MCPはエージェンティックAIを加速させる一方で、新たなセキュリティリスクももたらしている

Model Context Protocol（MCP）は、2024年後半にOpenAIの最大の競合であるAnthropicによって開発されました。AIモデルをさまざまなデータソースやツールに標準化された方法で接続する手段として非常に優れていたため、OpenAIも標準として採用し、他の大手AI企業や3大ハイパースケーラーも同様に採用しています。

わずか数か月でMCPは急速に普及し、現在では数千のMCPサーバーがさまざまなベンダーから提供され、AIアシスタントがそれらのデータやサービスに接続できるようになっています。また、エージェンティックAIがITの未来と見なされる中、MCPや関連プロトコルであるACPやAgent2Agentの企業での利用は今後ますます拡大するでしょう。

しかし、AI導入を急ぐ組織が気付き始めているように、MCPのようなイノベーションには重大なリスクも伴います。

5月には、ワークマネジメントベンダーのAsanaが、AIアシスタントがAsana Work GraphにアクセスできるMCPサーバーをリリースしました。このサーバーを通じて、AIアシスタントは組織のAsanaデータにアクセスし、レポートを生成したり、タスクを作成・管理したりできました。しかし1か月後、セキュリティ研究者がバグを発見し、他のユーザーのデータが閲覧できてしまう可能性があることが判明しました。同じ月、AtlassianもMCPサーバーをリリースしましたが、セキュリティ研究者が脆弱性を発見し、攻撃者が悪意のあるサポートチケットを送信して特権アクセスを得ることができることが分かりました。

このリスクがあまりにも大きいため、OWASPはAtlassianの攻撃レポートが公開された同日にMCP Top 10プロジェクトを立ち上げましたが、本稿執筆時点ではOWASPリストはまだ空欄です。

同じ週に、セキュリティ専門家が懸念していたいくつかの脆弱性に対応するMCPのアップデートがリリースされました。

ここでは、MCPの詳細と、CISOが知っておくべきリスク、対策、そして組織のAIエージェントがますます依存するMCPサーバーのセキュリティ強化に向けた新たなソリューションについて解説します。

Model Context Protocol（MCP）とは？

MCPは一種のAPIですが、従来のようにコンピュータープログラム同士が標準化された方法で通信するのではなく、AIエージェントやチャットボットがデータベースやツール、その他のリソースと通信できるようにします。

以前は、企業がLLMにデータを渡したい場合、そのデータをベクターデータベース化し、関連するコンテキストをプロンプトに追加してAIに渡していました。これはRAG、すなわち検索拡張生成と呼ばれ、ベクターデータベースとアプリケーションのビジネスロジックへのカスタム統合が必要でした。

MCPサーバーはこの状況を一変させました。

複数の統合を行う代わりに、開発者はデータベースの前にMCPサーバーを設置するだけで、AIエージェントは必要なときに必要なデータを取得でき、追加のプログラミングは不要です。AnthropicはすでにAtlassian、Cloudflare、Intercom、Linear、PayPal、Plaid、Sentry、Square、Wokato、Zapier、Invideo向けのプリビルトMCPサーバーを発表しています。これはコンシューマー向けClaude用です。Claude Codeを利用する開発者は、どこにあるMCPサーバーにもアクセスできます。

OpenAIも5月下旬にCloudflare⁠、HubSpot⁠、Intercom、PayPal、Plaid、Shopify⁠、Stripe、Square、Twilio、ZapierなどへのMCPサーバー接続対応を発表しました。しかし、開発者はOpenAIのResponses APIを使えば、どこにあるMCPサーバーにもOpenAIのモデルを接続できます。

企業はMCPサーバーを利用して、自社データを自社のAIプロセスに公開したり、自社データを外部ユーザーに公開したり、または公開情報源や機能に接続したりできます。

これらすべては関係者全員に重大なリスクをもたらしますが、この技術があまりにも有用なため、多くの企業が導入を進めています。

しかも、導入しているのはテック企業だけではありません。製造業のYageo Groupもすでにこの技術の導入を検討しています。その一部は最近買収した子会社によるものです。「そして、私が今働いている親会社も、そのガバナンス拡大を検討しています」と、Yageoの情報セキュリティ運用マネージャーであるTerrick Taylor氏は語ります。

しかし彼は、データ漏洩を含むセキュリティ上の影響を懸念しており、さまざまな拠点で多くのアプリケーションが構築されているため、対応が追いつかないと話します。「そのうち私の髪は白髪になってしまいそうです。」

MCPサーバーのリスクを軽減するには

MCPサーバーの利用については、開発者が個人の生産性向上のために使う場合と、企業が本番用途で導入する場合とでは大きな違いがあります。

Asperitas Consultingのアプリケーション変革担当プリンシパルであるDerek Ashmore氏は、企業顧客はMCPの導入を急がず、技術がより安全になり、主要なAIベンダーが本番環境向けにMCPをサポートするまで待つことを勧めています。

