「最寄りの空きインスタンスで起動」するモデルがシンプルです。リージョン固定ができない前提でアーキテクチャを設計する必要があります。
ブラウザ内完結でよい場合
StackBlitz WebContainers はサーバーリソースを使わないため、リージョンの制約がありません。JS/Node.js エコシステムに限定される点が許容できれば、最もシンプルな選択肢です。
料金比較のポイント
各サービスの課金モデルは大きく異なります。
| サービス | 課金モデル | 無料枠 |
|---|---|---|
| Vercel Sandbox | アクティブ CPU 時間 | 月 5 CPU 時間 / 5,000 作成 |
| Cloudflare Sandbox | 稼働時間(10 ms 単位) | Workers Paid $5/月〜 |
| Fly.io | 秒単位(VM 稼働時間) | 無料枠なし |
| E2B | 秒単位(約 $0.05/時間) | $100 クレジット |
| Daytona | クレジット制 | $200 クレジット |
| Modal | 秒単位(GPU 対応) | 月 $30 クレジット |
| Novita AI | 秒単位(vCPU + メモリ) | 20 GB ストレージ無料 |
Vercel の「アクティブ CPU 時間」課金は、I/O 待ちの多い処理ではコスト効率が高くなります。一方、Fly.io は VM の稼働時間に対する課金のため、アイドル管理(autostop/autostart)の設計が重要です。
データ保護とコンプライアンス
日本の個人情報保護法(APPI)や業界ガイドラインでは、データの国外移転に適切な管理が求められます。
Vercel Sandbox が米国(iad1)に集約されている事実は、機密性の高い国内データを扱う際にコンプライアンス上の課題となり得ます。これに対し、Fly.io のように日本国内で Firecracker VM を直接実行できるプラットフォームや、Cloudflare の Data Localisation Suite で処理場所を限定できるプラットフォームは、法的適合性の面で優位です。
エンタープライズ領域では、単なる isolation 技術(Firecracker vs Containers)の選択だけでなく、データの物理的な処理場所を日本国内に限定できるか が導入の分水嶺になります。
まとめ
Sandbox 市場は isolation 強度で 3 つの層に分かれています。
- Firecracker microVM(E2B, Vercel, CodeSandbox, Fly.io)— 最強のセキュリティ
- gVisor(Modal, GKE Sandbox, OpenAI)— パフォーマンスとセキュリティのバランス
- V8 Isolates / Wasm(Cloudflare Workers, Riza)— 最低レイテンシ
※ Cloudflare Sandbox SDK は V8 Isolates ではなく Containers ベースです。Cloudflare Workers が V8 Isolates を採用しています。
日本リージョンでの実行が必要な場合、選択肢は限られます。
| ユースケース | 推奨 | 日本リージョン |
|---|---|---|
| AI エージェント開発(Vercel エコシステム) | Vercel Sandbox | ❌(iad1 のみ) |
| 低レイテンシ・国内完結型 | Fly.io | ✅(東京) |
| データ分析・エッジ統合 | Cloudflare Sandbox SDK | △(best-effort) |
| GPU ワークロード | Modal | ❓(APAC 未公開) |
| ブラウザ内完結 | StackBlitz | N/A |
| AI エージェント(E2B 互換・低コスト) | Novita AI | ❓(未公開) |
Vercel Sandbox は SDK の完成度とスナップショット機能で最も洗練されていますが、日本リージョンの欠如は現時点では避けられない制約です。国内エンドユーザーへの応答速度やデータレジデンシーを重視するなら、Fly.io や Cloudflare が現実的な選択肢となります。
サービスの状況は急速に変化しており、CodeSandbox は Together AI に買収されるなど再編が進んでいます。導入判断時には各サービスの最新ドキュメントや比較記事を確認してください。
以上、AI エージェント向け Sandbox サービスの比較を、現場からお送りしました。