Model Context Protocol (MCP) セキュリティ：完全ガイド

MCPセキュリティとは？

MCPサーバーは複数のエンタープライズサービスの認証情報を集約し、侵害された場合に組織全体を危険にさらす単一障害点となります。認証制御なしで展開されたMCPサーバーが1つでも侵害されると、攻撃者はAIアシスタントが接続するすべての統合データベース、ファイルシステム、クラウドサービスへアクセスできます。この脆弱性パターンは、CVE-2025-49596（CVSS 9.4）で実際に悪用され、攻撃者が認証されていないMCP Inspectorインスタンスを通じて任意のコマンドを実行しました。

Model Context Protocol（MCP）は、Anthropicが2024年後半に公開したオープンスタンダードで、クライアント-サーバーアーキテクチャを通じてAIアシスタントをエンタープライズデータソースやツールに接続します。MCPセキュリティは、これらの統合を悪用から保護するために必要な制御、運用、フレームワークを指します。公式MCP仕様によると、プロトコルは「プロトコルレベルでセキュリティを明示的に強制しない」とされており、実装責任は完全にセキュリティチームに委ねられています。

MCPサーバーを展開すると、AI推論エンジンとエンタープライズインフラストラクチャの間に橋を架けることになります。そのサーバーはOAuthトークンを複数サービス分保存し、システムコマンドの実行、ファイルの読み取り、データベースのクエリを行います。セキュリティチームは、National Vulnerability Databaseで追跡されている3件の重大なCVEを含む、複数の文書化された脆弱性カテゴリに直面しています。最初の悪意あるMCPパッケージは2025年9月に出現し、2週間にわたり検知されずにメールデータを流出させていました。

これらのリスクは、MCPセキュリティがより広範なサイバーセキュリティ分野と交差する理由を説明しています。

MCPセキュリティとサイバーセキュリティの関係

MCPセキュリティは アイデンティティおよびアクセス管理、 サプライチェーンセキュリティ、および既存ツールでは対応できないAI特有の攻撃と交差します。プロトコルアーキテクチャは3つのセキュリティ境界を作ります：クライアントとサーバー間の通信を扱うトランスポート層、ライフサイクルと機能交渉のためのJSON-RPC 2.0メッセージングを管理するプロトコル層、エージェントがアクセスするツール・リソース・プロンプト・通知を定義するデータ層です。

CISAは2025年5月22日に共同ガイダンスを発表し、データセキュリティがAIシステムの信頼性確保に不可欠であることを強調しました。この政府の認識は、AIエージェントインフラストラクチャがSOCチームが監視すべき攻撃対象領域に含まれることを示しています。OWASP MCP Top 10プロジェクトは、MCPリスクを分類するための業界標準フレームワークを確立し、AI統合を評価するセキュリティチーム向けに構造化されたリスクアセスメント手法を提供しています。

従来の境界型セキュリティは、MCP攻撃には無力です。なぜなら、これらは自然言語のセマンティックレベルで動作するためです。シグネチャベースの脅威とは異なり、MCP攻撃はツールポイズニングやプロンプトインジェクションなどの手法でAIモデルの推論プロセスを悪用します。これらのパターンは従来の識別を完全に回避し、行動分析やコンテキスト認識型セキュリティ制御が必要です。