問題の一つは、MCPのリスクの中にはMCPサーバーを安全に展開することで排除・軽減できるものもありますが、MCPプロトコル自体に組み込まれているものもあることです。Equixlyによれば、MCPプロトコル仕様はURLにセッション識別子を含めることを義務付けており、これはセキュリティのベストプラクティスに反しています。また、MCPにはメッセージ署名や検証の必須メカニズムがなく、メッセージの改ざんが可能です。

「MCPサーバーはまだセキュリティ成熟度のサイクルの途中にあり、この導入段階では特に脆弱です」とEquixlyのCTO、Alessio Della Piazza氏はブログで述べています。

これらのプロトコル上の問題の一部は、最新のMCPプロトコルアップデートで対処されました。

MCPサーバーは現在OAuthリソースサーバーとして分類され、Equixlyが指摘した認証の問題の一部が解決されました。また、新たにリソースインジケータの要件が追加され、攻撃者によるアクセストークンの取得を防ぐことができます。

プロトコルにはバージョンヘッダーの必須化も導入され、どのバージョンのMCPサーバーが稼働しているかの混乱を減らすのに役立ちます。

これらの変更は、セキュリティ研究者が指摘したすべての問題を解決するものではなく、すでに展開されているすべてのMCPサーバーを即座に修正するものでもありませんが、コミュニティが正しい方向に進んでいる兆しです。

また、MCPサーバーを導入し認可フローを実装する企業向けに、新たなMCPセキュリティベストプラクティスも公開されています。

それでも不十分な場合は、Anthropicも新規MCPサーバー構築企業向けにMCPサーバーのベストプラクティスページをサポートポータルに追加しています。

また、サードパーティのMCPサーバーを導入する組織向けに、CyberArkは以下のアドバイスを提供しています：

• 新しいMCPサーバーを使用する前に、それがMCP GitHubで公開されている公式サーバーかどうか確認し、そうでない場合はまずサンドボックス環境で試用してください。
• MCPを脅威モデリング、ペネトレーションテスト、レッドチーム演習に必ず含めてください。
• ローカルMCPサーバーをインストールする際は、異常やバックドアがないか手動でコードレビューを行い、さらにコードベースを大規模言語モデルや自動分析ツールにかけて隠れた悪意あるパターンを抽出してください。
• ツール呼び出しとその入力内容を承認前にすべて表示することをデフォルトとするMCPクライアントを使用してください。

MCPのセキュリティを理解することは、今後AIエージェントを本格導入する企業にとって極めて重要になるでしょう。

Gartnerによれば、MCPはAI統合の標準として台頭しており、2026年までにAPIゲートウェイベンダーの75%、iPaaSベンダーの50%がMCP機能を持つと予測しています。

組織は、攻撃対象領域の拡大や、サードパーティMCPサーバーによる新たなサプライチェーンリスクに注意する必要があります。これはサイバーセキュリティ管理者にはなじみのある話かもしれません。業界がこれまで対処してきた問題ですが、F5 NetworksのCTO室で主席エンジニア兼チーフエバンジェリストを務めるLori MacVittie氏は、MCPサーバーは単なる新しいAPIのバージョン以上のものであり、本質的なパラダイムシフトだと警告します。彼女によれば、これは境界セキュリティからアプリケーションセキュリティへの移行と同じくらいのインパクトがあります。

「MCPはすべてを壊しています」と彼女は言います。「長年持っていたコアなセキュリティ前提を壊しているのです。」

その理由は？MCPの機能の大部分は、MCPサーバーがAIエージェントと平文でやり取りするコンテキストウィンドウ内にあるためです。つまり、欺瞞や操作の可能性があるということです。「誰かが『私はCEOです』と言うことができます。どうやってそれを防ぐのですか？」

システムは意図通りに動作することを信頼できません。なぜならコアコンポーネントであるAIエージェントやLLMは決定論的ではないからです。「正しいやり方を誰もまだ見つけていないと思います」とMacVittie氏は語ります。

MCPセキュリティベンダー

とはいえ、すでにMCPセキュリティを提供しようとするベンダーも登場しています。いくつか紹介します：

• BackSlash Security：数千のMCPサーバーをリスク評価付きで検索できるデータベース、無料のMCPリスク自己評価ツール、MCPリスク管理の商用サービスを提供。
• Lasso Security：MCPサーバーの設定やライフサイクル管理ができ、MCPメッセージ内の機密情報をサニタイズするオープンソースのMCPゲートウェイ。
• Invariant Labs：MCP-ScanはMCPサーバーの静的解析と、ツールポイズニング攻撃・ラグプル・プロンプトインジェクション攻撃を検知するリアルタイム監視を行うオープンソーススキャナー。
• Pillar Security：自動発見、レッドチーム評価、ランタイム保護などのMCPサーバー保護サービスを提供。
• Palo Alto Networks：Cortex Cloud WAASツールでMCPプロトコルの検証や、MCPエンドポイントに対するAPI層攻撃の検知を提供。