MCPサーバーの人気が高まるにつれ、リスクも増大しています。これらのリスクに対処するため、多くのベンダーがMCPサーバーの利用を保護する製品を提供し始めています。
Model Context ProtocolはAIエージェントがデータソースに接続できるようにしますが、この標準の最初のバージョンは深刻なセキュリティが欠如していました。過去数ヶ月で、多くのベンダーがこの問題の解決に乗り出しました。技術は今や本格導入に耐えうる状態なのでしょうか、それともまだ運用には早いのでしょうか?
コアプロトコル側でもいくつか進展がありました。3月にはOAuth認証のサポートが追加され、6月にはAuth0、Okta、または企業独自のアイデンティティ管理システムなどのサードパーティ認証サーバーのサポートが追加されました。
MCP標準化団体はまた、悪意のあるMCPサーバーが正規サーバーを装う問題に対処するため、9月に公式のMCPレジストリを立ち上げました。
しかし、依然として重大なセキュリティギャップが残っています。例えば、認証はオプションであり、システムはプロンプトインジェクション、ツールポイズニング、トークン窃取、サーバー間攻撃、メッセージ改ざんなどに脆弱です。
エージェント型AIシステムの構築で競争優位を目指す企業は、これらのツールが企業の秘密や機密データを漏洩しないように多くのセキュリティ対策を講じる必要があります。
そして、ここ数ヶ月でベンダーも対応を強化しています。現在では、主要なAIプラットフォームだけでなく、コア技術プロバイダー、既存のサイバーセキュリティベンダー、新興企業もセキュリティインフラを追加しています。
MCPサーバーの利用形態ごとの課題
MCPサーバーの導入には主に3つのタイプがあり、それぞれに固有のセキュリティ課題があります。
1つ目は、企業が自社で管理するインフラ上に内部MCPサーバーを設置し、内部データやツールにアクセスし、同じく自社管理のAIエージェントが利用する場合です。リスクの低い利用例としては、従業員がAIエージェントを使って製品説明などの非機密文書やデータベースを検索することが挙げられます。よりリスクの高いケースは、顧客データへのアクセスを許可する場合です。
2つ目は、企業が自社のAIエージェントに外部データソースやツールへのアクセスをMCPサーバー経由で許可する場合です。この場合、サーバーやデータソースが攻撃者に侵害されていると、AIエージェントが悪意のある指示を受け取るリスクがあります。
3つ目の導入タイプは、内部MCPサーバーが企業のデータやツールを外部に公開する場合です。これも、MCPサーバーが製品説明やユーザーマニュアルへのアクセスを提供するだけならリスクは低いですが、外部パートナーが接続して注文や請求書の提出、支払い先の変更などができる場合は非常にリスクが高くなります。
「MCP導入には段階的な方法もあります」と、ノーコードAIプラットフォームPepperMillの共同創業者兼CEO、Anh Hatzopoulos氏は言います。例えば、公開LinkedIn情報を取得するMCPサーバーは、金融取引を扱うものより安全です。「資金移動に関しては、MCPのセキュリティ問題を考えると、今これに積極的に取り組んでいる人がいるのは驚きです。しかし、誰かがやらなければならず、誰かがそのセキュリティ問題を発見することになるでしょう。」
実際、多くのテック企業、特にSaaSベンダーにとって、MCPサーバーはすでに必須となっています。「彼らは待てません」とクラウドコンサルティング会社AllCloudのチーフストラテジーオフィサー、Peter Nebel氏は言います。「待っていれば、競合が先にMCPの優位性を手に入れてしまうでしょう。」
すでにPayPal、Notion、HubSpot、CloudFlare、Atlassian、Slack、GitHubなどが公式MCPサーバーを一般公開しています。サードパーティによるMCPサーバーも構築されています。例えばZapierは現在8,000以上のアプリへのMCP接続を提供しています。
ベンダーが公式のMCPサーバーを提供していない場合、他の誰かがベンダーのAPIを利用した非公式サーバーを立ち上げることがあります。例えば、LinkedIn、Spotify、eBay、YouTube、AWS、Zillowなど、多くのプラットフォーム向けのMCPサーバーがすでに存在し、その信頼性はさまざまです。開発者やパワーユーザーはこれらをダウンロードしてAIエージェントに利用させていますが、こうした非公式MCPサーバーの出所や管理者、裏で何をしているのかは必ずしも明らかではありません。
