Model Context Protocol(MCP)サーバーのセキュリティ
企業内に、新しく、しかも大半が目に見えないバックドアが開いています。従来の意味での脆弱性には見えませんが、自律型AIエージェントに、資産の移動、データの改変、業務プロセスの実行といった権限を与えます——しかも、ときには人間が介在しないまま。だからこそ、Model Context Protocol、すなわちMCPサーバーのセキュリティの重要性が一層高まります。
これらを重大な攻撃対象領域として扱わないことは、今日のAI技術スタックにおける、未対処のリスクとして最も重大なものです。多くの経営陣がモデル精度やデータプライバシーに執着する一方で、こうした接続部分を狙った最近の一連の侵害は、組織に甚大な損失をもたらしかねない致命的な見落としを浮き彫りにしています。
リスクは現実のものです
攻撃者はすでに、AIの確率的な性質と、レガシーセキュリティの決定論的な制御との“継ぎ目”を悪用しています。Sysdig Threat Research Team(TRT)は2024年5月にLLMjackingを初めて発見し、それ以来、この進行中の脅威について継続的に報告しています。LLMjackingとは、被害者のLLMに不正アクセスし、コードの作成、ソーシャルエンジニアリングのキャンペーン実施、アクセス権の販売、その他の非倫理的行為など、さまざまな悪用目的に利用することです。DeepSeekのデータベース設定ミスでは、数百万件のチャットログとAPIキーが露出し、たった一つの見落としがシステム全体の侵害につながり得ることを示しました。一方、Hoplon InfoSecは、LLMの学習データセット内で12,000件超のAPIキーとパスワードを発見し、機密性の高い認証情報がいかに容易に漏えいし、大規模に悪用され得るかを浮き彫りにしました。
私は以前にも同じ道を歩んだことがあります。2015年当時、私と同僚は、セキュリティ運用を自動化するために、ベンダーに対して機能豊富なAPIを求めていました——SOAR市場の初期シグナルです。当時の論理は、いまMCPに対して抱くものと同じです。スケールして運用するための“てこ”が必要なのです。しかし、この新しい“てこ”は、新しい種類のリスクを持ち込みます。私は、私自身が書いたPythonのプレイブックにたった一つのロジックエラーがあり、誤って全社のインターネットアクセスを遮断してしまったことで、それを身をもって学びました。これは一度しか犯さない種類のミスです。では、同じような誤りの可能性が、自律エージェントによって機械速度で増幅されたらどうなるでしょうか。これが、私たちが守らなければならない新しい環境です。
これらは孤立した出来事ではありません。レガシーな制御では対処できるよう設計されていない、新しい種類のリスクの初期兆候です。金銭的影響は測定可能です。EU AI Actに基づく規制罰金は企業の世界売上高の最大3〜7%に達し得る一方で、公にAI起因の侵害が発生した後の顧客離反や株価下落の直接コストは、数千万〜数億に及ぶ可能性があります。
MCPでは古い発想が通用しない理由
なぜこれほど多くの組織が危険にさらされているのでしょうか。答えは構造的です。MCPサーバーは単なるAPIではなく、エージェント型AIの運用基盤です。決定論的で権限を厳密にスコープできるレガシーAPIとは異なり、MCPは大規模言語モデルに“行動する力”を与えます。このプロトコルは、要求者と要求対象の双方が無害であることを前提としている場合が多く、要求が常に検証されるとは限りません。その結果、意図しない影響が生じ得ます。単なるデータ漏えいにとどまらず、資産の不正移動、ワークフローの不正トリガー、さらには業務妨害にまで及ぶ可能性があります。
脆弱な認証、プロンプトインジェクション、広すぎる認可という“三重苦”が、レガシーなセキュリティモデルでは封じ込められない爆発半径を生み出します。規制当局も気づき始めています。EU AI ActとNISTのAI Risk Management Frameworkは、これらのリスクを“後回し”ではなく、直接的に対処することを組織に求めるようになっています。
MCPサーバーセキュリティの4つの柱
この新しい種類のリスクに対処するには、CISOとCTOはチェックリストを超え、原則に基づくアプローチを採用しなければなりません。以下は、私が同業の仲間とこのリスクについて議論する際に拠り所とする4つの戦略的柱です——メニューではなく方法論です。
1. 認証と認証情報管理
静的トークンと脆弱なセッション管理は、攻撃者への招待状です。短命でローテーションする認証情報と多要素認証を実装してください。トークンの不正使用を監視し、認証情報の失効を自動化します。これにより、トークンやキーが侵害された場合の影響を限定できます。しかし、強固な認証は第一歩にすぎません。誰がシステムにアクセスできるかを固めた後の次の課題は、そこに対して“何を要求できるか”を制御することです。
2. 入力検証とプロンプト制御の強化
プロンプトインジェクションは理論上のリスクではなく、実証済みの攻撃ベクトルです。あらゆるレイヤーで厳格な入力検証とサニタイズを適用してください。許可/拒否リストを用い、異常なプロンプトパターンを監視します。私は、一部の組織がクエリをプロキシ経由でルーティングし、MCPサーバーが受け取る前に既知の悪意あるクエリを除去しているのを見ています。ここでの目的は、顧客喪失や法的リスクにつながり得るデータ流出と改ざんを防ぐことです。入力を管理したら、次は出力を厳格に統制しなければなりません。
4. 継続的な監督とAIリテラシーの制度化
静的な制御は時代遅れです。MCPの相互作用をリアルタイムで監視し、定期的なレッドチーミングを計画し、ITだけでなくすべての事業部門が、MCP対応AIのリスクと責任を理解するようにしてください。プロダクトマネージャーから取締役会に至るまで、AIリテラシーを備えた人材は、いまやベースラインの防御です。これは単なるセキュリティの話ではなく、安全にイノベーションするために必要な組織的筋力を鍛えることでもあります。ビジネス上の効果は二つあります。第一に、インシデントの検知と復旧が迅速になります。第二に、AIサプライチェーンセキュリティの証明をますます求めるエンタープライズ顧客を獲得するうえで、強力な競争上の差別化要因となる、実証可能なセキュリティ態勢を構築できます。
信頼の新しい基準
過去1年の侵害は例外ではなく、予告編でした。自律エージェントが業務運用と切り離せない存在になるにつれ、それらを可能にするMCPサーバーのセキュリティは、企業の信頼性を測る究極のリトマス試験紙になります。これを技術課題ではなく、事業戦略の中核原則として扱うリーダーは、自社を守るだけでなく、AI時代における強靭で革新的な企業の標準を打ち立てることになるでしょう。
翻訳元: https://www.sysdig.com/blog/why-mcp-server-security-is-critical-for-ai-driven-enterprises
