MCP（Model Context Protocol）とは？仕組みとセキュリティ対策

LLM（大規模言語モデル）には根本的な問題があります。それは、孤立した状態で動作することです。学習期限のある静的なデータセットでトレーニングされているため、これらのモデルは現在の脅威インテリジェンスにアクセスしたり、セキュリティスタックに対してリアルタイムでクエリを実行したりすることができません。

業界は「NxM問題」と呼ばれる課題に直面しています。数十のAIモデルを数百のエンタープライズ ツールに接続することは、統合の悪夢を招きます。MCP（Model Context Protocol）は、このギャップを解消するための標準規格として浮上しています。MCPは、AIがデータベース、API、ファイルシステム、およびその他の外部リソースにシームレスにアクセスできるようにする統合プロトコルとして機能します。

本ガイドでは、MCPのアーキテクチャ、セキュリティ上の影響、実世界の活用事例、導入戦略、潜在的なリスク、およびよくある質問について探ります。

MCP（Model Context Protocol）とは、AIモデルが中央集中型のインターフェースを通じて、外部データソースやシステムと安全に接続できるようにするオープン規格です。各AIモデルとエンタープライズ システム間の接続を個別にハードコーディングするのではなく、MCPはそれらすべてが理解できる共通言語を確立します。

プルーフポイントの情報保護およびデータ通信ガバナンス担当のバイスプレジデントであるケイティ・カーティン・メストレは、MCPを「AIエージェントを安全かつ監査可能な方法で外部データに接続するために設計された、新たなオープン規格である」と要約しています。

このプロトコルにより、言語モデルはセキュリティ制御を維持しながら、ライブデータの取得、アクションの実行、およびエンタープライズ システムとのやり取りを行うことができます。モデルは同じ規格化されたインターフェースを介して、SIEMへのクエリ、脅威インテリジェンス フィードの取得、またはインシデント レスポンス プラットフォームでのチケットの更新を行うことが可能です。

この標準化は、複数のステークホルダーにメリットをもたらします。開発者はモデルごとに再構築することなく、インテグレーションを一度記述するだけで済みます。IT開発者は、AIエージェントがどのデータにアクセスしているかを可視化できます。セキュリティリーダーは、ポイントソリューションを管理するのではなく、すべてのAIインタラクションにわたってポリシーと監査証跡を適用できます。

「当社のソリューションは、商用製品であれ自社開発のカスタムエージェントであれ、すべてのMCP準拠のエージェントをサポートしています。これにより、エージェント型AIのエコシステム全体で普遍的な互換性が確保されます」とカーティン・メストレは述べています。

「マイクロソフト（Copilot Studio）、OpenAI（ChatGPTおよびAgents SDK）、Google（Google Cloudデータベースおよびセキュリティ オペレーション ツール）、アマゾン ウェブ サービス（LambdaおよびBedrockサービス）、セールスフォース（Agentforce）を含む主要なソフトウェア企業は、すでにエンタープライズ環境でMCP準拠のエージェントを展開しています。」

MCPを理解するには、その技術レイヤーを分解する必要があります。各要素は、セキュリティとパフォーマンスを維持しながら、AIモデルを外部システムに接続する上で重要な役割を果たします。

• ホスト／アプリケーション： これは、チャットアシスタントや統合開発環境など、ユーザーが対話しタスクを開始する、ユーザー向けのAIアプリケーションです。ホストはユーザー入力を調整し、権限を管理し、LLM、クライアント、および外部ツール間の通信をオーケストレーションします。
• MCPクライアント： クライアントは、ホスト内での接続マネージャーおよびトランスレーターとして機能し、1つ以上のサーバーとの安全なセッションを確立します。プロトコルの互換性を確保し、サーバー間の分離を維持し、機能交渉を処理し、必要に応じてリクエストとレスポンスをルーティングします。
• MCPサーバー： サーバーは、特定の機能、ツール、およびリソースをAIモデルに公開し、多くの場合、SIEMやチケッティング システムなどの外部データソースへのインターフェースとして機能します。各サーバーは独立して動作し、自身の機能を通知し、プロトコル要件に従ってセキュリティ境界を強制します。
• トランスポートおよびメッセージングレイヤー： クライアントとサーバー間の通信はメッセージ形式としてJSON-RPC 2.0に依存しており、直接的で低レイテンシなローカル接続にはSTDIOを、リモートの分散環境にはSSE（Server-Sent Events）を備えたHTTPを使用します。トランスポートレイヤーは、データ交換の信頼性と安全性を維持するために、認証とメッセージ フレーミングも管理します。
• プロトコルメッセージ： MCPは、構造化されたリクエスト、レスポンス、および通知を使用して双方向通信を可能にし、厳格なスキーマ検証が組み込まれています。エラー処理とコントラクトの強制により、障害や不一致が適切に処理され、セキュリティに敏感なワークフローの運用リスクが軽減されます。

