MCPサーバーセキュリティ｜情シスのための安全運用ガイド

最終更新日:2026年3月19日

MCPサーバーを業務に導入する前に、セキュリティリスクと対策を正しく理解しておくことが重要です。この記事では、MCP（Model Context Protocol）サーバーの主なセキュリティリスクと、情報システム部門（情シス）・IT管理者が今すぐ取り組める対策・ガバナンス体制の作り方を解説します。

この記事でわかること

MCPサーバーで特に注意すべきセキュリティリスク5選
情シスが導入前に確認すべき対策チェックリスト（6カテゴリ）
安全に運用するためのガバナンス設計の考え方

MCPサーバーとは？セキュリティを考える前に知っておきたい基礎知識

MCP（Model Context Protocol）とは、ClaudeやChatGPTなどのAIアプリケーションを外部システムやデータソースに接続するためのオープンスタンダードなプロトコルです。Anthropicが2024年11月にオープンソースとして発表し、現在はGoogle・Microsoft・OpenAIなど主要AIベンダーが対応・言及を進めており、事実上の業界標準として広がりつつあります。

MCPサーバーを使うと、AIはSlack・GitHub・社内ナレッジツールなどの外部サービスと連携し、自然言語を通じて外部サービスの情報取得や定型操作を行えるようになります。

詳しいMCPサーバーの仕組みや、ローカル型・リモート型の違いについては、以下の記事もご参照ください。

便利な反面、MCPサーバーはAIに強力な権限を与える技術であるため、セキュリティ上のリスクも内包しています。2025年〜2026年にかけて実際の脆弱性・インシデントが複数報告されており、情シス担当者として事前に把握しておくべき知識が増えています。ただし、これらのリスクは適切な対策を講じることで管理可能であり、本記事ではその具体的な方法を解説します。

MCPサーバーの主なセキュリティリスク5選

MCPのリスクは大きく「攻撃手法」「認証・権限設計の不備」「運用・ガバナンスの不備」に分けられます。以下の5つはそれぞれのカテゴリを代表する重要なリスクです。

1. ツール汚染攻撃（Tool Poisoning Attack）

悪意のある攻撃者が、MCPツールの説明文（メタデータ）に不正な命令を埋め込む攻撃です。AIはメタデータに書かれた指示を信頼して実行するため、ユーザー側から見えない箇所に仕込まれた命令でも実行してしまいます。

具体的なリスク： 機密データの外部送信・AIアプリの不正動作・意図しないファイル操作

2. 認証情報のハードコーディングと情報漏洩

MCPサーバーは外部APIやデータベースと連携するため、APIキー・データベースのパスワード・サービストークンなどの認証情報を扱います。これらが設定ファイルや環境変数ファイルにハードコーディングされている場合、攻撃者に取得されるリスクがあります。認証の仕組みが施されていないMCPサーバーの実態については後述の事例3もご参照ください。

具体的なリスク： APIキー・認証情報の窃取・外部からの不正アクセス

3. シャドーMCPサーバー（Shadow MCP Server）

IT部門の管理外で、開発者やデータサイエンティストが独自に立ち上げたMCPサーバーを「シャドーMCPサーバー」と呼びます。OWASP MCP Top 10（セキュリティリスクの国際的な分類リスト）に主要リスクとして掲載されている重大な問題です。

デフォルト設定のままで運用されることが多く、認証・認可が不十分なまま機密データに接続されるケースが少なくありません。IT部門が把握できていないため、監査やインシデント対応が困難になります。

具体的なリスク： コンプライアンス違反・データ漏洩・インシデント発生時の追跡困難

4. 過剰な権限付与（Excessive Permissions）

MCPサーバーは「あらゆるユースケースに対応できるように」広いアクセス権が付与されがちです。最小権限の原則が守られていないと、1つのMCPサーバーが侵害されただけで、接続先のシステム全体に影響が及ぶ可能性があります。

具体的なリスク： 想定外の操作・データの改ざん・情報の大規模漏洩

5. プロンプトインジェクション

AIエージェントが処理するデータ（メール・ドキュメント・Webページ等）の中に悪意のある命令が埋め込まれている場合、AIが意図せずその命令を実行してしまうリスクです。MCPでは外部データを取得して処理するユースケースが多いため、プロンプトインジェクションのリスクが特に高くなります。

具体的なリスク： 不正なデータ取得・外部への情報送信・業務システムの誤操作

実際に報告されたMCPサーバーの脆弱性事例

セキュリティリスクは理論的な話だけでなく、すでに現実のインシデントとして報告されています。DocBaseのエンジニアが主要な脆弱性事例を調査・解説した記事もあわせてご覧ください。

