モデルコンテキストプロトコル(MCP)は、構造化されたクライアント/サーバーインターフェースを通じて、AIシステムが外部データソース、ツール、およびエンタープライズApplication (アプリケーション)に接続できるようにするオープン標準です。これにより、AIモデルとエージェントは、AI Application (アプリケーション)がダウンストリームシステムごとにカスタム統合を構築する必要なく、コンテキストを要求し、承認された機能を実行するための整合性のある方法が提供されます。
2024年後半にAnthropicによって発表されたMCPは、統合における増大する課題に対応します。組織が内部データ、API、運用システムへのアクセスを必要とするAIエージェントを導入するにつれて、ポイントツーポイントの統合は急速に拡張および管理が困難になります。MCPは、これらの接続を標準化する共有プロトコルを導入します。
MCPは、AIシステムがコンテキストを交換し、外部ツールを呼び出す方法に関する標準化されたプロトコルを定義します。このコアプロトコルは、構造化されたデータ交換に焦点を当て、安全な基盤となるトランスポートメカニズムを前提としていますが、認証に依存せず、アクセスコントロールの決定は完全にサーバー実装に委ねられています。この設計により、効果的なアイデンティティ制御を強制する責任は、MCPをラップするシステムに委ねられます。
AIにおけるMCPとは何の略ですか?
人工知能において、Model Context Protocol(MCP)を使用すると、AIモデルは構造化されたコンテキストを受信し、定義されたツールを呼び出して、タスクを正確かつ効率的に完了できます。
MCPは、集中型の認証情報発行または認証情報ライフサイクルモデルを定義していません。AIアプリケーションが承認されたリソースを発見し、操作するための標準インターフェースを提供します。
AIシステムとMCPの連携について
MCPは、クライアントサーバーアーキテクチャを使用して、AIシステムを制御された予測可能な方法で外部リソースに接続します。
- MCPホスト:MCP接続を管理し、AIモデルのランタイムコンテキストを提供するアプリケーションまたは環境(例:VS CodeのようなIDE、Claudeのようなデスクトップアプリ、または社内チャットボット)。
- MCPクライアント:AIモデルまたはエージェントとMCPサーバー間のリクエストを仲介する、ホストアプリケーションに組み込まれたプロトコルクライアント。クライアントは、AIシステムに代わってリクエストのフォーマット、ツールの呼び出し、応答の処理を行います。
- MCPサーバー:特定の機能をクライアントに公開します。各サーバーは、一連のツールを定義します。これらは、AIシステムが呼び出すためにサーバーが公開する明示的なアクションまたはクエリを表します。ツールを使用すると、エージェントはデータベースのクエリ、ドキュメントの取得、または外部APIの呼び出しを行うことができます。ツールは、必要なものだけにアクセスを制限するように意図的にスコープされています。
AIエージェントが情報を必要とする場合、またはアクションを実行する場合、MCPクライアントは適切なMCPサーバーにリクエストを送信します。サーバーは許可された操作を実行し、構造化された応答を返します。
MCPはこの交換を標準化しますが、接続レイヤーで止まります。AIエージェントが誰であるか、システム全体で何を実行できるか、またはその動作を時間の経過とともにどのように管理するかを確立しません。
MCPにおけるAIエージェントのセキュリティギャップ
MCPが新たなアイデンティティリスクをもたらす理由
多くのAIエージェントは、従来のApplication (アプリケーション)とは異なる動作をします。継続的に動作し、自律的な意思決定を行い、複数のシステムと連続して迅速にやり取りする可能性があります。エージェントは、タスク内でデータを分析し、ワークフローをトリガーし、各アクションに対する明示的な人間の承認なしにレコードを変更する場合があります。
MCPを使用してエージェントをエンタープライズシステムに接続する場合、セキュリティの観点から、エージェントは事実上非人間アイデンティティ(NHI)になります。エージェントは独立して動作し、ユーザーセッション後も存続し、機械の速度で機密リソースにアクセスできます。
従来のアイデンティティとアクセス管理(IAM)モデルでは、この動作は考慮されていません。
従来のIAMがAIエージェントに対して機能しない理由
ほとんどのIAMシステムは、一度認証を行い、予測可能なロール内で操作する人間のユーザーを想定しています。AIエージェントは、これらの前提を覆します。
- アクセスニーズは、非決定的な推論によって左右されます:AIエージェントは、その推論チェーンに基づいて動的にツールを選択するため、そのアクセスパターンは予測不可能です。
