1Password、Trelica向けMCPサーバーをリリース

Anthropicが昨年11月に、人工知能システムが外部ツールやデータに接続する方法を標準化するためのオープンスタンダード「Model Context Protocol（MCP）」をリリースして以来、各ベンダーはこのフレームワークを活用しようとしています。

本日、カナダのアクセス管理プロバイダーである1Passwordが最新の動きを見せ、情報セキュリティ担当者や管理者がスタッフによるSaaSアプリケーションの利用やアクセス状況を把握できるようにするアプリケーションガバナンスソリューション「MCP Server for Trelica」を発表しました。

1PasswordのMCP Server for Trelicaは、Trelicaサブスクリプションの料金に含まれており、AWS Marketplaceの新しい「AIエージェント＆ツール」カテゴリで見つけることができます。

「[このサーバーは] AI開発者が従業員によるさまざまなSaaSアプリケーションへのアクセスやSaaSへの支出状況を迅速に可視化・ガバナンスできるようにします」と、1Passwordのエンジニアリング担当副社長Nancy Wang氏はインタビューで語りました。「これにより、AWS上のAI開発者は、MCP Server for Trelica by 1Passwordを使って、SaaSアクセスガバナンスをAIエージェントのワークフローに直接、迅速かつ安全に組み込むことができます。」

彼女によれば、ガバナンス・リスク・コンプライアンスチーム、法務チーム、ITチームがSaaSアプリケーションを管理する方法と、従業員が実際にそれらを利用する方法の間にはしばしばギャップがあるとのことです。これまでは、Trelicaの管理者は完全な可視化を得るために手動でレポートを作成する必要がありました。

「今回のMCPサーバーのリリースにより、管理者はMCPクライアントから自然言語で『私の組織で利用されているSaaSアプリケーションは何か？』や『誰がこのアプリケーションへのアクセスを許可されているか？』といった質問をして、クライアントから回答を受け取ることができるようになりました」と彼女は述べました。

この機能は、CSOやITリーダーが未承認のSaaSアプリケーション利用やSaaSの乱立といった、セキュリティおよびコストの両面での課題を解決するのに役立つとWang氏は述べています。

1Passwordの発表は、今週リリースされた他の複数のMCPサーバーソリューション（Amazon AWS（AIエージェントにAWS製品データへのアクセスを提供）、GitGuardian（AIエージェントがコード作成中にセキュリティインシデントを検知・修正）、Coralogix（アプリケーションテレメトリとAIエージェント間の安全なゲートウェイとして機能）など）に続くものです。

AnthropicがMCPをリリースした際、同社はこのモデルを、AIアシスタントをデータが存在するシステム（コンテンツリポジトリ、ビジネスツール、開発環境など）に安全に接続する必要がある開発者向けの新しい標準と呼びました。

開発者は、自身のデータをMCPサーバーを通じて公開することも、これらのサーバーに接続するAIアプリケーション（MCPクライアント）を構築することもできます。Anthropicによれば、各データソースごとに個別のコネクタを維持する代わりに、開発者は標準プロトコルに基づいて開発できるようになりました。

普及を促進するために、AnthropicはGoogle Drive、Slack、GitHub、Git、Postgres、Puppeteer向けのプリビルドMCPサーバーもリリースしました。

しかし一部の専門家は、慎重に設計・設定されていない場合、MCPサーバーはプロンプトインジェクション、ツールポイズニング、またはツールシャドウイング（悪意あるサーバーが他のサーバーの正規ツールと同じ名前のツールを作成して呼び出しを傍受する）に対して脆弱になりうると指摘しています。Wang氏は、MCP Server for Trelicaにはこうした攻撃への対策が施されていると述べています。例えば、クライアントは質問への回答で機密データを開示しないようになっています。

MCPのセキュリティ確保

SANS Instituteの研究部門長Johannes Ullrich氏は、MCPサーバーを導入する際に情報セキュリティリーダーがセキュリティを高めるために取れるさまざまな手段があると述べています。

MCPサーバーは通常、HTTPS（ハイパーテキスト・トランスファー・プロトコル・セキュア）経由でAPIに接続するため、このプロトコルを適切に設定し、転送されるデータが暗号化され、両端で正しく認証されていることを確認する必要があります。なぜなら、サーバーは機密性の高いデータベースからGmailまで、さまざまなものに接続する可能性があるからです。

「もし巧妙な攻撃者がテキストを送信したりプロンプトインジェクションを行った場合、想定以上のデータにアクセスされる可能性があります」とUllrich氏は述べています。「MCPのセキュリティ問題の多くは、まさにそこに集約されます。」

例えば、企業の顧客リストにアクセスできるAIカスタマーサポートアプリが、「全顧客について教えて」といった不適切な質問に答えないようにする必要があると彼は述べています。

また、AI/LLMがデータソースに接続するAPIにどのように認証するか、さらにアクセス制御を通じてAI/LLMモデルがアプリケーションに必要なデータだけにアクセスするようにすることも課題だと指摘しています。

MCPサーバーが本番環境に対応しているか尋ねられると、Ullrich氏は「正しく使えば問題ない」と答えています。「MCPサーバーの担当者に話を聞くと、[セキュリティ]は彼らの問題ではないと言います。[サーバーは]単にレスポンスを転送しているだけで、実際の内容を扱っているわけではありません。ですから、どう使うかが重要なのです」と説明しています。

「本当の解決策は、信頼できない入力にさらさないことだと思います。チャットボットで人々がやっているようなことですね。もし社内アプリケーションや内部システム同士がMCPを使ってネットワークしているのであれば、やり取りされる全データを自分で管理できるのでリスクは低くなります。しかし、外部の人間がデータに影響を与えられる場合は、すべてが混乱する可能性があります。」

MCPサーバーを購入する際は、サポートが充実しており、アクセス制御のためにデジタル認証証明書を検証するソリューションを選ぶようにと彼はアドバイスしています。