これらの攻撃パターンに対処するには、MCP展開を保護するアーキテクチャコンポーネントの理解が必要です。

MCPセキュリティのコアコンポーネント

MCPセキュリティアーキテクチャは、アーキテクチャ、アクセス管理、識別、ガバナンスにまたがる基本的な制御に対応する必要があります。

1. 認証および認可レイヤー： MCPサーバーにはOAuth 2.1（PKCE対応）、機能レベルのスコープ設定、ログ漏洩やメモリスクリーピングによる広範なスコープトークンアクセスの防止が必要です。
2. トランスポートセキュリティ： TLS 1.2以上の強力な暗号スイートを強制し、サーバー間通信には相互TLS（mTLS）を実装し、DNSリバインディング保護を有効にします。 MCP TypeScript SDKは、GitHub Security Advisory GHSA-w48q-cv73-mx4wによると、デフォルトでこの保護を有効にしていません。
3. ツール検証パイプライン： セキュリティ制御は、（1）コマンド・プロンプトインジェクションのパターンベースフィルタリング、（2）ツール説明文に対するセマンティック攻撃のニューラル識別、（3）エッジケースに対するLLMベースの仲裁、の3段階で検証する必要があります。
4. 認証情報管理： MCPサーバーは複数サービスのOAuthトークンを集約します。AWS Secrets ManagerやHashiCorp Vaultなどのエンタープライズボールトを使用し、自動ローテーション、短命トークンの利用、ログ漏洩やメモリスクリーピングからの保護を実装してください。
5. 識別および監視インフラ： MCPのすべての操作（ツール呼び出しとパラメータ、認証試行、リソースアクセス、スコープ違反）をログに記録します。MCPイベントをSIEMでアイデンティティ行動やネットワークトラフィックと相関させます。

これらのコンポーネントは、すべてのMCPリクエストを処理する協調的な実行フローで連携します。

MCPセキュリティの仕組み

MCPセキュリティは、AIエージェントとエンタープライズシステムの各インタラクション段階を保護する多層制御によって機能します。

• 集中型ゲートウェイアーキテクチャ： 集中型ゲートウェイプロキシが一貫したポリシーを適用し、行動を監視し、ガードレールを強制します。ゲートウェイは承認済みMCPサーバーの許可リスト化、アクセス制御と識別の集中化、すべてのツール呼び出しの検査を行います。これにより、開発者がローカル環境をどのように構成しても、未承認のMCPサーバーによるエンタープライズリソースへのアクセスを防ぎます。
• 機能交渉フェーズ：初期化時にゲートウェイがサーバーの機能をポリシールールと照合し、過剰な権限を要求するサーバーをブロックします。きめ細かなアクセス制御で特定のユーザーロールを特定のツール機能にマッピングします。
• 実行時フェーズ： AIエージェントがMCPツールを呼び出す際、セキュリティレイヤーがインジェクション攻撃のための入力パラメータ検証、ツール実行のサンドボックス化、完全なフォレンジックコンテキストのログ記録を行います。
• 継続的識別： セキュリティプラットフォームは、パターンベースフィルタリング、ニューラルネットワーク分析、行動異常識別を組み合わせた多段階識別パイプラインでMCPトラフィックを分析します。
• インシデントレスポンスフロー： セキュリティプラットフォームが悪意あるMCP活動を識別した場合、自律的な対応機能が侵害サーバーを隔離し、すべての統合サービスで関連認証情報を失効させ、未承認の変更をロールバックし、調査のために完全な攻撃タイムラインを再構築します。

この運用フローを理解することで、MCPセキュリティがエンタープライズリスク管理において重要である理由が明らかになります。

MCPセキュリティが重要な理由

認証情報の集約は、MCPを導入する組織の攻撃モデルを再構築するリスクをもたらします。MCPサーバーは複数サービスのOAuthトークンを保存し、単一障害点を形成します。侵害されると、攻撃者はすべての接続サービスに広範なアクセスを得るため、MCP特有のインシデントレスポンス手順が必要です。

サプライチェーン検証は不可欠です。なぜなら、MCPのシンプルな統合経路が信頼できないサーバーを通じてリスクを導入するためです。最初の悪意あるMCPパッケージは2025年9月に出現し、2週間にわたり検知されずにメールデータを流出させていました。

ガバナンスフレームワークは、監視されていないMCP統合レイヤーの制御を確立する必要があります。セキュリティチームは、ゲートウェイレベルでの集中型ポリシー強制、新規サーバー承認ワークフロー、データ分類に合わせたセキュリティベースラインを必要とします。

