MCP(Model Context Protocol)は、2025年の登場からわずか1年で月間9,700万回のSDKダウンロードを記録し、AIエージェントの業界標準プロトコルとしての地位を確立しました。しかし、エンタープライズ環境への導入には、スタートアップや個人利用とは異なるレベルのセキュリティ設計、権限管理、コンプライアンス対応が求められます。
OWASP(Open Worldwide Application Security Project)は2025年に「MCP Top 10」を公開し、トークン管理の不備や過剰権限、シャドーMCPサーバーなど、組織的に対処すべきリスクを明確にしました。本記事では、これらのリスクに対応しつつ、大規模組織でMCPを安全に運用するための設計方法を解説します。
エンタープライズ環境では、MCPサーバーの配置場所がセキュリティの基盤となります。主要なアーキテクチャパターンは以下の3つです。
| アーキテクチャ | 特徴 | 適用シーン |
|---|---|---|
| ゲートウェイ集約型 | 全MCPリクエストを単一ゲートウェイで受信・認証・ルーティング | セキュリティポリシーの一元管理が必要な金融・医療 |
| サービスメッシュ型 | 各マイクロサービスがMCPサーバーを内蔵し、mTLSで通信 | マイクロサービスアーキテクチャの組織 |
| ハイブリッド型 | 外部向けゲートウェイ+内部サービスメッシュの併用 | 複数部門・グローバル拠点を持つ大企業 |
Bloomberg社やAWS社が採用した段階的導入アプローチでは、まず読み取り専用のツールのみを公開し、運用実績を積んだ後にデータ変更系のツールを段階的に解放しています。この手法により、リスクを限定しながら組織全体の習熟度を高めることができます。
MCPサーバーは必ずプライベートネットワーク内に配置し、VPNまたはゼロトラストネットワーク経由でのみアクセスを許可します。2025年6月に発覚したインシデントでは、MCPサーバーが0.0.0.0にバインドされた状態でインターネットに露出し、OSコマンドインジェクションの攻撃を受けた事例が数百件報告されています。
MCPプロトコルは2025年11月の仕様更新でOAuth 2.1を標準認証方式として採用しました。クライアント(AIエージェント)がMCPサーバーに接続する際、サーバーはWWW-Authenticateヘッダーで認証要求を返し、OAuth認可コードフローが開始されます。
OAuth 2.1ではPKCE(Proof Key for Code Exchange)が必須です。クライアントは認可リクエスト時にコードチャレンジを送信し、トークンリクエスト時にコードバリファイアで検証します。これにより、認可コードの傍受攻撃を防止できます。
Okta、Azure AD、Google Workspaceなどの既存のアイデンティティプロバイダ(IdP)とMCPサーバーの認証を統合することで、シングルサインオン(SSO)体験を実現できます。Microsoft社は自社のEntra IDとMCPの認証を統合し、Copilot経由でのMCPサーバーアクセスに社内の既存認証基盤を活用しています。
MCPのツールごとに細粒度のスコープを定義し、各ユーザーやエージェントに必要最小限のスコープのみを付与します。例えば、CRMデータへのアクセスでは「contacts:read」「contacts:write」「deals:read」のようにオブジェクト×操作の組み合わせでスコープを設計します。
組織内の役割に応じてMCPツールへのアクセス権限を制御するRBACモデルを構築します。営業担当者には「CRMの読み取りと更新」、マーケティング担当者には「分析データの参照」、管理者には「全ツールへのアクセス」のように、ロールに紐づくスコープセットを定義します。
OWASP MCP Top 10の第2位にランクされた「過剰権限とスコープクリープ」への対策として、一時的な権限昇格の仕組みを導入します。通常はリードオンリーの権限で運用し、データ更新が必要な場面でのみ一時的に書き込み権限を付与するジャストインタイム(JIT)アクセスモデルが有効です。
エンタープライズ環境では、MCPサーバーを経由した全てのツール呼び出しを監査ログとして記録することが不可欠です。記録すべき項目は「誰が(ユーザー/エージェント)」「いつ」「どのツールを」「どのパラメータで」「どのような結果で」呼び出したかの5要素です。
