| この記事でわかること |
|
| この記事の対象者 |
|
| 効率化できる業務 |
|
「Claude Desktopですごいことができるようになったらしい」「GitHubやGoogleドライブと直接つなげるらしい」
最近、社内でこんな声を聞くことはありませんか? DX推進担当としては「ぜひやりましょう!」と即答したいところですが、情シスやセキュリティ担当の立場だと、背筋が凍る思いがしますよね。「その『つなぐ』って、具体的にどうやるの? 情報漏洩のリスクはないの?」と。
正直に言います。話題のMCP(Model Context Protocol)は、何も対策せずに使えば「安全ではありません」。
私自身、新しい技術にはワクワクするタイプですが、このMCPに関しては最初に仕様を見たとき、少し冷や汗が出ました。なぜなら、これはAIに「あなたのPCを操作する手」を与えるようなものだからです。
でも、安心してください。「危険だから禁止」にする必要はありません。リスクの正体を正しく知り、適切な盾を持てば、これほど強力な武器はないのです。今回は、話題の技術記事や最新のセキュリティ知見をもとに、企業がMCPを導入する際の「落とし穴」と「守り方」を、専門用語を噛み砕いてお話しします。
MCPとは、AIにとっての「USBポート」
そもそもMCPとは何でしょうか? 難しく考える必要はありません。これは、AI(Claudeなど)にとっての「USBポート」のようなものです。
今まで、ChatGPTやClaudeは「ブラウザの中」だけの存在でした。彼らはあなたのPCの中にあるExcelファイルを見ることもできなければ、社内データベースを検索することもできませんでした。しかし、MCPという規格(USBポート)ができたことで、様々な「周辺機器(MCPサーバー)」をつなげるようになったのです。
- Google Drive MCPサーバーをつなげば、AIが直接ドライブ内の資料を読める。
- PostgreSQL MCPサーバーをつなげば、AIが顧客データベースを検索できる。
夢のような話ですよね。でも、道端で拾ったUSBメモリを会社のPCに挿すのが危険なように、出所不明のMCPサーバーを安易につなぐことにはリスクが伴います。
結論:デフォルトでは「安全ではない」
技術コミュニティZennなどで議論されている通り、MCPサーバーはデフォルトで安全が保証されているわけではありません。
なぜなら、MCPサーバーはあなたのPC(ローカル環境)上で動き、AIからの指示を受けてプログラムを実行する仕組みだからです。もし、つないだMCPサーバーが悪意のある設計になっていたり、AIが誤って危険な命令を出したりしたらどうなるでしょうか?
ここで、情シス担当者が特に警戒すべき3つの「リアルなリスク」を見ていきましょう。
リスク1:コマンドインジェクション(勝手に命令される恐怖)
これが最も怖いリスクです。一部のMCPサーバーは、パソコンのコマンド(ターミナル操作)を実行できる権限を持っています。
もし、悪意ある第三者がAIへの入力(プロンプト)を巧みに操り、「PC内の機密ファイルを外部サーバーに送信せよ」という命令を紛れ込ませたらどうなるでしょう? AIは悪気なく「はい、分かりました」と、そのMCPサーバーを通じてコマンドを実行してしまう可能性があります。実際、セキュリティ研究者によって、不適切な実装のサーバーに対するコマンド実行の脆弱性(CVE-2025-6514など)も指摘され始めています。
リスク2:サプライチェーン攻撃(便利なツールの裏の顔)
GitHubなどで「便利なMCPサーバーまとめ」などが公開されていますが、その中身を誰が作ったか確認していますか?
「ラグプル(Rug Pull)」と呼ばれる攻撃手法があります。最初は無害な便利ツールとして配布し、ユーザーが増えたタイミングで悪意あるアップデートを行い、情報を盗み出す手口です。「npm install」で何も考えずにインストールするのは、知らない人を自宅に招き入れるようなものです。
リスク3:権限の過剰付与(王様の鍵を渡してしまう)
「面倒だから全権限を与えてしまおう」。開発現場でよくあるこの判断が、MCPでは致命傷になります。
特定のフォルダだけ読み込めればいいのに、PC全体へのアクセス権を与えていませんか? もしその状態でAIがハルシネーション(嘘や誤認)を起こし、「古いファイルを整理して」という指示を「システムファイルの削除」と解釈してしまったら……想像するだけで胃が痛くなりますよね。
それでも使いたい! 企業が取るべき3つの防御策
「やっぱり怖いから禁止」というのは簡単です。でも、それでは競合他社に生産性で置いていかれます。安全に使うために、私たちはどうすればいいのでしょうか? 多くのエンジニアが推奨する、具体的な防御策を紹介します。
1. Dockerコンテナで「隔離」する
これが最強の防具です。MCPサーバーをあなたのPCに直接インストールするのではなく、Docker(ドッカー)という仮想の箱の中で動かすのです。
こうすれば、万が一AIが暴走して「全ファイルを削除しろ!」と命令しても、消えるのは箱の中のデータだけ。あなたのPC本体や社内ネットワークは無傷です。開発環境の設定(DevContainerなど)を活用し、環境を汚さずにセキュアに動かす方法が推奨されています。
2. 「中身」を見てから使う(ソースコード監査)
コミュニティ製のMCPサーバーを使う場合は、必ず中身(ソースコード)を確認しましょう。
「エンジニアじゃないから分からない」という場合は、「公式(Official Integrations)」とマークされた信頼できるベンダーが提供するものだけを使用するルールにすべきです。GitHubのリポジトリを確認し、その開発元が信頼できる企業(例:Anthropic社やGoogle社など)であるかをチェックするクセをつけましょう。
3. 「承認ボタン」を必須にする(Human-in-the-loop)
Claude Desktopなどの設定で、ツールを実行する前に「ユーザーの許可」を求めるように設定できます(設定ファイルの autoApprove リストに安易に追加しない)。
AIが「ファイルを削除しますか?」と聞いてきたとき、人間が「Approve(承認)」を押さない限り実行されないようにする。この「人間による最終確認」こそが、AIの暴走を防ぐ最後の砦です。
まとめ:MCPは「諸刃の剣」。正しく恐れて使いこなそう
MCPは、私たちの働き方を劇的に変える可能性を秘めています。しかし、それは同時に、社内のセキュリティ境界を曖昧にするリスクも孕んでいます。
大切なのは、「AIは魔法ではなく、単なるプログラムである」という事実を忘れないことです。彼らは善悪を判断しません。与えられた道具(MCPツール)を使って、指示されたことを実行するだけです。
明日からのアクション:
もし、社内で「MCPを使ってみたい」という声が上がったら、まずは以下の2点をルール化してください。
- Dockerなどの隔離環境で動かすこと(ローカル環境直下での実行禁止)
- 信頼できる公式ツール以外はコードレビューなしに使わせないこと
正しく恐れ、正しく守る。それができれば、MCPはあなたの最強のパートナーになるはずです。