ゼロトラストアーキテクチャはMCPセキュリティの基盤を提供し、MCPマイクロサービス間の相互TLS、アイデンティティベースのトラフィック制御、ネットワークトポロジーに依存しないセキュリティを要求します。

コンプライアンスおよび規制対応は、AIエージェントが規制データへアクセスする際に組織を保護します。 CISAガイダンス（2025年5月）は、データセキュリティがAIシステムの信頼性を保証することを明記しています。MCPセキュリティ制御は、AIアシスタントのデータアクセスが人間ユーザーと同じガバナンスに従っていることを証明する必要があります。

MCPセキュリティが重要な理由を理解するには、これらのシステムを標的とする具体的な攻撃を検証する必要があります。

MCPセキュリティ脅威の種類

MCP環境は、プロトコルの信頼モデルとツールアーキテクチャを悪用する独自の攻撃パターンに直面します。

1. ツールポイズニングは、ツールのメタデータや説明文に悪意ある指示を埋め込みます。攻撃者は「すべてのデータを外部エンドポイントに転送する」などの指示を、ユーザーには無害に見えるツール定義内に隠し、AIエージェントがメタデータを読むと実行されます。これらの指示はセッションをまたいで持続し、すべてのエージェントに影響します。
2. ラグプル攻撃は、承認後の動作変更を悪用します。ツールは初期セキュリティレビューを通過した後、密かに定義を変更して悪意ある機能を追加します。ほとんどのMCPクライアントは、承認後にツール説明が変更されてもユーザーに警告しないため、攻撃者は以前信頼されていたツールを武器化できます。
3. シャドーイング攻撃は、悪意あるツールが信頼されたツールに直接呼び出されずとも影響を与えることを可能にします。侵害されたツールの説明文が、AIエージェントに正規ツール使用時の動作変更（例：メール受信者のリダイレクトや隠れた手数料の追加）を指示できます。
4. サーバースプーフィングは、正規サービスに似た名前で悪意あるMCPサーバーを登録します。AIアシスタントが名前ベースのディスカバリーを行う際、不正サーバーに解決され、認証情報や機密クエリが奪取される可能性があります。

これらの攻撃パターンは、セキュリティチームが直面する実装上の課題を説明しています。

MCPセキュリティ実装の課題

セキュリティチームは、MCP展開の保護においていくつかの障害に直面します：

• アーキテクチャ上のギャップ：セキュリティ責任がプロトコルレベルのガイダンスなしに実装チームへ完全に移行します。 公式MCP仕様は「これらのセキュリティ原則をプロトコルレベルで強制できない」と明記しており、開発者の期待とセキュリティ現実の間にギャップが生じます。
• 可視性の制限：従来の監視はJSON-RPC 2.0メッセージングパターンや分散展開に対応できず、MCPサーバー活動を追跡するためにカスタム計測が必要です。
• ツールスプロール： 組織は部門ごとにMCPサーバーを展開し、集中ガバナンスがありません。集中インベントリがなければ、セキュリティチームは一貫した制御を実装できず、どのサーバーが機密認証情報へアクセスしているか追跡できません。
• 新しい攻撃パターン： ツールポイズニングやシャドーイングなどのセマンティック攻撃は、シグネチャベースのツールを完全に回避し、自然言語操作を理解するコンテキスト認識モデルが必要です。
• インシデントレスポンスの複雑さ： 単一の侵害が複数サービスに同時影響します。既存のプレイブックは単一サービスの封じ込めを前提としていますが、MCPインシデントはすべての統合システムでの認証情報失効や、アイデンティティ、 エンドポイントセキュリティ、 クラウドセキュリティをまたぐフォレンジック分析が必要です。