ユーザーが外部データを必要とする質問を投げかけると、フローが開始されます。MCPクライアントは利用可能なサーバーとその機能を検出し、リクエストを適切なツールに適合させます。処理を実行する前に、パーミッションチェックによってLLMがそのリソースにアクセスできるかどうかが検証されます。

シンプルなシナリオとして、セキュリティ アナリストが「当社のメール ゲートウェイの現在の脅威レベルはどうなっていますか？」と質問する場合を考えます。クライアントは該当するMCPサーバーを特定し、アクセス権限をリクエストした上でツールを呼び出し、得られた回答をLLMのコンテキストに注入します。モデルはそのライブデータを用いて回答を構成します。

複雑なシナリオでは複数のステップを伴います。例えば、アナリストが「この不審なメールを調査し、悪意がある場合はチケットを作成してください」と依頼する場合です。LLMは、フォレンジックツールの呼び出し、脅威インテリジェンスへのクエリ、結果の評価、そして場合によってはチケッティング システムの起動が必要であることを認識します。各ステップには、個別のパーミッション バリデーションとコンテキストの更新が必要です。

高度なインプリメンテーションではサンプリングがサポートされており、サーバーは処理の途中で追加の入力をリクエストできます。サーバー主導のリクエストにより、外部システムは明示的なクエリを待つことなく、LLMにアップデートをプッシュすることが可能です。これらの拡張機能により、MCPは単純なリクエスト レスポンス システムから、双方向の通信チャネルへと進化します。

RAGとMCPは、実世界のシナリオにおいて非常にうまく連携します。アナリストが、「当社のデータ リテンション ポリシーでは脅威ログについてどのように規定されており、現在何件のログが保存されていますか？」という質問に答える必要があるとしましょう。RAGがポリシー ドキュメントを取得する一方で、MCPはSIEMに対して実際のログボリュームを照会するためのツールを呼び出します。LLMはこれら両方の入力を統合し、完全な回答を作成します。

アーキテクチャを評価するITディレクターにとって、その決定はスケールと標準化に集約されます。社内のナレッジベースから受動的な情報の取得のみが必要な場合は、RAGのみのセットアップで十分です。単一のモデルで特定のアクションをトリガーする必要がある場合は、Function Callingを追加します。一貫性があり監査可能な方法でセキュリティスタックにアクセスする必要がある複数のAIシステムを運用している場合は、MCPを選択してください。

複数のAIイニシアチブを並行して進めているセキュリティチームにとって、MCPはレスポンス時間の短縮や運用オーバーヘッドの削減に直結する具体的な利点をもたらします。

• ハルシネーションの抑制と事実に基づく根拠の強化：LLMがMCPを通じてリアルタイムデータにアクセスすると、トレーニングデータから推測するのではなく、実際のシステム状態に基づいて質問に回答します。インシデントを調査するセキュリティ アナリストは、もっともらしく聞こえる作り話ではなく、最新のファイアウォールログや現在の脅威インテリジェンスを取得できます。このように事実に根ざすことで、時間の制約があるセキュリティイベント中に誤った情報に基づいて行動するリスクが軽減されます。
• ツールやシステム統合の容易化：すべてのAIモデルとセキュリティツールに対してカスタムコネクタを構築することは、膨大な技術的負債を生み出します。MCPはこれらの接続を標準化するため、インテグレーションを一度記述すれば、異なるモデル間で再利用できます。チームが脆弱なAPIブリッジの維持に費やす時間は減り、検出ロジックやレスポンス プレイブックの改善により多くの時間を割けるようになります。
• モジュール性、再利用性、およびベンダーニュートラル性の向上：MCPサーバーは、どのLLMプロバイダーを選択したかに関わらず、あらゆる準拠クライアントで動作します。あるモデルから別のモデルへの切り替えや、スタックへの新しいAIツールの追加を決定した場合でも、既存のインテグレーションは変更なしで機能し続けます。この柔軟性により、投資を保護し、AI環境が進化する中でのベンダーロックインを防止します。
• スケーラビリティとメンテナンス性の向上：AIの活用範囲が広がるにつれ、MCPはどのようなツールが存在し、各エージェントがどのような権限を持っているかを示す記録システムを提供します。SOC（セキュリティ オペレーション センター）は、分散したコンフィギュ レーションを追跡するのではなく、アクセスポリシーを一元管理できます。アクセス権限を無効にする必要がある場合や、エージェントがどのデータに接触したかを監査する必要がある場合、調査すべきプロトコルレイヤーは1つだけです。
• 自律型およびエージェント型ワークフローの実現：MCPは、AIエージェントが最小限の人間の介入で意思決定を行い、アクションを実行するマルチステップの運用をサポートします。エージェントがフィッシング キャンペーンを検出し、それを脅威インテリジェンスと関連付け、影響を受けるユーザーを特定し、不審なメールを自動的に隔離するといったことが可能です。これらの自律型ワークフローは、コンプライアンスチームが求める監査証跡を維持しながら、レスポンス時間を数時間から数分に短縮します。
• 可視性の向上と監査証跡：MCPは、エンタープライズ システムとのすべてのAIインタラクションに対して統合されたロギングレイヤーを作成します。セキュリティチームは、各エージェントがいつ、なぜ、どのデータにアクセスしたかを正確に追跡できます。この可視性は、セキュリティ監査、コンプライアンス レビュー、またはインシデント調査において、AIエージェントが何を行ったか、どのような情報にアクセスできたかを再現する必要がある場合に不可欠となります。