Pulse MCPは6,000以上のサーバーを掲載しています。MCPマーケットプレイスのMCP.soは現在16,000以上をリストアップ。GitHubで「MCP server」を検索すると45,000件以上の結果が表示されます。
MCPセキュリティプラットフォームで注目すべきポイント
企業が自社エージェントをサードパーティMCPサーバーに接続する場合、自社MCPサーバーをサードパーティエージェントに接続する場合、自社サーバーと自社エージェントを接続する場合、いずれもデータ漏洩やプロンプトインジェクションなどのセキュリティリスクが存在します。
そのため、認可や権限の確認、きめ細かなアクセス制御、すべての操作のログ取得が必要になるとAllCloudのNevel氏は述べています。
以下は、現在ベンダーが提供しているその他のMCPセキュリティツールです:
- MCPサーバー検出:企業の従業員が独自にMCPサーバーをダウンロードして実行するのは簡単です。これらのサーバーは生産性を向上させる可能性もありますが、新たな攻撃経路にもなり得ます。一部のMCPセキュリティベンダーは、環境内のシャドーMCPサーバーを検出するスキャンサービスを提供しています。
- ランタイム保護:AIエージェントはMCPサーバーと平易な英語で通信します。これによりプロンプトインジェクションやデータ漏洩、その他のセキュリティ問題が発生する可能性があります。多くのMCPセキュリティベンダーは、これらや類似の問題を監視するツールを提供しています。
- 認証とアクセス制御:コアMCPプロトコルは現在OAuthをサポートしていますが、それは始まりに過ぎません。追加のセキュリティとして、ベンダーはゼロトラストや最小権限制御フレームワークを提供しています。
- ログと可観測性:ベンダーはMCPログの収集、セキュリティイベントやポリシー違反のアラート、コンプライアンスデータの収集、既存のセキュリティインフラへのログ連携などのプラットフォームを提供できます。
以下では、MCPセキュリティツールを提供するベンダーを3つのセクションに分けて紹介します。
ハイパースケーラー
特定のクラウドプラットフォームに全面的に依存している企業にとっては、そのハイパースケーラーが提供するMCPツールを利用するのが手軽な選択肢となります。
AWSは7月に独自のエージェント型AIプラットフォームを発表しました。Amazon Bedrock AgentCoreには、MCPを含む複数のプロトコルをサポートするゲートウェイ、アイデンティティ管理システム、可観測性が含まれています。10月には、ゼロトラストベストプラクティスによるMCPサーバーのセキュリティガイドラインも発表されました。
Microsoftは4月に基本的なAzure MCPサーバーを発表し、5月にはAzure Key Vaultのサポートを追加、6月にはAzure AI Foundry Agent ServiceでのMCPサポートを発表、8月にはAzure API Managementのサポートを発表しました。Azure API Managementにより、MCPサーバーはリソースへの安全かつガバナンスされたアクセス、可観測性、制御を得られます。
10月、MicrosoftはMicrosoft Agent Frameworkを発表しました。これはMCPとAgent2Agentプロトコルの両方をサポートし、プロンプトインジェクション対策、PII検出、マルチエージェントの可観測性など、システムが本来の動作をしているかを保証します。
Google Cloudは4月に認証と可観測性を備えたMCP Toolbox for Databasesを発表しました。9月にはGoogle Cloud Platform上でMCPサーバーを保護するためのリファレンスアーキテクチャを公開し、集中型MCPプロキシアーキテクチャを採用しています。Google Identity PlatformでIDを検証しOAuthトークンを発行、Model Armorでプロンプトインジェクションや脱獄、機密データをチェック、Secret ManagerでAPIキーや認証情報、機密設定値を保管します。Artifact RegistryはMCPサーバーイメージを保存し、デプロイ前に脆弱性スキャンを行います。
Googleはまた、MCPサーバーを分離し、ラテラルムーブメントのリスクを減らすためにネットワークレベルのセキュリティ制御を推奨しています。最後に、GoogleのSecurity Command Centerは不正アクセスやデータ流出の試みを検出できます。