これらの課題は、よくある実装ミスにつながることが多いです。

よくあるMCPセキュリティのミス

セキュリティ評価では、組織がMCP展開の保護に失敗する繰り返しのパターンが明らかになっています。

• 認証なしでの展開： 組織は認証メカニズムを実装せずに、ネットワーク越しにアクセス可能なMCPサーバーを頻繁に展開しています。 MCPセキュリティベストプラクティスによると、認証なしでMCPサーバーを稼働させることは推奨されていません。攻撃者はポートスキャンでこれらの公開サーバーを発見し、認証情報なしで接続し、フル権限で任意のツールを実行します。
• 不十分なサンドボックス実装： セキュリティ侵害分析では、ディレクトリ制限の不徹底がインシデントの根本原因として特定されています。パス検証なしでファイル操作を実行するMCPサーバーはパストラバーサル攻撃を許し、攻撃者がデータベースパスワード、APIキー、クラウド認証情報を含む設定ファイルへアクセスできるようになります。
• 信頼できないサーバーのインストール： チームはコードレビューやセキュリティスキャンなしで信頼できないソースからMCPサーバーをインストールします。セキュリティ研究者は、正規ツールを装いながら認証情報収集を行う悪意あるMCPサーバーを文書化しています。また、承認済みツールが展開後に動作を変更するラグプル攻撃の監視も不十分です。
• 過剰な認可スコープ： MCPセキュリティ仕様は、攻撃者がログ漏洩、メモリスクリーピング、ローカル傍受を通じて広範なスコープ（files:*, db:*, admin:*など）を持つアクセストークンを取得することを警告しています。初期認可時にすべての権限を要求するMCPサーバーは、機能レベルの権限スコープを実装できていません。
• 監視の不十分さ： Model Context Protocolシステムからのテレメトリが限定的なため、調査が困難です。 セキュリティログが重要な詳細を欠いていると、攻撃タイムラインの再構築ができません。監視にはすべての操作のログ記録、認証試行の追跡、SIEM統合が必要です。

これらのミスを回避するには、確立されたセキュリティフレームワークの遵守が必要です。

MCPセキュリティのベストプラクティス

基盤となるアーキテクチャ制御として、集中型MCPゲートウェイアーキテクチャを展開してください。ゲートウェイはすべてのMCP通信をプロキシし、承認済みMCPサーバーの許可リスト化、アクセス制御と識別の集中化、すべてのツール呼び出しの検査を強制します。このアーキテクチャパターンは、すべてのエージェントワークフローに一貫したポリシーを適用する単一の制御ポイントを提供します。

機能レベルでのきめ細かなスコープ管理による最小権限アクセスを実装してください：

• ユーザーロールを特定のツール機能にマッピング
• 認可時にスコープ要求を動的に検証
• 広範なスコープトークンではなく機能レベルの権限スコープを使用
• ログ漏洩、メモリスクリーピング、ローカル傍受によるトークン窃取から保護

本番展開前にMCPサーバーのサプライチェーンセキュリティ制御を確立してください。承認プロセスには、すべてのサーバーに対する静的アプリケーションセキュリティテストと脆弱性スキャン、サーバー完全性の暗号学的検証、 マルウェアや隠れた悪意ある指示のパッケージスキャンが必要です。特定のMCPサーバーバージョンをピン留めし、変更時には管理者へアラートを送信します。

MCPツールポイズニングやセマンティック攻撃に対応した多層識別パイプラインを展開してください。3段階の識別アプローチには、コマンドインジェクションのパターンベースフィルタリング、ツール説明文に対するセマンティック攻撃のニューラル識別、ツールメタデータを操作してAIエージェントを欺くエッジケースへのLLMベース仲裁が含まれます。

SIEMプラットフォームと統合した監査ログを実装してください。ログインフラはすべてのツール呼び出しを完全なコンテキストで記録する必要があります。異常なツールアクセスシーケンス、権限昇格試行、データ流出の兆候などの異常パターンを監視します。

エンタープライズボールトによる認証情報とシークレット管理を保護してください。APIキーやOAuth認証情報の保護にはAWS Secrets ManagerやHashiCorp Vaultを統合します。自動ローテーションと短命トークンを実装し、セキュアなトークンボールトの展開でログ漏洩やメモリスクリーピングから保護します。

