セキュリティSaaS企業が実践するCursor運用ルールと知見 / How a Security SaaS Company Runs Cursor: Rules & Insights

Transcript

1. © 2025 Cloudbase Inc. セキュリティ SaaS企業が実践する 
 Cursor運用ルールと知見 
 Cloudbase株式会社


   瀧澤 哲
 1 Cursor Meetup Tokyo 2025/06/06


2. © 2025 Cloudbase Inc. 2 00 / はじめに
 目次
 1.

   自己紹介
 2. 今日お話したいこと
 3. 生成AI/Cursorのリスクと最低限の対策
 4. まとめ


3. © 2025 Cloudbase Inc. 3 00 / はじめに
 目次
 1.

   自己紹介
 2. 今日お話したいこと
 3. 生成AI/Cursorのリスクと最低限の対策
 4. まとめ


4. © 2025 Cloudbase Inc. 01 / 自己紹介
 苫⼩牧⼯業⾼等専⾨学校を卒業後、株式会社CARTA HOLDINGS に⼊社。Web広告の管理システムの開発‧運⽤を担当した後、

   2024年6⽉にCloudbaseへジョイン。 プロダクト開発やテクニカルサポートを通じて、お客様の課題 解決に取り組む。 現在はUnlock室に所属。社内でのAI普及や業務効率化の推進に 注⼒している。 保有資格：情報処理安全確保⽀援⼠（第030341号）   AWS Certified Solutions Architect - Associate 瀧澤 哲 Tetsu Takizawa Cloudbase株式会社 Software Engineer

5. © 2025 Cloudbase Inc. 01 / 自己紹介
 5 ちょっとだけ会社紹介

6. © 2025 Cloudbase Inc. 6

7. © 2025 Cloudbase Inc. Cloudbase - 国産CNAPP
 7 CSPM （設定ミス）

   ワークロード可視化 ワークロード保護 脆弱性検知 CWPP （脆弱性） CIEM （ID管理） 異常検知 クラウドを安全に活用するための、 CNAPP機能を提供
 クラウド設定ミス検知 コンプライアンス監査 アセット可視化 リスク可視化‧管理 ID‧権限可視化 ID管理 権限管理 CNAPP CNAPP : Cloud Native Application Protection Platform
 CSPM : Cloud Security Posture Management
 CWPP : Cloud Workload Protection Platforms
 CIEM : Cloud Infrastructure Entitlement Management


8. © 2025 Cloudbase Inc. 8 クラウドセキュリティの SaaSを作ってます 💪

9. © 2025 Cloudbase Inc. 9 ちなみに...エンジニア 15人くらいで作ってます （やりたいことが無限、 Cursor が手放せない

   ...）

10. © 2025 Cloudbase Inc. 10 というわけでお世話になっている Cursor の話をします！

11. © 2025 Cloudbase Inc. 11 02 / 今日お話したいこと 
 目次


    1. 自己紹介
 2. 今日お話したいこと
 3. 生成AI/Cursorのリスクと最低限の対策
 4. まとめ


12. © 2025 Cloudbase Inc. 02 / 今日お話したいこと 
 12 業務でAIエディタを使っている方へ

13. © 2025 Cloudbase Inc. 02 / 今日お話したいこと 
 13 お客様情報を入力しない。

    クレデンシャルを入力しない。 なんとなくルールを守っている。 ↓ セキュリティや個人情報保護法について 不安を抱えている方も多いのでは 🤔

14. © 2025 Cloudbase Inc. 02 / 今日お話したいこと 
 14 どうしてやってはいけないのか？

    どんなリスクがあるのか？ 一歩だけ理解を深めるためのお話をします

15. © 2025 Cloudbase Inc. 02 / 今日お話したいこと 
 15 また、Cloudbase

    で行っている 開発を阻害しないリスク対策についてもご紹介します 🗒

16. © 2025 Cloudbase Inc. 16 03 / 生成AI/Cursorのリスクと最低限の対策 
 目次


    1. 自己紹介
 2. 今日お話したいこと
 3. 生成AI/Cursorのリスクと最低限の対策
 4. まとめ


17. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 17 Cursor

    で起きそうなリスクとは？ ↓ 大きく分けて 2つ ①技術的リスク ②コンプライアンスリスク

18. © 2025 Cloudbase Inc. Cursorで起きそうなリスクとは？（ざっくりと）
 ①技術的リスク
 • 生成されたコードが脆弱
 • 悪意のあるライブラリの利用