MCPの真の価値は、セキュリティ運用に適用されたときに明らかになります。これらの活用事例は、MCPがいかにしてAIを静的なアシスタントから、防御ワークフローにおいて自律的に役割を果たす存在へと進化させるかを示しています。

脅威インテリジェンスの拡充

セキュリティチームは、MCPサーバーを通じて、LLMを複数の脅威フィードAPI、内部ログ、および脆弱性データベースに接続できます。アナリストが侵害指標を調査する際、AIは利用可能なすべてのソースからのコンテキストを使用して、その情報を自動的に拡充します。中小企業はこれをSaaSベースの脅威フィードに限定するかもしれませんが、大規模企業はオンプレミスのSIEMデータや独自のインテリジェンス プラットフォームとより深く統合します。

自動化されたインシデント レスポンス

MCPにより、LLMは人間の介入なしにSOARプレイブックをトリガーし、エンドポイントを照会し、侵害されたシステムを隔離し、チケットを更新することが可能になります。AIは状況を推論し、深刻度とコンテキストに基づいて適切なアクションを実行します。CISOは、影響の大きいアクションに対する承認フローや、すべての自動化された意思決定の包括的なロギングを通じて、悪用のリスクを軽減する必要があります。

セキュリティChatOpsアシスタント

社内ヘルプデスクボットは、自然言語を通じて、ポリシーに関する質問への回答、ユーザー権限の確認、資格情報のリセット、およびセキュリティツールへのクエリを実行できます。MCPは、対話型インターフェースとバックエンドシステムの間に安全な架け橋を提供します。運用の成功は適切なスコープ設定にかかっており、アシスタントが特権を昇格させたり、許可されたレベルを超えて機密データを公開したりしないようにする必要があります。

コンプライアンスとポリシーの推論

LLMは、MCPを通じて実際のシステム状態を照会することで、設定が規制コンプライアンスの要件を満たしているかどうかを評価できます。AIは、RAGを介して取得したポリシー文書とライブデータを比較し、リアルタイムでギャップを特定します。このダイナミックなアプローチは、定期的な手動監査よりも迅速に設定の乖離を捉えることができます。

MCPは強力な機能をもたらしますが、同時にアタックサーフェスを拡大させます。セキュリティリサーチ担当者は、慎重なアーキテクチャ設計を必要とする脆弱性を特定しています。

ツールの誤用と不正なアクション

プロンプト インジェクションは、依然として最も重大な脅威です。MCPサーバーがデータを返す際、その中にLLMの動作をハイジャックする隠れた指示が含まれている可能性があります。Embrace The Redのセキュリティ研究者兼ブロガーであるヨハン・レーベルガー氏は、悪意のあるツールのメタデータによって、Claudeに意図しないツールを呼び出させたり、機密情報を漏洩させたりする方法を実証しました。

レーベルガー氏は、「ツールを有効にするだけで、LLMの推論の制御がその特定のMCPサーバーに渡されることになる」と述べています。CISOは、影響の大きいアクションに対するヒューマン イン ザ ループによる制御や、データの削除や権限の変更といった操作に対する包括的な承認ワークフローを必要としています。

隠れた指示とASCIIスマグリング

ツールの説明には、APIやUIレイヤーを検出されることなく通過する不可視のUnicodeタグが含まれる可能性があります。ツールのメタデータを検査するユーザーには無害なテキストに見えますが、LLMはUnicodeタグに埋め込まれた隠れた指示を解釈します。

