MCPはもう止まらない。じゃあどう守る？ 〜 社内セキュリティ担当者の視点で考える、MCPのセキュリティと社内への展開

Transcript

1. 2025/4/25 クラスメソッド株式会社 江口佳記 MCPはもう止まらない。じゃあどう守る？ 〜 社内セキュリティ担当者の視点で考える、MCPのセキュリティと社内への展開

2. • MCPを利用して、AIエージェントをいろいろなサー ビスとつなげていく流れは止まらないだろう • しかしセキュリティの観点では、MCPはまだ問題 も多い • ビジネスの生産性の向上の観点からは一概に止め るべきではないが、ではどうすればセキュリティ は守れるのか？

   テーマ 2

3. MCPの セキュリティ的な問題 3

4. • 現状さまざまなMCPサーバを有志が開発しているが、信頼 できない場合悪意のある動作をする可能性がある • もともと問題がなかったMCPサーバでも、後から動作が書 き換えられる可能性はある ◦ npxなど、外部からダウンロードしたMCPサーバを実行す る場合、改ざんの危険性はより高まる 悪意のあるMCPサーバの問題

   4

5. • PC内の重要な情報（認証情報など）の窃取 • MCPサーバ連携先のサービスへの攻撃 • LLMへのプロンプトインジェクション MCPサーバに悪意あるコードを仕込まれた場合のリスク 5

6. • MCPツールの説明に悪意のあるコードを埋め込む「ツール汚染攻撃」 が可能であることが報告された • ツールの説明文にユーザーに通常表示されない隠し指示を埋め込ん で、不正な動作を実行させることができる 最近報告されたMCPの脆弱性 6 引用元： https://invariantlabs.ai/blog/mcp-securi

   ty-notification-tool-poisoning-attacks

7. • ラグプル攻撃：ユーザーが信頼したMCPサーバの動作を、後から 悪意あるものに書き換える ◦ 絨毯（Rug）を引っ張る（Pull）＝足元を掬うという意味合い • シャドーイング：悪意のあるMCPサーバが、正常な別のMCPサー バの動作を上書きする攻撃 ◦ 前述のツール汚染攻撃の例だと、ツールの説明文に他のMCP

   ツールの動作を変更するプロンプトを仕込む方法が報告され ている ◦ 正常なMCPサーバの影に隠れて攻撃を行う、という意味合い MCPサーバ書き換えの攻撃手法 7

8. • MCP-Scan : https://github.com/invariantlabs-ai/mcp-scan • 解説ブログ書きました: https://dev.classmethod.jp/articles/mcp-scan/ MCPサーバの脆弱性をチェックするツールも出てきている 8

9. どう守るか 9

10. • 早い話、ユーザーには安全が確認されたMCPサーバ のみを使ってもらえれば良い • が、ローカルPCでMCPサーバを立てる現状の主流の 利用方法では、仕組みで統制するのは現状では結構 難しい • 今後のMCPの進化も見据えて、どういった構成で社 内導入していくかを考える必要がある

    10

11. • ベンダの公式サーバなど、信頼性が高いものを利用する ◦ AnthropicのMCPサーバの公式リポジトリのReference Servers やOfficial Integrationsにリストされているサーバは比較的信頼 性が高い ◦ https://github.com/modelcontextprotocol/servers/

    • MCPサーバをなるべく安全に呼び出す ◦ npx, uvxで呼び出すのをできれば避ける ◦ Dockerコンテナ形式などは比較的安全 ◦ とはいえどう呼び出せるかはサーバ側の実装にもよる • 前述のMCPサーバのスキャンツールを利用して問題ないか を確認する MCPサーバの安全性の確保 11

12. 社内への展開案 12

13. • 社内での導入におけるもっともシンプルな対応 • ユーザーがMCPサーバをローカルで動かすことを許容しつ つ、利用して良いMCPサーバについてルールを決める • 利用して良いMCPサーバについては、前述のページで安全 性が高いと確認できたものをリスト化 • あくまでお願いベースなので、強制力は低い

    許可するMCPサーバをリスト化して社内共有 13

14. • 社内用のMCPサーバを建ててそれを利用してもらう • 社内のシステム管理者ならまずこの形を考えているはず • 課題： ◦ MCPサーバ側でリモート利用を想定していない実装がまだ多い ◦ OAuth認証の整備が進んでいるが、現状の仕様でも課題が提起さ

    れており活発に議論中 • とはいえ、将来的には整備が進みリモート対応のサーバは増 えていくはず 社内MCPサーバの設置 14

15. Cloudflare環境でのOAuth認証を備えたリモートMCPサーバの構築例の解説 https://dev.classmethod.jp/articles/mcp-server-without-local-credentials-cloudflare/ 参考：弊社ブログ記事 15

16. • 別の観点として、MCPクライアント機能自体をSaaSでユーザーに提供す ることも考えられる • メリット ◦ MCPクライアントを各ユーザーのローカル環境に導入する必要がない ◦ どのMCPサーバを使わせるか管理者側でコントロールできる MCPクライアントのSaaS提供

    16

17. おわりに 17

18. • MCPサーバのセキュリティ対策はまだ道半ば • 簡易的な対策としては信頼性の比較的高い公式の MCPサーバを利用してもらう • 今後については、全社的に利用できるMCPサーバや クライアントをリモート・集約管理できる形で導入 する形を検討していくのが良いのでは 18

19. ご清聴ありがとうございました 19

20. Appendix 20

21. • MCPサーバーを利用することはセキュリティ的に安全か? ◦ https://zenn.dev/arrowkato/articles/mcp_security • MCPサーバーを利用する前に理解しておくべきセキュリティ リスク ◦ https://zenn.dev/sun_asterisk/articles/mcp_security_risk •

    MCPサーバーを安全に動かすための工夫 ◦ https://blog.lai.so/crashing-mcp-server/ • 【#も読】MCPことはじめ / MCPサーバーのセキュリティリ スク（@yusuktan） ◦ https://findy-code.io/media/articles/modoku20250404-yusuktan 参考文献一覧 1/3 21

22. • MCP Servers: The New Security Nightmare ◦ https://equixly.com/blog/2025/03/29/mcp-server-new-security-ni ghtmare/

    • MCP Security Notification: Tool Poisoning Attacks ◦ https://invariantlabs.ai/blog/mcp-security-notification-tool-poiso ning-attacks • Everything Wrong with MCP ◦ https://blog.sshh.io/p/everything-wrong-with-mcp • The MCP Authorization Spec Is... a Mess for Enterprise ◦ https://blog.christianposta.com/the-updated-mcp-oauth-spec-is- a-mess/ 参考文献一覧 2/3 22

23. • Cloudflareで実現！ローカル認証情報不要のMCP ◦ https://dev.classmethod.jp/articles/mcp-server-without-local-credentials-cloudflare/ • MCPサーバをスキャンするツール・MCP Scanについて調べて みた ◦ https://dev.classmethod.jp/articles/mcp-scan/

    参考文献一覧 3/3 23