MCP：エージェンティックAIの基盤を守る

モデルコンテキストプロトコル（MCP）は2024年末に導入されたばかりですが、その技術的影響はすでに多くのアーキテクチャで明確に現れています。MCPはLLMエージェントのための標準化された「言語」を提供し、開発者がすべてのインターフェースを手作業でプログラムする必要がなくなります。これにより、ツールやデータベース、SaaSサービスを柔軟に組み合わせて利用できるようになります。

サイバーセキュリティ分野でのMCP活用例としては、セキュリティインシデントの自動分析があります。AIエージェントがシステム内の不審なIPアドレスをチェックし、ログデータを評価し、必要に応じて別のインターフェース経由で影響を受けたデバイスを隔離する——これらすべてをMCPを介して複数のセキュリティツールを連携させて実現します。

2015年、同僚がファイアウォールAPIインターフェース用のPythonプレイブックでタイプミスをしたことで、会社のネットワークの半分が麻痺したことを思い出します。あれは厄介でしたが、少なくとも決定論的で追跡可能なものでした。一方、MCPは確率的なロジックに従います。エージェントはコンテキストを評価し、確率的な判断を下して実行します。もし広範な権限を持つエージェントにこれを任せれば、ミリ秒単位で実行され、タイプミスによるシステム障害が些細に思えるほどの被害が生じる可能性があります。このため、MCPのセキュリティは単なるITの問題ではなく、企業全体に関わる重要な課題となっています。

明確な痕跡からデジタルの霧へ

従来のREST APIでは、セキュリティは明確です。すべての呼び出し、認証、入出力ペアが監査ログに記録され、プロセスを決定論的に追跡できます。しかし、MCPベースのエージェントは最終結果だけを提示し、「なぜ」「誰のプロンプトで」「どのツールチェーンで」そこに至ったのかは隠されたままです。この意図と実行の間の死角が、信頼できる脅威モデルを破壊します。

本当に安全なエージェンティックワークフローには、テレメトリー、プロンプト履歴、コンテキストインジェクション、ツール選択、エージェントメモリがリアルタイムで連携している必要があります。この深い洞察がなければ、私たちは自律的な意思決定エンジンの影を追いかけているに過ぎません。必要なのは「可視性を作るべきかどうか」ではなく、「どれだけ早く作るか」です。そうして初めて、MCPはリスクから制御可能な利点へと変わります。

CISOは脅威状況を認識する必要があります。最近のインシデントは、MCPの攻撃面がいかに多様であるかを示しています。「Toxic Agent Flow」では、用意されたGitHubイシューひとつで、エージェントが間接的なプロンプトインジェクションを通じてプライベートリポジトリから機密コードをパブリックにコピーしてしまい、まったく検知されませんでした。

同時に、研究者たちは任意のシェルコマンドを許可するMCPサーバーが何百も公開されていることを発見しました。ネットワークアクセスひとつで本番システムを乗っ取り、エージェントのIDを奪うことが可能です。サプライチェーンリスクも存在します。Typo-squattingや後から改ざんされたMCPパッケージが、エージェントを密かに敵対的なインフラに接続し、データ漏洩やリモートコントロールを引き起こします。一見無害なプロンプトやツールライブラリでさえ、エージェントが認証情報を漏洩したりデータを削除したりするように改変されています。つまり、攻撃はもはやLLMエージェントだけでなく、エコシステム全体を標的にしているのです。

MCPサーバーを守るための4つの柱

CISOはMCPに対しても、これまで実証されてきたサイバーセキュリティの基本原則に大きく依拠できますが、いくつかの点で適応が必要です。単なるチェックリストでは不十分です。明確で原則に基づいたアプローチが求められます。実際に有効だった4つの中心的な柱は以下の通りです：

1. 強力な認証とクリーンな認証情報管理。静的トークンや無制限なセッション管理は攻撃者に扉を開きます。短命でローテーションするアクセスデータや多要素認証（MFA）を利用すべきです。トークン使用状況の継続的な監視と、漏洩したキーの自動ブロックによって、トークンが盗まれた場合の被害を最小限に抑えます。誰がアクセスできるかが明確になったら、次は何が許可されるかを定義する必要があります。
2. 堅牢な入力制御とプロンプトインジェクション対策。プロンプトインジェクションは実際に多用されている攻撃手法です。すべての入力は厳格に検証・浄化されるべきです。許可／拒否リストや、特徴的なプロンプトパターンの監視が有効です。環境によっては、リクエストをGenAIファイアウォール／プロキシ経由でMCPサーバーに到達する前に既知の攻撃を排除します。これにより、顧客損失や法的影響、評判低下につながるデータ漏洩や改ざんを防ぎます。
3. きめ細かな認可とコンテキストの分離。過度に広い権限や不十分なクライアント分離は被害の可能性を大きく高めます。MCPシステムには弱点が存在してきました。機密データベースを接続する前に、堅牢な認可ソリューションを実装すべきです。最小権限の原則、ロールベースの権限、コンテキストやクライアントの厳格な分離が重要です。こうすることで、インシデントが全社に波及せず、単一のワークフローやユーザーに限定されます。
4. 継続的な監視とAI専門知識の構築。静的なコントロールだけでは不十分です。すべてのMCPインタラクションのリアルタイム監視、定期的なレッドチームテスト、MCP対応AIの機会とリスクに関する全専門部門へのトレーニングが標準となるべきです。今日では、製品管理から監査役会までAIに精通した人材が、基本的な防御線となります。その結果、インシデントの早期発見・解決や、強力なセキュリティ体制の証明が可能となり、AIサプライチェーンの堅牢性が求められる入札などで競争優位性となります。

AI時代におけるMCPの安全性は不可欠

MCPを巡る最初のセキュリティインシデントは、例外ではなくCISOへの警鐘です。自律型AIエージェントが多くのビジネスプロセスに不可欠な存在となる時代、MCPのセキュリティ確保は企業への信頼の試金石となります。これを単なる技術的問題と片付けず、積極的にMCPのセキュリティに投資する経営層やCレベルのマネジメントは、自社を守るだけでなく、AI時代の継続的なイノベーションへの道を切り開くことになるでしょう。