レーベルガー氏は1年以上前にこの問題をAnthropicに公開しましたが、反応は限定的でした。同氏は「不可視の指示は、MCPドキュメントにおいてセキュリティ上の脅威として強調され、少なくともClaudeのUI上で可視化されるべきである」と指摘しています。ベストプラクティスとして、ツールのメタデータに隠し文字がないかスキャンし、不可視の指示セットをブロックするためにアローリストベースのトークンフィルターを実装することが求められます。

サプライチェーンとサーバーの信頼性

すべてのMCPサーバーが同等に作られているわけではありません。信頼できないサーバーをダウンロードしたり、コードレビューなしでコミュニティ製のインテグレーションを使用したりすると、バックドアのリスクが生じます。レーベルガー氏は、この点を直接強調しています。「信頼できないMCPやOpenAPIツールサーバーに、無造作にAIをダウンロードしたり接続したりしないでください。」

ITディレクターは、検証済みのソースからのサーバーを要求するポリシーを施行すべきです。未検証の代替案よりも、GitHubやプルーフポイントといったベンダーによる公式実装を使用することが望ましいです。ピアコードレビューや静的解析は、コマンド インジェクションや資格情報の漏洩といった一般的な問題を特定します。

データ漏洩と混乱した代理人攻撃

MCPは、AIが昇格した特権を持つユーザーに代わって動作する「混乱した代理人」シナリオを引き起こします。脅威インテリジェンスを閲覧しているアナリストが、一見無害なツール呼び出しを介して、メールを外部に漏洩させたり内部ドキュメントを盗み出したりする悪意のあるサーバーを起動してしまう可能性があります。AIは、意図せず不正なアクションを実行する仲介者となってしまいます。人のIDとAIのアクションを紐付けて追跡し、インシデント レスポンスの際に攻撃チェーンを再構築できるようにするために、ロギングとモニタリングが不可欠となります。

認証と権限の昇格

現在のMCPの実装において、強固な認証の確立は大きな課題となっています。OAuth 2.1のサポートは進化の過程にありますが、多くのサーバーは、資格情報の漏洩や権限の乱用を許す可能性のある基本的なトークン管理に依存しています。ゼロトラスト アーキテクチャは、プロトコルレベルで最小権限アクセスを強制することで役立ちます。すべてのツールの呼び出しは、静的な設定に依存するのではなく、現在のユーザーコンテキストに対して権限を検証する必要があります。

監査とガバナンス

包括的なロギングがなければ、AIエージェントが何を行ったか、あるいはどのデータにアクセスしたかを再現することはできません。セキュリティ運用には、リクエストとレスポンスの完全なロギングとともに、人間のIDをAIのアクションに紐付ける監査証跡が必要です。MCPソリューションは、データアクセス ポリシーを強制し、すべてのMCPインタラクションの改竄防止ログを作成することで、このガバナンスレイヤーを提供します。

コンセプトから本番環境への移行には、アーキテクチャやデプロイに関する実用的な判断が必要です。ここでは、実際の導入において有効な手法と、チームが陥りがちな失敗について説明します。

1. サーバー側から始める：クライアントの複雑さを心配する前に、MCPサーバーを構築または採用してください。セキュリティチームが日常的に使用しているツールやデータソースを選択し、MCPに公開します。この焦点を絞ったアプローチにより、スタック全体に拡張する前にアーキテクチャを検証できます。
2. トランスポートを賢く選択する：デスクトップAIアシスタントや開発ツールなど、低レイテンシが必要なローカルプロセスにはSTDIOを使用してください。ネットワーク経由で分散アクセスが必要な場合や、複数のチームで同じMCPサーバーを共有する場合は、サーバーセント イベントを備えたHTTPに切り替えます。
3. すべてを明示的にバージョニングする：APIの変更は、後方互換性を維持しない限りクライアントを破損させます。サーバーにはセマンティック バージョニングを使用し、重大な変更はリリースノートに記載してください。バージョンの規律に数分を費やすことで、本番環境での障害調査にかかる数時間を節約できます。
4. 堅牢なエラー処理を構築する：外部APIは、レート制限、タイムアウト、ネットワークの問題により頻繁に失敗します。指数バックオフを備えたリトライロジックと、部分的な障害が連鎖しないようなグレースフル デグラデーション（段階的な機能縮小）を実装してください。LLMは、ユーザーに不可解なエラーメッセージを返すのではなく、何が問題だったのかを説明する必要があります。
5. スキーマを厳格に検証する：検証なしに外部サーバーからのツール定義を信頼してはいけません。隠れたUnicode文字をスキャンし、パラメータ型をアローリストと照合し、過剰な権限を要求するスキーマを拒否してください。よくある間違いには、ツールのメタデータを額面通りに受け取ることや、機密データを含むフィルタリングされていないコンテキストをストリーミングすることが含まれます。
6. 真剣にモニタリングを行う：すべてのMCPインタラクションにおいて、レイテンシ、エラー率、権限拒否を追跡してください。単一のエージェントが数百回のリクエストを行ったり、通常時間外にリソースにアクセスしたりするといった異常なパターンに対してアラートを設定します。テレメトリーがなければ、インシデントが発生した際に手探り状態で対応することになります。
7. 段階的に導入する：既存のインテグレーションを一晩で全面的に刷新することは避けてください。現在のシステムと並行してMCPを運用し、一度に1つのユースケースずつ移行します。書き込みアクセスや破壊的変更を有効にする前に、まずは読み取り専用の操作から始めてください。