主要テクノロジープロバイダー
Cloudflare:CloudflareはMCP Server Portalsを発表し、企業がすべてのMCP接続を一元管理・保護・監視できるようにしました。この機能は同社のSASE(セキュアアクセスサービスエッジ)プラットフォームCloudflare Oneの一部です。
Palo Alto Networks:同社は6月にPrisma AIRS MCP Serverを発表しました。これはAIエージェントとMCPサーバーの間に位置し、データ内の悪意あるコンテンツを検出し、プロンプトインジェクション攻撃やWeb・DNS攻撃から保護します。もう一つのツール、Cortex Cloud WAASのMCP Securityはネットワーク境界に配置され、MCP通信の悪意ある活動を検査します。
SentinelOne:SentinelOne Singularity Platformは、MCPインタラクションチェーンの可視化、アラート、自動インシデント対応をローカル・リモート両方のMCPサーバーに提供します。
VMware:8月、親会社BroadcomはVMware Cloud Foundationがエージェント型ワークフロー、特にMCPサーバーのセキュリティを強化することを発表しました。
スタートアップ
Acuvity:Acuvityは、最小権限実行、不変ランタイム、継続的な脆弱性スキャン、認証、脅威検出によってMCPサーバーを強化し保護します。
Akto:APIセキュリティ企業Aktoは6月にMCPセキュリティソリューションを発表し、MCPサーバー専用の初のセキュリティソリューションを謳っています。企業環境に展開されたMCPサーバーを発見するツール、セキュリティテストツール、監視・脅威検出を含みます。
Invariant Labs:同社のMCP-ScanはMCPサーバーの静的解析とリアルタイム監視を行い、ツールポイズニング攻撃、ラグプル、プロンプトインジェクション攻撃を検出します。商用製品Invariant GuardrailsはAIエージェントとMCPサーバーの間にプロキシとして配置され、プロジェクトインジェクションやその他のMCPセキュリティ脅威から保護し、PIIの外部メールアドレス送信禁止などのルールを適用できます。
Javelin:同社のAI Security Fabricプラットフォームは、リスクのあるサーバーのスキャンやエージェントツール・データリクエストのブロック・レビュー要求などのMCPセキュリティ機能を含みます。さらに、MCPガードレールはリアルタイムで安全でない呼び出しやポイズンド入力を阻止し、プロンプトインジェクションやデータ漏洩を防ぎます。
Lasso Security:オープンソースのMCPゲートウェイで、MCPサーバーの設定やライフサイクル管理、MCPメッセージ内の機密情報のサニタイズが可能です。
MCPTotal:安全なサンドボックス環境でMCPサーバーの管理・実行・監視を行うハブ、内部・外部MCPサーバーと連携するAIワークフロー保護ゲートウェイ、AIツール利用ポリシーの監視・強制を行うガバナンストールを提供します。
Noma:最近発表されたAI Agent Securityソリューションは、MCP接続の発見、脆弱性スキャン、アクセス方針の適用、リアルタイムプロンプトガードレール、監査証跡などをサポートします。
Obot:Obot MCPゲートウェイは、MCPサーバーの管理、セキュリティアクセス方針の定義、利用状況やコンプライアンスの追跡ができるオープンソースプラットフォームです。
Operant:OperantのMCP GatewayはMCPツールを自動的にカタログ化し、AIエージェントを発見し、エージェントとサーバー間のトラフィックを追跡してMCPの死角を排除します。また、ツールポイズニングや脱獄、不正アクセスなどの脅威ベクトルを特定し、データ漏洩を防ぎ、企業全体のエージェントとツールに対する一元的なガバナンスフレームワークを確立できます。
Solo:同社のAgent Gatewayは8月にMCPとA2Aプロトコルのサポートを追加し、悪意あるプロンプトやデータ漏洩から保護、強力な認証の強制、すべてのインタラクションのログ・トレースの一元化を実現しました。
Teleport:同社のInfrastructure Identity Platform向けSecure MCPツールは、企業が人・機械・ワークロード・デバイス・AIのID管理を統一できるようにします。MCP Securityはゼロトラストと最小権限環境でID・アクセス制御・ガバナンス・監査ツールを提供します。