金融機関や医療機関がMCPを導入する際には、既存のコンプライアンスフレームワークとの整合性が求められます。SOC 2のTrust Services Criteriaにおけるアクセス制御(CC6)、システム運用(CC7)、変更管理(CC8)の各項目に対して、MCPの認証・認可・監査ログがどのように対応するかを文書化します。
MCPの通信ログにはユーザーのプロンプトやツールのレスポンスが含まれ、機密データが記録される可能性があります。GDPR、個人情報保護法などの規制に準拠したデータ保持期間の設定と、PII(個人識別情報)のマスキング処理を実装してください。
OWASP MCP Top 10の第5位に挙げられた「シャドーMCPサーバー」は、IT部門の管理外で開発者が独自に立ち上げたMCPサーバーを指します。デフォルトの認証情報や緩い設定で運用されることが多く、組織全体のセキュリティポスチャーを大きく低下させます。
ネットワークスキャンによるMCPエンドポイントの定期検出、CASBやSASEと連携したMCP通信のモニタリング、そして承認済みMCPサーバーのレジストリ管理を組み合わせて統制します。Google社は社内のMCPサーバーレジストリを整備し、未登録のMCPサーバーへの接続を自動的にブロックする仕組みを導入しています。
本番環境のMCPサーバーは、複数インスタンスによる冗長構成が必須です。Streamable HTTPトランスポートはステートレスな設計が可能なため、ロードバランサー配下で水平スケーリングが容易です。2026年のプロトコル更新では、ステートレス運用をさらに強化する仕様が予定されています。
AIエージェントによる大量のツール呼び出しがバックエンドシステムに過負荷を与えることを防ぐため、ユーザー単位、エージェント単位、ツール単位でのレート制限を設定します。Palo Alto Networksの研究では、MCPサンプリング機能を悪用してAIのコンピューティングリソースを消耗させる攻撃が確認されており、コスト管理の観点からもクォータ制御は重要です。
Bloomberg社は、Agentic AI Foundation(AAIF)のプラチナメンバーとして、金融データへのAIアクセス基盤をMCPで構築しています。市場データ、企業情報、ニュースフィードへのアクセスをMCPサーバー経由で提供し、厳格な認証とスコープ管理により、ユーザーのライセンス範囲内でのみデータ参照を許可する仕組みを実現しました。
Cloudflare社は、Workers環境でMCPサーバーをホスティングするサービスを提供し、自社でも活用しています。エッジロケーションでの低レイテンシ運用と、Cloudflare Accessによるゼロトラスト認証の統合により、グローバル拠点からの安全なMCPアクセスを実現しています。
MCPの基本的な仕組みについてはMCPとは何かを、セキュリティの詳細についてはMCPのセキュリティリスクと対策を併せてご確認ください。
本記事では、MCPのエンタープライズ導入に必要なセキュリティ・認証・権限管理の設計方法について、OWASP MCP Top 10に基づいて解説しました。
ポイントを振り返ります。
CRMを活用した業務効率化やAIとの連携に関するご相談は、CRM特化型コンサルティングのStartLinkまでお気軽にお問い合わせください。
一般的には、PoC(概念実証)に1〜2ヶ月、パイロット導入に2〜3ヶ月、本番展開に1〜2ヶ月の合計4〜7ヶ月程度です。既存の認証基盤(IdP)との統合や、コンプライアンス要件の整理に時間がかかるケースが多いです。
はい、共存可能です。API GatewayをMCPサーバーのフロントに配置し、認証、レート制限、ログ収集をGateway層で一元管理するアーキテクチャが推奨されます。MCPのStreamable HTTPトランスポートは標準的なHTTPリクエストであるため、既存のGatewayルールをそのまま適用できます。
はい、MCPサーバーはHTTPベースのプロトコルであるため、オンプレミス環境でも問題なく運用できます。コンテナ化(Docker/Kubernetes)してデプロイするのが一般的で、社内ネットワーク内に閉じた運用が可能です。金融機関や官公庁では、クラウドへのデータ送出を避けるためにオンプレミスデプロイが選択されています。
最低限、インフラエンジニア(MCPサーバーのデプロイ・運用)、バックエンド開発者(ツール定義・データソース接続)、セキュリティエンジニア(認証・認可・監査ログ)の3ロールが必要です。大規模組織では、MCPガバナンス委員会を設置し、ツールの承認プロセスやアクセスポリシーの策定を全社横断で管理することが推奨されます。