本文の内容は、2025年7月2日にConor Sherman が投稿したブログ(https://sysdig.com/blog/why-mcp-server-security-is-critical-for-ai-driven-enterprises)を元に日本語に翻訳・再構成した内容となっております。
モデルコンテキストプロトコル(MCP)サーバセキュリティ
企業において、新たに、そしてほとんど目に見えないバックドアが開かれました。それは従来の意味での脆弱性のようには見えませんが、自律的な AI エージェントに資産の移動、データの改変、業務プロセスの実行といった能力を与えることがあり、時には人間の関与なしにそれが行われることもあります。これにより、Model Context Protocol(MCP)サーバーのセキュリティの重要性が必要とされます。
これらを重大な攻撃対象として扱わないことは、現在の AI 技術スタックにおける最大の未解決リスクとなっております。多くの経営陣がモデルの精度やデータのプライバシーに注力している一方で、これらの接続基盤を狙った一連の最近の侵害は、組織に甚大な損害をもたらしかねない重大な見落としを浮き彫りにしています。
リスクは現実のもの
攻撃者はすでに、AIの確率的な性質と従来のセキュリティの決定論的な制御との間の隙間を悪用しています。Sysdig脅威リサーチチーム(TRT)は、2024年5月に初めてLLMジャッキングを発見し、それ以来、この進化する脅威について報告し続けています。LLMジャッキングとは、コードの作成、ソーシャルエンジニアリングキャンペーンの実施、アクセスの販売、その他の非倫理的な行為など、さまざまな悪意のあるユースケースのために、被害者のLLMに不正にアクセスすることです。DeepSeekのデータベース構成ミスにより、数百万件ものチャットログとAPIキーが公開され、単一の見落としがシステム全体の侵害につながる可能性があることが示されました。一方、Hoplon InfoSecは、LLMトレーニングデータセットで12,000を超えるAPIキーとパスワードを発見し、機密性の高い認証情報がいかに簡単に漏洩し、大規模に悪用される可能性があるかを浮き彫りにしました。
私にはこの道のりを歩んだ経験があります。2015年、同僚たちと私がベンダーに対し、セキュリティ運用の自動化を実現する機能豊富なAPIを求めていた頃を覚えています。これはSOAR市場の初期の兆候でした。当時の論理は、現在のMCPと同じです。つまり、大規模な運用にはレバレッジが必要だということです。しかし、この新たなレバレッジは、新たな種類のリスクをもたらします。私がこのことを身をもって学んだのは、Pythonプレイブック(私が作成したもの)のたった一つのロジックエラーが原因で、会社全体のインターネットアクセスが誤ってブロックされた時です。これは一度きりのミスです。では、同じエラーの可能性が、機械のスピードで動作する自律エージェントによって増幅されたと想像してみてください。これこそが、私たちがセキュリティを確保しなければならない新たな環境です。
これらは単発的なインシデントではありません。従来の管理策では対応できなかった新たな種類のリスクの初期兆候です。財務への影響は計り知れません。EU AI法に基づく規制上の罰金は、企業の全世界売上高の最大3~7%に達する可能性があり、AIによるセキュリティ侵害が公になった場合の顧客離れや株価下落による直接的なコストは、数千万から数億ドルに上る可能性があります。
MCPでは古い考え方が通用しない理由
なぜこれほど多くの組織が脆弱性を抱えているのでしょうか?その答えは構造的なものです。MCPサーバーは単なるAPIではなく、エージェント型AIの運用基盤です。決定論的で権限のスコープが厳密に限定される従来のAPIとは異なり、MCPは大規模な言語モデルにアクションを実行させます。このプロトコルは、リクエスト元とリクエストされたオブジェクトの両方が無害であると想定することが多いため、リクエストが常に検証されるとは限りません。これは、データ漏洩だけでなく、資産の不正な移動、ワークフローのトリガー、さらには運用の妨害など、意図しない結果につながる可能性があります。