- 混乱した代理のリスク: MCPサーバーはクライアントが認証されていることを前提としているため、エージェントは(プロンプトインジェクションによって)操作され、有効なMCP接続を使用して不正なアクションを実行する可能性があります。
- コンテキスト依存の許可:エージェントは、あるタスクではデータベースへの読み取りアクセスが必要な場合がありますが、別のタスクでは書き込みアクセスが必要になる場合があります。従来の静的なロールでは、この流動性を容易に処理できません。
AIエージェントに静的な役割(例えば、マーケティングやdeveloperなど)を割り当てることは、実際のエージェントの動作を反映していません。これは多くの場合、過剰なアクセス許可、可視性の分断、およびリスクの増大につながります。
欠落しているレイヤー:AIエージェントに対する集中型のアイデンティティ
MCPサーバーはローカルの認可チェックを実装できますが、プロトコルは本質的に分散されたサーバー群全体で集中型のアイデンティティモデルを強制するものではありません。
分散化は、以下のような断片化されたセキュリティ環境を作り出す可能性があります。
- 各MCPサーバーは、それぞれ異なる方法でセキュリティを実施します。
- エージェントアクセスに対する一元化された信頼できる情報源はありません。
- 監査ログがシステム全体に分散しています
- インシデント対応が遅く、不完全になる可能性があります。
コンプライアンスレポート作成には手動での相関付けが必要
この課題は、クラウドおよびアプリケーションの導入初期段階を反映しており、接続性がIdentity Governanceよりも急速に拡大しました。
アイデンティティコントロールプレーンを使用したMCPの保護
AIエージェントを非人間アイデンティティ(NHI)として扱う
MCPを安全に大規模展開するためには、組織はAIエージェントを第一級のアイデンティティとして扱う必要があります。各エージェントは、インタラクションを開始した人間のユーザーとは異なる、一意で検証可能なアイデンティティを必要とします。
アイデンティティコントロールプレーンは、この基盤を提供します。これは、AIエージェントの認証方法、アクセスを許可されるもの、およびシステム全体でそのアクティビティがどのように監視されるかを管理します。
アイデンティティコントロールプレーンがMCPと連携する仕組み
アイデンティティコントロールプレーンはMCPとは独立して動作しますが、それを実装するシステムと統合されます。
MCPサーバーがリクエストを実行する前に、アイデンティティシステムは以下を評価できます。
- AIエージェントのアイデンティティ
- リクエストされたアクションとターゲットリソース
- タスクのコンテキストとリスクシグナル
- 最小権限やデータ所在地などの組織ポリシー
この評価に基づいて、アクセスを許可、拒否、または制限できます。制約には、読み取り専用アクセス、データマスキング、または時間制限付きのアクセス許可が含まれる場合があります。
アクセスに関する決定は、一元的に記録でき、一貫性のある監査証跡を作成できます。
継続的な認可と監視
AIエージェントはログインで停止しません。アイデンティティ制御は継続的に機能する必要があります。
アイデンティティコントロールプレーンで以下が可能になります:
- エージェントの動作が進化するにつれて行われる継続的な認可チェック
- 侵害を示唆する可能性がある異常なアクセスパターンの検出。
- リスクの閾値を超えた場合の即時アクセス取り消し
- すべてのMCPサーバーとツール全体で一貫した適用
このアプローチは、ゼロトラストの原則に沿っており、自律システムに不可欠です。
MCPベースのAIのガバナンスとコンプライアンス
監査性と説明責任
規制対象の業界では、組織はデータへのアクセス方法とアクセス者について説明できる必要があります。アイデンティティガバナンスは、AIエージェントが行った各アクションを特定のアイデンティティおよび認可の判断に帰属させることを可能にします。
このレベルの可視性は、SOC 2、HIPAA、PCI DSS、およびGDPRなどのフレームワークに沿ったコンプライアンスの取り組みをサポートします。
最小権限と職務分掌の徹底
アイデンティティ制御により、組織はAIエージェントに対してきめ細かいポリシーを定義できます。
以下に例を示します。
- 研究エージェントは、匿名化されたデータセットにはアクセスできますが、本番レコードにはアクセスできません。
- コーディングアシスタントはソースコードを読むことができますが、本番環境にデプロイすることはできません。
- リスクの高い操作では、人間の承認または複数のエージェントが必要になる場合があります
許可は、ジャストインタイムで付与され、タスクが完了すると自動的に取り消されます。
セキュアなMCP展開の主要なユースケース