    ◦ タイポスクワッティング
 ◦ スタージャッキング
 ◦ 汚染されたライブラリ
 • 自動モードによる暴走
 • MCPに関連するリスク
 ②コンプライアンスリスク
 • 生成AIへの入力に関するリスク
 • 生成AIの出力に関するリスク
 
 18

19. © 2025 Cloudbase Inc. Cursorで起きそうなリスクとは？（ざっくりと）
 ①技術的リスク
 • 生成されたコードが脆弱 → ちゃんとレビューしましょう


    • 悪意のあるライブラリの利用 → 使うライブラリのチェックをしましょう
 ◦ タイポスクワッティング
 ◦ スタージャッキング
 ◦ 汚染されたライブラリ
 • 自動モードによる暴走 → サンドボックス環境での実行、ignoreの設定、そもそも自動モードを使わない
 • MCPに関連するリスク → 後述
 ②コンプライアンスリスク
 • 生成AIへの入力に関するリスク → リスクの高い情報を入力しないなど、後述
 • 生成AIの出力に関するリスク → 生成物をかならずチェックするなど
 
 19

20. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 20 ①技術的リスク

    Cursor といえば...MCP

21. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 1. ツールポイズニング攻撃

    
 
 概要
 ・悪意のあるMCPサーバーが、ツールの説明文にユーザーに は見えないがAIモデルには認識される隠れた指示を埋め込 み、AIの動作を乗っ取る攻撃手法
 
 緩和策
 ・信頼できるMCPサーバーのみを使用する
 ・MCPサーバーのバージョンを固定する
 etc…
 21 ①技術的リスク
 出典: https://invariantlabs.ai/blog/mcp-security-notification-tool-po isoning-attacks
 


22. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 2. ラグプル攻撃


    
 概要
 ・一見正常に動作するツールが、あるタイミングで悪意のある動作　に 切り替わる攻撃手法。 
 ・本質的にはライブラリの悪性アップデートと同様のサプライ 
 　チェーン攻撃。 
 ・最近起きた（tj-actions/changed-files）のような攻撃手法 
 
 緩和策
 ・MCPサーバーのバージョン固定
 ・ツールの動作の監視など
 
 22 ①技術的リスク
 出典: https://invariantlabs.ai/blog/mcp-security-notification-tool-po isoning-attacks
 


23. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ①技術的リスク
 23

    どちらも機密情報やクレデンシャルが漏洩する可能性がある。

24. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ①技術的リスク
 24

    どちらも機密情報やクレデンシャルが漏洩する可能性がある。 ↓ Cloudbase で取っている緩和策を紹介

25. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 　以下2点を強く推奨することで、リスクを緩和 


    • MCPサーバーはmodelcontextprotocol/servers で公開 されているもの or サービス公式が公開してるものを使うこと
 
 • 第三者が作ったMCPサーバーを使う場合は実装内容を必ず 確認したうえで、必ずバージョンを固定して使うこと
 
 25 ①技術的リスク: Cloudbase で取っている緩和策 
 { "mcpServers": { "github": { "command": "docker", "args": [ "run", "-i", "--rm", "-e", "GITHUB_PERSONAL_ACCESS_TOKEN", "ghcr.io/github/github-mcp-server@sha25 6:3873b0da16d47640e47f1f11f7ad856c144c8f358b504996c ded046bc2229175" ], "env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "xxx" } } } }
 今までのサプライチェーン攻撃の対策が流 用可能

26. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 基本的には、CloudbaseではAPIキーを個人で扱うようなMCPサーバーの利用を積極的に推奨せず。 


    
 理由として、トークンの管理が煩雑になるためや、安全性が個人のセキュリティリテラシーに依存するため。 
 一方で、MCPサーバーが業務の効率化にとても有用な可能性を秘めているのは周知の事実であるため個人の裁量で利用 することは認めている。
 