トランスポートセキュリティとネットワーク制御を強制してください。TLS 1.2以上の強力な暗号スイートを必須とし、サーバー間通信には相互TLSを実装、MCPサーバーを適切なファイアウォールルールを持つ専用ネットワークセグメントに隔離します。

自律的なポリシー強制によるガバナンスフレームワークを確立してください。正式なMCP利用ポリシーはデータ分類やアクセス制御基準と整合させます。ゲートウェイレベルでの自律ポリシー強制、新規サーバー展開の承認ワークフロー、ツールアクセスパターンの定期的なセキュリティレビュー、 データ損失防止制御により、MCP統合を通じた機密情報の漏洩を防ぎます。

SentinelOneでMCP攻撃を阻止

Purple AIは自然言語調査を通じて疑わしいMCP活動を検出し、MCPイベントをセキュリティデータレイク全体で手動手法より最大80%高速に相関します。Purple AIに「過去24時間にユーザーXが実行したすべてのツール呼び出しを表示」や「このMCPサーバーを通じてどの認証情報が漏洩したか」などと問い合わせ可能です。SentinelOneのStorylineテクノロジーは、侵害サーバーが複数サービスへアクセスし未承認ツールを実行するMCP攻撃チェーンを完全に再構築します。SentinelOneの行動AIは、セマンティックレベルで動作するゼロデイ脅威や新しい攻撃パターンを検出し、 88%のアラート削減でMCP監視を妨げるアラート疲労を排除します。

MCPはAIツールとエンタープライズデータの間に監視されないレイヤーを作ります。このガバナンス課題に対処するには、多層防御型セキュリティアーキテクチャが必要です：ポリシー強制のための集中型MCPゲートウェイ、最小権限アクセス制御、サプライチェーンセキュリティレビュー、多層識別パイプライン。セキュリティチームは、ツールレベルでの機能権限スコープ、認証済みMCPサーバー接続、集中監査ログ、エージェントからツールへのトラフィックの継続的監視を実装する必要があります。

SentinelOneの Singularity Data Lakeは、OCSF（Open Cybersecurity Schema Framework）標準を用いてネイティブおよびサードパーティソースからセキュリティデータを取り込み正規化します。 脅威ハンティングワークフローは、複数プラットフォームにまたがるセキュリティイベントを相関し、認証情報窃取、権限昇格試行、異常なデータアクセスシーケンスなどの高度な攻撃を行動パターン分析と異常識別で発見します。

SentinelOneのデモをリクエストして、認証情報の集約による全社的な侵害が発生する前に自律型セキュリティがMCP攻撃を阻止する方法をご確認ください。

重要なポイント

MCPセキュリティは、AIアシスタントが本番インフラへアクセスする中でエンタープライズセキュリティチームにとって重要な転換点となります。プロトコルの認証情報集約アーキテクチャは、1台の侵害サーバーがすべての統合サービスのOAuthトークンを露出させる単一障害点を生み出します。組織は、多層防御制御（集中型ゲートウェイアーキテクチャ、機能レベルの権限スコープ、サプライチェーン検証、パターンベースフィルタリングと行動分析を組み合わせた多層識別パイプライン）を実装し、ツールポイズニングやプロンプトインジェクション攻撃を阻止する必要があります。

セキュリティチームは、既存のMCP展開のインベントリ化、認証済みサーバー接続の実装、30日以内の監査ログ確立を優先すべきです。90日以内にゲートウェイアーキテクチャと承認ワークフローを展開し、180日以内に包括的な識別およびガバナンスフレームワークを構築してください。OWASP MCP Top 10はリスクアセスメントの業界標準フレームワークを提供し、SentinelOneのようなプラットフォームは、行動AI、クロスプラットフォーム相関、自然言語調査機能を提供し、認証情報窃取による全社的な侵害が発生する前にMCP攻撃を発見・阻止します。