MCPセキュリティとは:エージェントAIシステムのためのゼロトラスト完全ガイド
.webp)
Built for Speed: ~10ms Latency, Even Under Load
Blazingly fast way to build, track and deploy your models!
- Handles 350+ RPS on just 1 vCPU — no tuning needed
- Production-ready with full enterprise support
発端は、あるアイデアでした。AIエージェントに多段階の調査タスクを処理させるというものです。MCP経由でいくつかのツールに接続し、適切なデータソースへのアクセスを与え、実行させるというものでした。
実際に起こったことは、より多くの教訓を与えました。エージェントはタスクが必要とする以上のアクセス権を持ち、誰も予期しない順序でツールを呼び出しました。しかも、何に触れたのか、なぜ触れたのかを説明するログもありませんでした。
デモを機能させたその同じトークンは、モデルがハルシネーションを起こしたり、読み取るよう指示されたドキュメントに埋め込まれた悪意のあるプロンプトに遭遇したりした場合、会社の共有ドライブを消去できた可能性があります。
これがMCPセキュリティの根本的な課題です。モデルコンテキストプロトコルがLLMを外部ツールやデータベースに接続するための標準となるにつれて、これらの接続を保護するには厳格なセキュリティ対策が求められます。
このガイドでは、従来のAPIセキュリティがAIエージェントに対してなぜ機能しないのか、実際の攻撃ベクトルがどのようなものか、そしてこの文脈におけるゼロトラストの意味を説明します。また、一部のプラットフォームが標準であるべきセキュリティ制御に対してプレミアム料金を請求していることについても詳しく解説します。

AIエージェントがもたらす新たなセキュリティ問題
決定論的なワークフローを実行する従来のソフトウェアとは異なり、AIエージェントは、どのMCPツールをどのように使用するかについて動的な決定を下します。この自律性により、MCP環境全体でリスクが伝播する方法が変化し、セキュリティ体制に影響を与える新たな種類の露出が生じます。
AIエージェントは、従来のソフトウェアシステムとは根本的に異なる新しいタイプのリスクをもたらします。その自律性、アクセス性、速度の独自の組み合わせは、特にMCPベースのシステムにおいて、特有のセキュリティリスクを生み出します。
- 読み取り専用から読み書き可能なシステムへ: 自然言語を介して出力を生成するために主に使用されていた以前のAIシステムとは異なり、AIエージェントは、悪意のあるコードを実行したり、メールを送信したり、データベースを変更したり、データを削除したりできます。このツールの動作における根本的な変化(受動的から能動的へ)は、あらゆる障害や悪用の影響範囲を拡大させます。
- 過剰な特権を持つトークンの問題: AIエージェントは、企業リソースに対する広範な特権を付与するサービスアカウントやAPIトークンを介してアクセスを許可されることがよくあります。これは、最小特権の原則が一般的である従来のソフトウェアとは対照的です。AIエージェントには過剰な特権を持つトークンが付与されており、これらは悪意のある攻撃者にとって非常に価値が高く、悪用されやすいものです。
- ブラックボックス実行の問題: AIエージェント、特にLLMは動的です。それらは、どのAPI呼び出しを行うか、パラメーターを設定するか、コードを実行するかを、非決定論的かつ非透過的な方法で決定します。このため、そのような動作を予測したり監査したりすることが困難であり、効果的なクラウドセキュリティを妨げるリスクが生じます。
- 悪用の速度: 障害や悪意のある悪用が発生した場合、AIエージェントは数秒以内に複数のツール呼び出しをトリガーし、コードを実行できるため、深刻な損害を引き起こします。