 26 ①技術的リスク: Cloudbase で取っている緩和策 


27. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 27 余談

28. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 余談①: 前述の緩和策では防げないリスク

    → アーキテクチャ起因のリスク 例えばGitHub MCPのリスク
 • Toxic Agent Flows: 間接プロンプトインジェクションを利用したリスク
 • なお、プロンプトインジェクションはOWASP Top 10: LLM & Generative AI Security Risks で一位のリスク
 • GitHub MCP の実装バグではなく「同一エージェントがパブリック／プライベー ト両方にアクセスできる」という設計上の前提に起因
 攻撃フロー
 1. GitHub MCP サーバーを介して AI エージェントがパブリック Issue を取得する 際、攻撃者が仕込んだ悪意あるプロンプトを読み込む
 2. エージェントがプロンプトによってを乗っ取られ、別のプライベートリポジトリの内容 を取得する
 3. 取得した機密コードはパブリックリポジトリのPRで公開され誰でも閲覧可能
 
 28 出典: https://invariantlabs.ai/blog/mcp-github -vulnerability
 


29. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 余談①アーキテクチャ起因のリスク
 緩和策


    1. きめ細かいアクセス制限を実装する
 a. 最小権限の原則に従い、エージェントのアクセスを必要なリポジトリの みに制限する
 b. 一度のセッションでアクセスできるリポジトリを一つに絞る
 2. 継続的なセキュリティ監視
 a. invariantlabs-ai/mcp-scan のproxyモードといった脅威検知ツール の導入
 3. エージェントのツール自動実行を有効化しない
 
 29

30. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 余談①: もっとちゃんとするなら...（検討中）


    1. アーキテクチャに起因するリスクが 抑えられる可能性
 2. 認可によって、過剰な権限による 実行を阻止
 3. 将来的にお客様情報の匿名加工 などを行えるようになれば、利用者 （クライアント）は入力情報に関す るリスクを更に減らせる可能性
 30

31. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 31 New!

    昨日(6/5) Cursor1.0 がリリースされました！ 🎉 余談②: Cursor1.0 


32. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 • Cursor公式で

    MCP サーバーのリストが公開されました (https://docs.cursor.com/tools)
 ◦ 数回のクリックで導入できてとても便利 
 • また、同時にOAuthのサポートも公開されています 
 • このリストのMCPサーバーは推奨してもよさそう 
 
 
 32 余談②: Cursor1.0 


33. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 33 本題に戻ります

    🔙

34. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 34 ②コンプライアンスリスク

    ↓ 生成AIへの入力のリスクを紹介

35. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 35

    AIにお客様の情報を入力するときの OK/NG の条件とは？ ↓ はっきりとした情報がなくモヤモヤするといった方も多いのでは？ 🤔

36. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 36

    なぜはっきりとした情報がないのか？ ↓ 一律なルールが存在しないから

37. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 一律なルールが存在しない🧐


    • 利用規約やプライバシーポリシーが企業によって異なる
 • 入力する目的次第で入力OK/NGが変わる
 • 匿名加工すれば入力OK/NGも変わる
 • データが国外へ送られるかどうかでも変わる
 37 だからこそ、「判断のポイント」を理解することが大事 ↓ 後ほどCloudbase での入力可否の検討を抜粋紹介します！

38. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 そもそもなぜ入力に気をつける必要があるのか？


    • 法規制・契約のリスク
 ◦ 個人情報保護法・EU AI Act 等の規制違反、お客様と当社と締結しているNDA・利用契約違反等
 • 情報セキュリティ・プライバシーのリスク
 ◦ 機密情報の漏洩、PII の外部送信、モデル学習への混入等
 • レピュテーション・事業継続のリスク
 ◦ 行政処分・停止命令によるサービス中断、ブランド毀損、投資家不信等
 
 個人情報が漏洩した場合、1人分につき数千円〜数万円の損害賠償が相場とされている。
 最悪の場合、事業継続が不可となる可能性もある。
 38

39. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 39

    先に結論 ↓ 「お客様の情報は一切生成 AIに入力しない」 が実行しやすい一歩目のリスク緩和策となる

40. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 40

    なぜそうなるのか？ ↓ Cloudbase でのお客様情報入力可否の検討を辿って紹介します。

41. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 41

    Cloudbase でのお客様情報入力可否の検討 ↓ 国内外の法令、利用規約・プライバシーポリシー、 お客様への姿勢などをもとに法務と連携して実施 ※ 検討中のため未確定な内容も含みます


42. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク: Cloudbaseでの入力可否の検討


    検討1 お客様の個人情報はそもそも利用してよいのか？
 
 Cloudbaseの「個人情報の取扱いについて」の「3.個人情報等の取得と目的について」では以下のように定められている。
 つまり、目的が記載の内容であればOK。ただし、条件（後述）は厳守。
 42

43. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク: Cloudbaseでの入力可否の検討


    検討2 お客様の個人情報を第三者サービスに入力してよいのか？
 生成AIは基本的に第三者サービス。
 Cloudbaseの「個人情報の取扱いについて」の「7.個人情報の委託について」では個人情報の「委託」をすることが可能となっている。
 
 
 
 ただし...「6.個人情報の第三者提供について」では第三者へ個人情報を提供することは禁じられている
 
 
 噛み砕くと、個人情報を入力することは不可能ではないが、入力データの学習の無効化などの対応は必須
 
 43

44. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク: Cloudbaseでの入力可否の検討


    検討2 お客様の個人情報を第三者サービスに入力してよいのか？（補足）
 
 • 利用規約・プライバシーポリシーを守ればリスクがないわけではない
 ◦ データの委託先が情報漏洩を起こせば、我々もお客様もその影響を受ける可能性がある。
 • 例えば、OpenAIが入力されたデータの学習・利用をしないとしていたとしても、情報漏えいが発生すれば我々もその影響を受け ることになる。
 • そのため、セキュリティに信頼のおけるサービスを選定することや、そもそも無用に機密情報を入力しないといったことが非常に 重要となる
 
 
 44

45. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク: Cloudbaseでの入力可否の検討


    検討3 お客様の個人情報を国外の第三者サービスで利用する同意が取れているか？
 例えばChatGPTやCursorなど、国外の生成AIサービスでの利用はOKか？
 ↓
 国外に個人情報を持ち出し、利用する場合にはお客様の同意を得る必要があるので要チェック。
 Cursorの場合は推論がアメリカ合衆国で行われることが明記されているため、お客様の同意を得る必要がある。
 ただし、第三者サービスを提供している国によって、対応が異なるため注意が必要
 日本の個人情報保護法と同水準の法令が整備されているかという点が対応の分かれ目となる。
 
 参考: https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-1
 主要な地域の法令: https://www.ppc.go.jp/enforcement/infoprovision/laws/ 
 
 
 45

46. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク: Cloudbaseでの入力可否の検討


    検討4 お客様の個人情報を匿名加工すれば海外サービスにも入力してもOKか？
 
 匿名加工情報を作成・提供する際には、プライバシーポリシー等に規定することが個人情報保護法おいて定められている。
 したがって、自社のプライバシーポリシーで匿名加工情報の作成が規定されているか要確認。
 
 
 46

47. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 47

    とにかく分岐や条件が多く、理解が難しい ↓ 結論は「お客様の情報は一切生成 AIに入力しない」 が実行しやすい一歩目のリスク緩和策となる

48. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 ②コンプライアンスリスク
 48

    とはいえこれでは利便性に乏しい ↓ わかりやすい表現で整理・周知

49. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 第三者サービスの選定時に法務・セキュリティ水準のチェックを通す。
 お客様情報を入力してよい条件をわかりやすくシンプルに表現し、ポリシーとして周知予定。


    判断に迷う場合などは法務の方に相談することを推奨。
 （生成AIに入力する目的、データ項目、（個人情報であれば加工状態）を整理するとスムーズ）
 また、AI時代のサービス価値提供のために利用規約の改定も検討中。
 49 ②コンプライアンスリスク: Cloudbase で取っている緩和策 


50. © 2025 Cloudbase Inc. 50 02 / 今日お話したいこと 
 目次


    1. 自己紹介
 2. 今日お話したいこと
 3. 生成AI/Cursorのリスクと最低限の対策
 4. まとめ


51. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 まとめ
 ①MCPに関するリスクの緩和策


    • MCPサーバーはmodelcontextprotocol/servers で実装・公開されているもの or サービス公式が公開してるものを 使うこと
 • 第三者が作ったMCPサーバーを使う場合は実装内容を必ず確認したうえで、必ずバージョンを固定して使うこと 
 • 今までのサプライチェーン攻撃への対策が有効 
 
 ②生成AIの入力に関するコンプライアンスリスクの緩和策 
 • 実行しやすい一歩目のリスク緩和策として「お客様の情報は生成 AIに入力しない」
 • AIの活用できる範囲を広めるために自社の利用規約・プライバシーポリシーや法令、お客様に向き合う 
 51

52. © 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策 
 52 懇親会で話しましょう

    🤝