- 金融ワークフローにおける過度なエージェンシーの防止: 監査可能性にのみ焦点を当てるのではなく、組織はエージェントが意図しない方法でツールをチェーンすることを防止することを優先する必要があります。例:台帳を読み取る権限を与えられたエージェントが、承認されていないAPIでMCPツールの呼び出しをチェーンすることにより、資金を移動するように操作される。
- ヘルスケアにおけるコンテキスト境界の強制:単純なアクセスにとどまらず、セキュリティチームは、エージェントのアイデンティティが特定の臨床セッションに限定されるようにする必要があります。これにより、エージェントが以前のMCPリクエストから機密性の高い患者コンテキストを新しい、無関係なタスクに持ち込むことを防ぎます(コンテキスト汚染として知られるリスク)。
重要なシステムと知的財産の保護
ソフトウェア開発環境では、AIコーディングアシスタントが機密性の高いリポジトリやドキュメントにアクセスすることがよくあります。
アイデンティティガバナンスは以下を強化します。
- ジュニアまたは実験的なエージェントに対する読み取り専用アクセス
- スキーマ内の機密データのマスキング
- データ流出を防ぐための外部接続の制限
疑わしい挙動は、アラートまたはポリシーに基づいたセッション終了をトリガーする可能性があります。
アイデンティティ・ファーストのMCPセキュリティの利点
MCPと集中型IDガバナンスを組み合わせる組織は、運用上およびセキュリティ上の利点を実現できます。
- 過剰な権限を持つAIエージェントからのリスクを軽減します。
- 手動によるセキュリティレビューなしでより迅速なAI展開
- 自動化された監査証跡を活用してコンプライアンスの負担を軽減する。
- ポリシーを一元管理することで、運用効率が向上します。
セキュリティが障害ではなく、促進要因になります。
AIガバナンスの未来への準備
MCPは、AIの導入が加速するにつれて進化し続けるでしょう。プロトコルは接続を標準化しますが、アイデンティティは信頼の基盤であり続けます。
組織は、以下によって準備できます。
- AIエージェントのアイデンティティ標準を早期に定義する
- 既存のIAMシステムを非人間アイデンティティ(NHI)に拡張する
- 継続的な認可および監視の実装
- すべてのAIワークフローに監査機能を組み込む
各エージェントに一意のアイデンティティを割り当てることで、組織は大規模なアトリビューションを実現し、すべてのツール呼び出し(関与するMCPサーバーの数に関係なく)を特定の推論チェーンとその管理担当者に追跡できるようにします。
安全に拡張可能なAI戦略は、設計段階からアイデンティティを優先しています。
よくある質問(FAQ)
AIにおけるMCPサーバーとは何ですか?
MCPサーバーは、Model Context Protocolを介して特定のデータソースや機能をAIシステムに公開するソフトウェアコンポーネントです。制御されたゲートウェイとして機能し、どのツールやリソースが利用可能か、またAIエージェントが実行できるアクションを定義します。
MCPは従来のAPI統合とどのように異なりますか?
developerは、予測可能なアクセスパターンを持つApplication (アプリケーション)向けの従来のAPIを構築します。MCPは、推論とコンテキストに基づいてツールを動的に選択するAIシステムに対応します。MCPはツールのディスカバリーとリクエスト構造を標準化するため、各AIアプリケーションはカスタム統合コードを必要としません。
MCP自体は安全ですか?
MCPは主に接続規格です。MCPサーバーは独自の認可ロジックを実装できますが、プロトコル自体はエンタープライズアイデンティティを管理したり、すぐに使える集中型ポリシーを適用したりすることはありません。セキュアなMCPデプロイメントは、AIエージェントのアクセスを制御するために外部のアイデンティティおよびガバナンスシステムに依存しています。
MCPは既存のIAMシステムと統合できますか?
はい。MCPは、AIエージェントを認証し、認可ポリシーを適用し、集中監査ログを提供するエンタープライズIAMプラットフォームと連携して使用できます。
MCPにとってアイデンティティが重要なのはなぜですか?
AIエージェントは自律的かつ大規模に動作します。各エージェントに一意のアイデンティティを割り当てないと、組織は最小権限を強制したり、効果的に行動を監視したり、インシデントを確実に調査したりできません。
OktaでAIオペレーションを保護しましょう。
AIエージェントがエンタープライズワークフローに組み込まれるにつれて、アイデンティティが信頼のコントロールプレーンになります。Okta Platformは、組織がAIエージェントをNHIとして管理し、継続的な認可を強制し、システム全体の可視性を維持するのに役立ちます。アイデンティティファーストのセキュリティにより、MCPはガバナンスまたはコンプライアンスを犠牲にすることなく、安全に拡張できます。
