🔀
「MCP導入における脅威モデリングのすゝめ」イベントレポート
生成AIと外部ツールをつなぐ Model Context Protocol (MCP) が急速に普及する一方、認可・暗号化を誤ると重大なインシデントにつながる——。そんな“攻めと守り”の最前線をのぞくため、約550名がオンラインで集結しました。登壇したのは GMO Flatt Security のセキュリティエンジニア azara さんとコーポレートセキュリティエンジニア hamayanhamayan さん。 本稿では、両氏の講演と白熱のQ&Aを中心に、実装者が“明日すぐ動ける”要点をお届けします。
オープニング——数字が語るMCP熱
モデレーターの和さんによると、事前アンケートで約7割が「導入済みまたは導入予定」 と回答。チャット欄でも「もう本番で動かしています」「テスト中に壁にぶつかった」とリアルな声が飛び交い、開始直後から実務者の温度が伝わってきました。
Session 1
脅威をモデリングしてMCPのセキュリティ対策を考えよう(azara)
1) “3レイヤ脅威”で全体を俯瞰
azara さんはまず 生成AIアプリ/MCPサーバー/利用統合 の3レイヤに脅威を分類。
生成AIアプリ … プロンプトインジェクションやツール衝突攻撃
MCPサーバー … 認可不備、設定ミス、DoS
統合部分 … 汚染データを介した間接インジェクション、複数サーバー間の相互作用
これにより「自社が制御できる範囲」と「利用者が肩代わりする範囲」を色分けでき、対策優先度がクリアになると説きました。
2) 脅威モデリングの勘所
STRIDE など形式張った手法は“共通語”として使う
図示→文章化→関係者レビューを繰り返し、知識の偏りをなくす
設計初期/大きな仕様変更時 に必ず実施し、ドキュメントを継続的に更新
3) 実装者が迷いがちな「認可設計」
IDプロバイダーを共有する場合は既存バックエンドのポリシーを流用可能だが、MCP専用IDPを立てる場合は再設計が必要。特に JWT 検証周りを固定URLで書いていると別IDPに切り替えづらい点を注意喚起しました。
Session 2
利用者目線で考える、MCPを安全に使うために(hamayanhamayan)
1) ローカル vs. リモートサーバー
ローカル …
npxや Docker で簡単に起動できる反面、OSS パッケージのサプライチェーン攻撃リスクがある。公式実装を第一候補にし、バージョン固定やサンドボックスで“締める”。リモート … ソース非公開ゆえに信用度の見極めが極めて重要。OAuth フローを介す場合、中間サーバーがアクセストークンを保持する ことを忘れない。
2) 権限付与はまず OAuth を選ぶ
GitHub の公式リモートMCPサーバーと VS Code 拡張を例に、
設定ファイルを安全にリポジトリ共有できる
トークンを OS の安全領域に暗号化保存してくれる 点を評価。APIキー直書きの場合でも 環境変数の差し込み を活用し、平文ハードコードを避ける実践例が紹介されました。
3) “制御不能な LLM”との付き合い方
人間による承認 は最後の砦だが、ヒューリスティックを突かれる危険もある
使わない MCP サーバー・ツールは無効化し、プロジェクト単位で限定する
VS Code Dev Containers などで 実行環境自体を隔離 し、最小被害で済む構成を目指す
Q&A ハイライト
質問 | 回答ダイジェスト |
|---|---|
MCPサーバーにアクセストークンを持たせ、各バックエンドは既存認可に乗れるか? | 既存のIDPを共用するなら可能。ただし MCP専用IDPを用意する場合は JWT 検証やスコープ設計をゼロから見直す必要がある。 |
実装例で示していた“KVSによるトークン突合”をしてくれるライブラリはある? | 2025年6月時点では「決定版」はない。多くが独自実装。コミュニティでの動向に注視を。 |
MCPサーバーで実行可能なユーザー・不可能なユーザーを制御できる? | 権限制御をMCPサーバー単体で行うのは限定的。実際には背後のWebアプリ/API側できめ細かく制御し、MCPはステートレスに検証する設計が現実的。 |
悪意あるMCPサーバーが
と称して
する例はある? | “名称詐称”は実際に観測されている。公式実装・コードレビュー・トラフィック監査の三点セットで検証を。 |
いますぐ試せるチェックリスト
資産棚卸し
AIアプリ/MCPサーバー/外部API を一覧化し、責任範囲を明文化
STRIDEシートの作成
設計図を1枚にまとめ、脅威→対策→担当者をブロック図に貼る
OAuth対応の優先利用
APIキー直書きは最後の手段。環境変数・秘密管理サービスを併用
不要ツールの無効化
mcp.jsonから使わないサーバーを削る。プロジェクト分割も有効隔離実行
Dev Containers/Docker/deno の
--allowフラグで権限最小化
総括——“安全に速く”の鍵は対話と余白
感想
セキュリティの王道は「脅威を洗い出し、最小権限で閉じる」——言葉にすると簡単ですが、MCPのように“新しく柔らかい”技術では設計図が粗く、実装スピードに追われてつい後回しになりがちです。 今回印象的だったのは、両登壇者が「図にする」「文章にする」「話し合う」 という極めてアナログな手順を何度も強調したことでした。技術広報として最新事例を追いかけるほど、つい新手のフレームワークや自動化ツールに目を奪われます。しかし、現場を守るのは“余白”を確保し合うチームの対話だと改めて感じました。
MCPはAIエージェント時代の“共通語”になりつつあります。だからこそ、攻めの開発速度と守りの安心感を両立できる設計習慣 を、今日からプロジェクトに埋め込んでみてください。
Yardでは、AI・テック領域に特化したスポットコンサル サービスを提供しています。
興味がある方は、初回の無料スポットコンサルをお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
Read next
Loading recommendations...