MCP(Model Context Protocol)とは?できることと危険な落とし穴【2026年版】
AIエージェントが「ファイルを読む」「DBを叩く」「ブラウザを操作する」——この“外部行動”が当たり前になるほど、安全な連携の設計がボトルネックになります。
本記事では、MCP(Model Context Protocol)の仕組みとできることを整理した上で、導入時に踏みがちな危険な落とし穴(権限・認証・ログ・脆弱性・暴走)と、 すぐに使えるチェックリストをまとめます。
要点まとめ
- MCPはAIと外部ツールをつなぐ「USBポート」のような標準プロトコル
- できることは強力だが、権限・認証・ログの設計なしでは危険
- 安全な連携のために、ガイドラインとチェックリストが必須
MCPは「便利な接続規格」であり、導入の成否は運用設計(境界線)で決まります。 技術より先に、権限・認証・監査の“仕組み”を整えてから広げるのが最短ルートです。
MCPとは?仕組みをわかりやすく解説
MCP(Model Context Protocol)は、AIモデル(またはAIエージェント)が、外部のツールやデータソースにアクセスするための標準プロトコルです。 例えるなら、AIにとっての「USBポート」です。 Anthropicが提唱し、仕様とSDKがオープンに公開されています。
アーキテクチャ(Client / Server / Tool / Resource)
実際の利用では、Claude Desktop / Claude Code などのAIアプリや、Visual Studio Code などのIDEがHost(ホスト)として動き、 その中のClientがMCPサーバーに接続します。
Client
ホスト内でMCPサーバーへ接続し、ツール利用や参照をオーケストレーションします。
Server
外部ツール/データへの入口。権限、認証、ログ、入力制限など“安全の境界線”を実装します。
Tool
実行系の機能(例: ファイル検索、API呼び出し、DBクエリ、ブラウザ操作)。
Resource
参照系のデータ(例: ドキュメント、ナレッジ、設定、レポート)。安全に“読む”ための設計が重要です。
なおMCPサーバーは、Tool/Resourceに加えてPrompt(再利用できる指示テンプレート)なども公開できます。
従来のAPI連携との違い
APIは「特定サービスの機能を呼ぶ」ための1対1の接続です。一方MCPは、AIが多様なツール群を“同じ作法”で呼べるようにする標準化レイヤーです。 その分、便利になりますが「勝手に実行される可能性」が上がるため、権限と監査が必須になります。
通信方式(stdio / Streamable HTTP)
ローカル接続はstdio(アプリがローカルプロセスを起動して連携)、 リモート接続はStreamable HTTP(HTTP経由で連携)という形が基本です。 リモート公開する場合は、認証・認可(例: OAuth)やアクセス制御を前提に設計します。
MCPでできること
MCPの本質は「AIが外部に手を伸ばすための共通インターフェース」です。できることが増えるほど、権限と境界線の設計が重要になります。
代表的な連携(例)
- ファイル操作(読み書き、検索)
- データベース連携(クエリ実行、データ取得)
- Web操作(ブラウザ操作、スクレイピング)
- 外部API連携(Slack、GitHub、Google等)
ユースケース別テーブル
| ユースケース | つなぐ対象 | 得られる効果 | 最低限のガード |
|---|---|---|---|
| 社内ナレッジ検索 | ドキュメント/FAQ/議事録 | 回答の高速化、属人化の低減 | 閲覧権限の継承、機密マスキング、参照ログ |
| データ分析アシスト | DWH/BI/スプレッドシート | 集計・可視化の自動化 | 読み取り専用、クエリ制限、監査ログ |
| 運用自動化(軽い) | チケット/通知/定型処理 | 対応漏れ削減、工数削減 | 承認ステップ、実行前プレビュー、ロール別権限 |
| ブラウザ操作 | 社内Web/管理画面 | 入力作業の半自動化 | 許可ドメイン制限、個人情報の扱い、操作ログ |
MCPの危険な落とし穴
MCPは「ツールを使えるようにする」仕組みです。つまり攻撃者にとっては「ツールを悪用できる入口」になりえます。よくある落とし穴と対策を押さえます。
リスク1: 権限の過剰付与(全ファイルアクセス等)
“便利だから”で広い権限を渡すと、誤操作でも漏えいでも被害が最大化します。最小権限(read-only / フォルダ限定 / テーブル限定)から始めます。
リスク2: プロンプトインジェクション経由のツール悪用
Webページやドキュメントに混入した指示で、エージェントが勝手に“危険な操作”を実行するケースがあります。外部入力は不信として扱い、危険操作は人の承認を挟みます。
リスク3: MCPサーバーの脆弱性(依存パッケージ、未検証サーバー)
サーバーは“境界線”そのものです。依存ライブラリ、設定ミス、コミュニティサーバーの品質で事故が起きます。検証環境での動作確認と、更新・脆弱性対応の運用を前提にします。
リスク4: 認証情報の漏洩(APIキー、トークン)
トークンが漏れると“権限そのもの”が盗まれます。秘匿情報は環境変数やシークレット管理に寄せ、ログ/プロンプトへ出ない設計にします。
リスク5: 意図しない連鎖実行(エージェントの暴走)
「検索→取得→書き込み→通知」のように複数ツールが連鎖すると、想定外の副作用が増えます。ステップごとの制限、実行前の差分プレビュー、ロールバック設計が有効です。
対策の基本は3つだけ
- 最小権限(できるだけ読むだけ、範囲を絞る)
- 認証・承認(危険操作は人を挟む)