脆弱性、脆弱な認証、迅速なインジェクション、そして広範な認可という3つの要素が重なり、従来のセキュリティモデルでは制御できない爆発半径を生み出します。規制当局もこの状況を認識しており、EU AI法とNISTのAIリスク管理フレームワークでは、組織がこれらのリスクに後付けではなく直接対処することが求められています。
MCP サーバー セキュリティの 4 つの柱
この新たな種類のリスクに対処するには、CISOとCTOはチェックリストにとらわれず、原則に基づいたアプローチを採用する必要があります。ここでは、同僚とこのリスクについて議論する際に私が用いる4つの戦略的柱をご紹介します。これはメニューではなく、方法論です。
1. 認証と資格情報管理
静的トークンと脆弱なセッション管理は、攻撃者にとって格好の標的となります。有効期間が短く、ローテーションする認証情報と多要素認証を実装しましょう。トークンの不正使用を監視し、認証情報の失効を自動化しましょう。これにより、トークンやキーが侵害された場合の影響を最小限に抑えることができます。しかし、強力な認証は最初のステップに過ぎません。システムへのアクセス権限を制限したら、次に課題となるのは、システムに対して何を要求できるかを制御することです。
2. 入力検証とプロンプトコントロールを強化する
プロンプトインジェクションは理論上のリスクではなく、実証済みの攻撃ベクトルです。すべてのレイヤーで厳格な入力検証とサニタイズを実施してください。許可/拒否リストを使用し、異常なプロンプトパターンを監視してください。一部の組織では、クエリをプロキシ経由でルーティングし、MCPサーバーが受信する前に既知の悪意のあるクエリを削除しています。ここでの目標は、顧客損失や法的リスクにつながる可能性のあるデータの流出や改ざんを防ぐことです。入力を管理した後は、出力を厳密に管理する必要があります。
3. きめ細かな認証とコンテキスト分離を強制する
権限が広すぎることや、マルチテナント制御が不十分な場合、影響範囲は甚大になります。MCPはこれまで認証に苦労しており、これがデータ漏洩につながる可能性があります。そのため、MCPサーバーを機密データセットに接続する前に、堅牢なソリューションを導入する必要があります。最小限の権限によるアクセスを強制し、きめ細かなロールベースの認証を実装し、コンテキストとテナントを分離することで、最適なセキュリティを確保します。ビジネスへの影響:侵害は企業全体ではなく、単一のワークフローまたはユーザーに限定されます。
MCPにとって、認証は長年の課題でした。これらのサーバーを機密性の高いデータセットに接続する前に、データ漏洩を防ぐための堅牢なソリューションが確実に導入されていることを確認してください。
4. 継続的な監視とAIリテラシーを制度化する
静的な制御は時代遅れです。MCPインタラクションのリアルタイム監視を導入し、定期的なレッドチーム演習をスケジュールし、IT部門だけでなくすべての事業部門がMCP対応AIのリスクと責任を理解していることを確認してください。プロダクトマネージャーから取締役会まで、AIリテラシーを備えた人材は、今や基本的な防御力となります。これは単なるセキュリティの問題ではなく、安全にイノベーションを進めるために必要な組織力を構築することです。ビジネスへの影響は2つあります。1つ目は、インシデントの検出と修復を迅速化できること、2つ目は、AIサプライチェーンのセキュリティの証明を求める企業顧客を獲得するための強力な差別化要因として活用できる、実証可能なセキュリティ体制を構築できることです。
信頼の新しい基準
昨年発生したセキュリティ侵害は例外ではなく、前兆でした。自律エージェントがビジネスオペレーションと不可分になるにつれ、それらを支えるMCPサーバーのセキュリティは、企業の信頼性を測る究極のリトマス試験紙となるでしょう。これを技術的な問題としてではなく、ビジネス戦略の中核理念として捉えるリーダーは、企業を守るだけでなく、AI時代におけるレジリエンスと革新性を備えた企業のあり方の基準を確立することになるでしょう。