MCPがもたらす新たな攻撃ベクトル
モデルコンテキストプロトコルは強力なツールオーケストレーションを可能にしますが、プロンプト、ツールメタデータ、エージェントの実行フロー全体にわたる新たな攻撃面も生み出します。従来のAPIとは異なり、エージェントは指示とメタデータを動的に解釈するため、微妙な操作がはるかに危険になります。
以下のセクションでは、MCP対応システムによってもたらされる主要な攻撃ベクトルについて概説します。
間接プロンプトインジェクション
プロンプトインジェクション自体は新しいものではありませんが、MCPはそれをより広範な規模に拡大させます。エージェントがライブツールに接続するため、外部コンテンツ内の悪意のあるプロンプトであっても、実際のアクションを引き起こす可能性があります。攻撃者は、エージェントが処理するドキュメント、ウェブページ、またはAPIレスポンスに悪意のある指示を組み込みます。
エージェントは指示を正当なものとして処理し、それらが悪意のあるソースからのものであることに気づかずに、それに基づいて行動します。この間接プロンプトインジェクションは、MCPの実装にとって深刻な脅威となります。
ツールポイズニングとスキーマ操作
チームがエージェントのデータ利用のセキュリティ確保に注力する一方で、ツール自体のセキュリティ確保に注力するチームはほとんどありません。ツールポイズニングは、エージェントが最も信頼するレベルで発生します。攻撃者は、ツールの説明、パラメータスキーマ、またはツールマニフェストを操作し、エージェントに正当なものと偽装した悪意のある関数呼び出しを行わせます。
エージェントはツールのメタデータを信頼しており、そこが悪用されるポイントとなり、企業にとって重大なセキュリティリスクを生み出します。
ツールチェーンを介した不正なデータ持ち出し
リスクは悪意のあるツール呼び出しだけでなく、その連鎖にもあります。エージェントは特定のタスクを実行するために複数のツールを連携させ、その際、オープンな権限でデータ持ち出しが発生します。
内部顧客データへの直接アクセスと外部ウェブ検索機能を備えたエージェントは、内部データを要約し、検索クエリを介して外部に送信するために悪用される可能性があります。
特定の「データ送信」コマンドは必要ありません。エージェントは正当なツール組み合わせを介して悪用され、機密システムを危険にさらします。

マルチエージェントパイプラインにおけるコンテキストポイズニング
オーケストレーションされたマルチエージェントシステムにより、信頼境界が拡大しました。コンテキストがエージェント間で受け渡されるため、エージェント間のすべてのやり取りは、インジェクション攻撃の潜在的なポイントとなります。
エージェントが情報を渡すシステムでは、侵害されたアップストリームのMCPクライアントが、共有状態に誤ったコンテキストを渡します。
ダウンストリームのエージェントは、侵害されたコンテキストを信頼できるものとして扱い、元のユーザーとのやり取りなしに伝播を継続し、ビジネスオペレーションを損ないます。
設定ファイル内の静的トークン
認証情報の衛生管理は既知の問題ですが、MCPシステムは新たなプレッシャーポイントをもたらします。エージェントのプロトタイピングの速度はセキュリティプラクティスを上回り、設定ファイル内の静的トークンが犠牲となります。
MCPシステムは、設定ファイルにハードコードされたクラウド認証情報を頻繁に含み、それらはバージョン管理システムや環境に伝播します。
ローテーションがなく、スコープもない静的トークンは、MCPアーキテクチャにおいて最も一般的に文書化されている失敗の一つです。
MCPに適用されるゼロトラストの原則
- ID認識型代理実行: エージェントはグローバルサービスアカウントを絶対に使用してはなりません。すべてのツール使用は、開始ユーザーの正確な権限で実行されるべきであり、不正アクセスを防ぎます。
- サーバーレベルの最小権限: MCPサーバーは、エージェントがその特定の役割を果たすために真に必要とするツールのみにアクセスできるよう、範囲を厳密に限定すべきです。それ以上は許可されません。
- 破壊的な操作に対するヒューマン・イン・ザ・ループ制御: システムの状態を変更できるツールは、実行前に同期的な人間の承認を必要とすべきです。これにより、元に戻せない操作に対する確実な停止点を作り出し、攻撃対象領域を制限します。