- ログ・監査(後から追える状態にする)
安全に導入するためのチェックポイント(10項目)
MCP導入の失敗は「後で整えるつもりだった設計」がそのまま本番に残ることで起きます。まずはここを埋めてから、スコープを広げてください。
| カテゴリ | チェック項目 | 対策 |
|---|---|---|
| 権限管理 | 最小権限(read-only / 範囲限定)で始めている | フォルダ/テーブル/エンドポイント単位で制限 |
| 権限管理 | 危険操作(削除/外部送信/書き込み)を分離している | ツールを読み取り系/変更系に分け、変更系は承認必須 |
| 権限管理 | 実行対象のホワイトリスト(ドメイン/パス)を持っている | 許可ドメイン/許可ディレクトリ/許可クエリの明文化 |
| 認証・認可 | 認証方式(SSO/トークン)とローテーション方針が決まっている | 短命トークン、定期ローテ、失効の手順を用意 |
| 認証・認可 | 人の承認(Human-in-the-loop)が必要な操作が定義されている | 送信/削除/支払い等は必ず確認画面と承認ログ |
| ログ・監査 | 「誰が/いつ/何を/なぜ」実行したか追える | tool呼び出し履歴、入力/出力の要点、実行結果を保存 |
| ログ・監査 | アラート条件(異常な回数・深夜実行・失敗連発)が決まっている | 監視と通知、遮断の手順(止血)を用意 |
| サーバー管理 | 依存パッケージの更新/脆弱性対応が回る | SBOM/脆弱性スキャン、更新頻度、担当者を明確化 |
| サーバー管理 | サンドボックス(テスト環境)で検証してから本番へ入れている | 検証用データ、権限、ログでリハーサルを実施 |
| 運用 | 事故時の初動(停止・ログ保全・連絡先)が決まっている | インシデントフロー、権限の一括停止、影響範囲確認 |
MCPの導入ステップ
いきなり“全部つなぐ”は失敗します。まずはユースケースを1つに絞り、境界線を決めてから広げるのが安全です。
Step 1: ユースケース定義(何をつなぐか)
まず「読ませたいデータ」と「実行させたい操作」を分けて書き出します。最初は“読むだけ”が安全です。
Step 2: MCPサーバー選定(公式/コミュニティ/カスタム)
まずは公式・コミュニティ提供のサーバーで検証し、自社固有の要件(SSO、監査、独自データ)だけをカスタムするのが効率的です。
Step 3: 権限・認証設計 → チェックリストへ
実装より先に、権限・認証・ログの前提を揃えます。迷ったらチェックポイント(10項目)から埋めてください。
Step 4: テスト環境での検証
検証用のデータ・権限で、想定外のツール連鎖や、プロンプトインジェクションの耐性(外部入力の扱い)を確認します。
Step 5: 本番導入とモニタリング
本番はログとアラートが命綱です。異常な実行や失敗の連発を検知できる状態にしてから、対象範囲を段階的に広げます。
MCPの今後と展望
今後は「つなぐ」だけでは差別化にならず、エンタープライズ要件(認証・監査・ポリシー)をどこまで標準化できるかが焦点になります。
- エコシステムの拡大(公式/コミュニティのサーバーが増える)
- エンタープライズ対応(SSO、監査、データガバナンス)
- 認証・認可の標準化動向(安全な“鍵”の扱いが主戦場)
- 競合プロトコルとの比較(ツール呼び出し標準、プラグイン方式など)
FAQ
「結局、どう使えば安全?」に直結する質問を、短くまとめます。
- Q. MCPとは何ですか?
- A. Model Context Protocol(MCP)は、AIモデル(またはAIエージェント)と外部ツール・データソースを標準的に接続するためのオープンプロトコルです。Anthropicが提唱し、仕様やSDKが公開されています。
- Q. MCPで何ができますか?
- A. AIエージェントがファイル操作、データベースクエリ、API呼び出し、ブラウザ操作など外部ツールを統一的なインターフェースで利用できるようになります。
- Q. MCPのセキュリティリスクは?
- A. 主なリスクは①権限の過剰付与②プロンプトインジェクション経由のツール悪用③サーバー側の脆弱性④認証情報の漏洩の4つです。
- Q. MCPサーバーは自社で構築すべきですか?
- A. まずは公式・コミュニティ提供のサーバーを利用し、自社固有の要件がある場合のみカスタム構築するのが効率的です。
- Q. MCPとAPIの違いは?
- A. APIは個別サービスの仕様に沿った接続ですが、MCPはAIが複数のツール/データソースへ「同じ作法」で接続できるようにする標準化レイヤーです。
- Q. 非エンジニアでもMCPは使えますか?
- A. MCPサーバーの構築や権限設計はエンジニアが必要ですが、構築済みのMCP環境を利用する側(クライアント側)の操作は非エンジニアでも可能です。
- Q. MCPの導入にどれくらいコストがかかりますか?
- A. 既存のMCPサーバーを利用するだけなら開発費は小さめです。一方で検証/運用/セキュリティ対応、インフラ、モデル利用料は別途かかります。カスタムサーバー構築は要件次第で数十万円〜数百万円規模になることがあります。
関連リンク
まとめ
MCPは、AIエージェントの外部連携を一気に加速させる標準プロトコルです。一方で、権限・認証・ログが曖昧なまま導入すると、事故が“ツール実行”として起きやすくなります。
まずは「読むだけ」から始め、最小権限と監査ログを整え、危険操作は人の承認を挟む——この3点を守ると、MCPは強力な武器になります。
AIエージェント導入のガバナンス設計を一緒に整えます
MCPを含むAIエージェント導入は、技術だけでなくガバナンス設計が重要です。無料セミナーと相談窓口を用意しています。