ソースコードを外に出さずにAIコーディングエージェントを動かす — Coder Agentsという選択肢

CursorもClaude CodeもCodexも、使えば使うほどひとつの事実が気になってくる。自分のソースコードが、外部のサーバーに送られているということだ。

個人開発なら問題ない。だがエンタープライズの現場では、これが導入の最大のブレーキになる。金融機関のコード、医療システムのロジック、防衛関連のアルゴリズム。どれも「外に出せない」コードだ。

5月6日、Coderがこの問題に正面から取り組むプロダクトをベータ公開した。Coder Agentsだ。

「セルフホスト」が意味すること

Coder Agentsの核心はシンプルだ。AIコーディングエージェントのすべて — コントロールプレーン、オーケストレーション、コード実行 — を顧客の自社インフラ上で動かす。ソースコードもプロンプトも、一行たりとも外部に送信されない。

エージェントはCoderのコントロールプレーンから動作し、コード実行が必要なときだけワークスペースをプロビジョニングする。テストの生成、コードの修正、PRの作成といったタスクを、完全にネットワーク隔離された環境で完結させる。エアギャップ環境にも対応するという。

正直、「セルフホスト型のAIコーディングエージェント」と聞いて最初に思ったのは「セットアップが大変そう」だった。だがCoderはもともとリモート開発環境のプラットフォームとして実績がある。インフラの抽象化は彼らの得意分野だ。

モデル非依存という設計思想

もうひとつの特徴が、モデル非依存であること。Anthropic、OpenAI、Google、AWS Bedrock、あるいはセルフホストのオープンモデル。どのLLMプロバイダーでも使える。中間ルーティングなしで、直接モデルに接続する。

これはCursorやClaude Codeとは根本的に異なるアプローチだ。Cursorは自社のモデルルーティングを通じて最適なモデルを選択するし、Claude CodeはAnthropicのモデルに最適化されている。Coder Agentsは「モデルは顧客が選ぶもの」という立場を取る。

エンタープライズにとっては、これが意外と重要になる。社内で既にAWS Bedrockを使っている企業はBedrockのClaude経由で、GCPを使っている企業はVertex AI経由で、それぞれ既存の契約と権限管理の枠組みの中でエージェントを動かせる。新しいベンダーとの契約交渉が不要になる。

AI Gateway と Agent Firewall

Coderは2月にAI Gateway（旧AI Bridge）とAgent Firewall（旧Agent Boundaries）をGA（一般提供）にしている。

AI Gatewayはエージェントのモデル呼び出しを一元管理するレイヤーで、どのモデルにどのくらいのリクエストが飛んでいるかを可視化できる。Agent Firewallはエージェントの行動を制限するガードレールだ。「このディレクトリには書き込み禁止」「外部APIの呼び出しは許可制」といったルールを設定できる。

Cursor Teamsにもポリシー設定はあるが、Coderのそれはインフラレベルで強制される点が違う。ユーザー側で無効化できない。セキュリティ監査の観点では、この差は大きい。

9月まで無料、だが

Coder Agentsのベータは9月まで使用量制限なしの無料で提供される。フル機能にアクセスできる。

ただし、注意点がある。Coder自体のライセンス費用は別途かかる。CoderはオープンソースのCE（Community Edition）と有償のEnterprise/Premiumがあり、AI GovernanceアドオンやAgent Firewallの完全版はPremiumプランに含まれる。エージェントだけが無料でも、周辺のガバナンス機能には費用が発生する構造だ。

Cursor・Claude Codeとは「レイヤーが違う」

Coder Agentsを既存のAIコーディングツールと同列に比較するのは少し違う。

Cursorはエディタだ。Claude Codeはターミナルエージェントだ。Coder Agentsはインフラだ。レイヤーが異なる。実際、Coder上でClaude CodeやCodexを動かすことも想定されている。CoderのドキュメントにはClaude Code、Codex、Gemini CLIの各エージェントをCoder上で実行する手順が載っている。

つまりCoder Agentsは、既存のAIコーディングツールの「下」に位置する。エージェントの実行環境・ガバナンス・監査証跡を提供するレイヤーだ。

この位置づけは、IT部門やセキュリティチームにとって重要だ。「開発者がCursorやClaude Codeを使うのは止められない。だがその実行環境はCoderで管理する」という運用が可能になる。

向いている組織、向いていない組織

コードを外部に出せない規制産業（金融、医療、防衛）にはCoderの訴求力は明確だ。SOC 2、HIPAA、FedRAMPといったコンプライアンス要件を満たす必要がある組織には、セルフホスト型以外の選択肢がそもそもない。

一方、5人のスタートアップがCoderを導入する意味はほぼない。Cursorの$20/月でエージェントを動かすほうが圧倒的に早いし安い。Coderはインフラの運用コストと人的リソースを投入できる組織向けのプロダクトだ。

---

Coder Agentsの詳細は公式ドキュメント、エンタープライズ向け情報はソリューションページで確認できる。