MCPにおけるゼロトラストと従来のセキュリティ — 比較
従来のAPIセキュリティモデルは、境界防御と信頼された内部アクターに大きく依存しています。MCP対応エージェントは、ツールを動的に呼び出し、システム間でアクションを連鎖させるという異なる方法で動作します。この変化には、ID、アクセス、実行が継続的に検証されるゼロトラストセキュリティモデルが必要です。
競合他社はどのようにMCPセキュリティを収益源にしているのか?
MCPの導入が進むにつれて、エージェントのツールとデータへのアクセスを保護するための新しい種類のツールが登場しました。しかし、多くのベンダーが基本的なセキュリティ機能をプレミアム機能として提供しており、これが本番AIシステムを導入するチームにとって運用上およびコスト上の障壁となっています。
- ID認識型代理実行: エージェントはグローバルサービスアカウントを絶対に使用してはなりません。すべてのツール呼び出しは、共有された認証情報ではなく、開始ユーザーの正確な権限で実行される必要があります。
- サーバーレベルの最小権限: MCPサーバーは範囲を制限し、エージェントが実行する特定の役割に必要なツールのみにアクセスできるようにする必要があります。それ以外のアクセスは許可しません。
- 破壊的な操作に対するヒューマン・イン・ザ・ループ制御: 破壊的な可能性のあるツールは、実行前に人間の承認を得る必要があります。これにより、そのようなアクションに対する確実な停止点が作成されます。

TrueFoundryがエンタープライズの追加費用なしにゼロトラストMCPセキュリティを実現する方法
TrueFoundryは、セキュリティチームが本番AIシステムを安全に構築、デプロイ、運用できるよう支援するために設計されたエンタープライズAIプラットフォームです。組織がMCPベースのエージェントを導入するにつれて、TrueFoundryは、インタラクション全体でガバナンス、ID、アクセス制御を強制するために必要なインフラストラクチャを提供します。
このプラットフォームは、ゼロトラストMCPセキュリティを実行レイヤーに組み込んでいるため、チームは個別のセキュリティゲートウェイやエンタープライズアドオンを追加することなくエージェントをデプロイできます。
- 中央MCPゲートウェイ: TrueFoundryのMCPゲートウェイは、エージェントとツールの間のすべてのトラフィックに対する単一の管理された入り口として機能し、不正な意図しない操作を防ぎます。エージェントがMCPサーバーに到達する前に、すべてのMCPサーバーは検証済みのレジストリに登録される必要があり、分散した設定の脆弱性を排除します。
- ネイティブな代理実行: エージェントは、タスクを開始したユーザーの正確な権限を継承します。OktaおよびAzure ADとの組み込み統合により、ワークフロー全体で一貫性のある監査可能な強制が保証されます。
- 呼び出し前後のガードレール: TrueFoundryは、実行前に定義されたスキーマに対してすべてのツール呼び出しを検証し、その後出力を検査します。これにより、プロトコル層でゼロトラストが強制され、重大なMCPセキュリティリスクを回避します。
- 完全な可観測性とセキュリティ機能が標準で含まれています: すべてのツール呼び出しとエージェントアクションは、独自のVPC内で構造化されたメタデータとともにログに記録され、主要なセキュリティ上の懸念を解決します。監査ログとRBACは標準で提供され、高価なエンタープライズアップグレード層の裏に隠されることなく、安全なサプライチェーンを確保します。
結論:エージェントに自己監査をさせてはならない
MCPの導入ペースは速く、ほとんどのチームはプレッシャーの中で作業しており、そのプレッシャーの中で近道を選びがちです。デモは機能し、エージェントも動作する。ガバナンスは後で追加される機能と見なされがちですが、それはめったに無料で手に入るものではありません。
問題は構造的です。エージェントが内部システムと外部API間で自律的に呼び出しを行うことができる場合、プロンプトレベルのガバナンスだけでは、そのような現実のために設計されていないゲートウェイを軽減することはできません。保護しているのは単なるリクエストではなく、人間が結果を提示される前に何十ものアクションを実行できる意思決定プロセス全体なのです。
MCPの導入を後悔するチームは、急ぎすぎたチームではありません。既存のセキュリティスタックが大きな変更なしに適応・調整できると信じているチームです。APIゲートウェイは従来、ツールスキーマを理解しません。認証モデルは従来、自律エージェントが関与する代理実行シナリオ向けに設計されていませんでした。そして、基本的なロールベースのアクセス制御が高額なプレミアム機能であるエンタープライズ向けペイウォールは、セキュリティモデルではなく、収益モデルに過ぎません。
MCPにおけるゼロトラストは、単なるチェックボックスではなく、コミットメントです。すべてのツール呼び出しが検証され、すべてのエージェントアクションが記録され、すべての権限はワークフローを開始したユーザーに基づいています。これを正しく行うチームと、侵害後にこれを行うチームとの違いは、ガバナンスが最初からゲートウェイの核となる部分であったかどうか、という点に尽きます。TrueFoundryはこれを機能ではなく、デフォルトにします。