MCPは、Python、TypeScript、Java、およびC#にわたるSDKにより、大幅なエコシステムの成長を遂げました。AWS、Azure、Google Cloudを含む主要なクラウドプロバイダーが、現在ファーストパーティのサポートを提供しています。このプロトコルは、LLMを超えてエージェント型アプリやレガシーなアナリティクス ワークロードへとリーチを広げ、ユースケースを問わない汎用性を示しています。

ガバナンスとエコシステムの成熟度は、依然として未解決の課題です。Anthropicは、断片化されたサードパーティのカタログにわたる発見可能性と信頼性の問題を解決するため、2025年9月に中央集中型レジストリを立ち上げました。現在のモデルは、不完全なメタデータやサーバーの真正性確認の難しさに悩まされています。正式なガバナンス構造が形成されつつあり、AnthropicはMCPがスケールする過程でコミュニティ主導を維持できるよう、オープンソース プロトコル管理の経験豊富なコントリビューターを積極的に募集しています。

エージェント オーケストレーション フレームワークとの統合は、興味深い機会を提示しています。MCPは、LangChain、CrewAI、BeeAI、およびLlamaIndexといったツールを置き換えることなく補完します。フレームワークがワークフロー管理やマルチエージェントの調整を処理する一方で、MCPはその下のツール アクセス レイヤーを標準化します。CrewAIは、リソースを大量に消費するタスクをリモートサーバーにオフロードするアダプターを通じて、すでにMCP統合をサポートしています。この責任の分割により、オーケストレーション ロジックがデータアクセスの懸念事項から切り離された、よりクリーンなアーキテクチャが実現します。

今後の機能強化は、長時間実行されるタスクのための非同期処理、水平スケーリングのためのステートレスなサーバー設計、および機能発見のための既知のURLを使用したサーバー アイデンティティ メカニズムに焦点を当てる可能性が高いでしょう。仕様のロードマップには、専門業界向けの公式拡張機能や、開発者が実装の品質を評価するのに役立つSDKティアリングシステムが含まれています。導入が加速するにつれ、強化された認証メカニズムとセキュリティ オペレーションのためのオブザーバビリティの向上が、企業の懸念に対処することになります。

MCPは、AIエージェントをエンタープライズ ツールと統合するための新しい規格を確立し、強力なセキュリティとガバナンスのもとで実装された場合、モジュール性、効率性、およびリアルタイムのコンテキストを提供することを約束します。セキュリティチームは、ポータブルで監査可能かつスケーラブルなフレームワークを期待できますが、リスクを管理するためには堅牢な権限管理と詳細な監査ロギングが不可欠です。MCPは、防御側が最新のデータを使用して自動化、コラボレーション、および推論を行う方法を再構築しています。

2025年9月に開催されたプルーフポイントの年次カンファレンスでは、エージェント型AIに関連して浮上しているデータセキュリティのリスクに同社が対処する中で、MCPが中心的な役割を果たしました。2026年第1四半期にローンチされるProofpoint Secure Agent Gatewayは、MCPを使用して、AIエージェントを安全かつ監査可能な方法で外部データに接続します。このアプローチは、より広範な業界のシフトを反映しています。効果的な防御には、単なる過去のパターンだけでなく、現在のコンテキストで推論できる人工知能が必要です。

MCP対応のセキュリティ ソリューションを検討する場合や、安全なエージェント型AIを自社環境に導入する方法についての詳細は、エンタープライズでの安全な導入に関する専門的なガイダンスと実戦経験を備えたプルーフポイントまでお問い合わせください。