よくある質問
MCPセキュリティとは何ですか?
MCPセキュリティとは、モデルコンテキストプロトコルを使用してAIエージェントがツールにアクセスする方法を管理するメカニズムを指します。MCPは動的なツールアクセスを許可するため、セキュリティは基本的なAPI保護を超えて拡張する必要があります。これには、ID伝播、スキーマ検証、監査証跡が含まれます。TrueFoundryは、ID、セキュリティ制御、実行ログを管理する中央ゲートウェイを通じてこれを提供します。
MCPのセキュリティリスクは何ですか?
エージェントがAPIと動的にやり取りするため、MCPセキュリティはリスクをもたらします。セキュリティリスクには、プロンプトインジェクション攻撃、ツールスキーマ操作、過剰な権限を持つサービストークンが含まれます。マルチエージェントパイプラインは、侵害されたコンテキストを機密システム全体に伝播させる可能性があります。これらの脅威を軽減するには、ツール呼び出しを検証し、IDベースの権限を強制する必要があります。TrueFoundryは、これらのやり取りを管理するための安全なゲートウェイを提供します。
モデルコンテキストプロトコルは安全に使用できますか?
MCPは、AIモデルがツールと連携する方法を標準化する中立的なプロトコルです。その安全性は、適用されるセキュリティ対策によって異なります。エージェントは、昇格された権限を取得し、プライベートデータベースにアクセスする可能性があります。しかし、TrueFoundryが提供するゲートウェイのような堅牢なセキュリティインフラストラクチャを提供することで、企業リソースの露出を避けてプロトコルを安全に実装できます。
ゼロトラストは、MCPを使用するAIエージェントにどのように適用されますか?
ゼロトラストは、いかなるエンティティも信頼できないと仮定します。MCPを使用するAIエージェントの場合、これは悪意のあるサーバーを阻止するために、すべてのツール呼び出しが実行前に認証および検証される必要があることを意味します。エージェントは、開始ユーザーと同じ権限で実行されなければなりません。TrueFoundryは、ID伝播を要求し、すべてのツール呼び出しを監視することで、ゼロトラストを強制します。
AIベースのエージェントにおける「Confused Deputy攻撃」とは何ですか?
Confused Deputy攻撃は、高い権限を持つAIエージェントが悪意のあるアクターに騙され、その代理としてアクションを実行し、データ漏洩につながる可能性がある場合に発生します。AIエージェントが有効な権限を持っているため、システムが攻撃を検出できない場合があります。これを防ぐには、エージェントの権限をスコープ化し、ツール呼び出しの出力を検証する必要があります。
標準的なAPIゲートウェイでは、MCPシステムにとってなぜ不十分なのですか?
従来のAPIゲートウェイは、エンドポイントが既知の決定論的な呼び出しを処理します。MCPベースのエージェントは異なり、ツールを検出し、動的にパラメータを作成します。悪意のあるコードをブロックするには、ネットワークレベルだけでなく、ツールスキーマレベルでセキュリティを強制する必要があります。TrueFoundryは、MCPに関連する新しいセキュリティニーズに対応するために、従来のゲートウェイを拡張します。
TrueFoundry AI Gateway delivers ~3–4 ms latency, handles 350+ RPS on 1 vCPU, scales horizontally with ease, and is production-ready, while LiteLLM suffers from high latency, struggles beyond moderate RPS, lacks built-in scaling, and is best for light or prototype workloads.
The fastest way to build, govern and scale your AI












.webp)




.png)








.webp)
.webp)