DocBase公式MCPサーバーの安全性を検証

事例1：mcp-remoteパッケージの重大な脆弱性（CVE-2025-6514）

広く利用されていたmcp-remoteパッケージのバージョン0.0.5〜0.1.15に対して、CVE-2025-6514として報告されたコマンドインジェクションの脆弱性です。悪意のあるMCPサーバーが初期通信フェーズで命令を埋め込み、クライアント側でOSコマンドが実行される危険性があります。npmからの多数ダウンロードにより、影響範囲は非常に広いと報告されています。

事例2：SQLite MCPサーバーのSQLインジェクション

AnthropicのSQLite MCPサーバーに、ユーザー入力をそのままSQL文に結合する典型的なSQLインジェクション脆弱性が発見されました（トレンドマイクロ, 2025年）。アーカイブ前に5,000回以上フォークされており、未修正のコードが多数のシステムに残存していたと報告されています。

事例3：公開状態のMCPサーバーへの不正アクセス（トレンドマイクロ調査）

トレンドマイクロの調査（2025年7月）では、認証なしでインターネットに公開されたMCPサーバーが492件確認され、データベース・開発ツール・財務関連システムへの不正アクセスが可能な状態にあることが明らかになりました。MCPサーバーが適切な認証なしに0.0.0.0（すべてのネットワークインターフェースからの接続を受け付ける状態）にバインドされているケースが特に危険です。

情シスが今すぐ実施すべきセキュリティ対策チェックリスト

MCPサーバーの社内展開・稟議・ガバナンス体制の構築に活用できるチェックリストです。

まず優先すべき3つ

実務では全項目を一度に対応するのは難しい場合があります。導入初期にまず確認すべき優先度の高い項目は以下の3つです。

インターネット直公開の有無を確認：MCPサーバーが認証なしでインターネットに露出していないか
認証・認可の実装確認：SSO・MFA・OAuth等の認証が適切に設定されているか
APIキー・トークンの権限棚卸し：必要最小限の権限になっているか、有効期限は設定されているか

✅ 認証・認可

[ ] SSO（SAML/OIDC等）で社内のIDプロバイダーと連携しているか
[ ] MFA（多要素認証）が強制されているか
[ ] OAuth 2.1（PKCE必須）など標準的な認証方式が採用されているか
[ ] ユーザー・グループ単位でロールベースのアクセス制御（RBAC）が設定されているか

✅ 最小権限の原則

[ ] APIキー・サービストークンは必要最小限の権限のみ付与されているか
[ ] 読み取り専用の権限で運用できないか確認したか
[ ] MCPサーバーを介してアクセスできるデータ・操作の範囲が明確になっているか

✅ 認証情報の管理

[ ] APIキーや認証情報がコードや設定ファイルにハードコーディングされていないか
[ ] シークレット管理ツール（AWS Secrets Manager等）を利用しているか
[ ] トークンの有効期限が設定され、定期ローテーションが実施されているか

✅ 監査ログ・モニタリング

[ ] MCPサーバーへのアクセスログ・ツール呼び出しログが記録されているか
[ ] 誰がいつどのツールを実行したか追跡できるか
[ ] 異常な操作パターンを検知するアラートが設定されているか

✅ ネットワーク・インフラ

[ ] MCPサーバーがインターネットに直接公開されていないか
[ ] VPN・ゼロトラストネットワーク経由のアクセスに限定されているか
[ ] 全ての通信にTLS暗号化が適用されているか

✅ MCPサーバーの選定・管理

[ ] 利用するMCPサーバーが公式提供または信頼できるベンダーのものか確認したか
[ ] サードパーティ製MCPサーバーのソースコードや依存パッケージを確認したか
[ ] 承認済みMCPサーバーのリスト（レジストリ）を整備しているか

MCPのガバナンス体制の作り方

情シス・IT管理者がMCPを安全に社内展開するためのガバナンス体制構築の3ステップを解説します。

STEP 1：MCPサーバーの棚卸しと承認プロセスの整備

まず「社内で誰がどのMCPサーバーを使っているか」を把握することが最優先です。シャドーMCPサーバーが存在していないかを確認するため、ネットワークスキャンやCASBツールを活用してMCPエンドポイントを定期的に検出します。

新規のMCPサーバー導入は情シスによる事前審査・承認を必須とし、承認済みサーバーのレジストリを整備します。未登録のMCPサーバーへの接続は自動的にブロックする仕組みが理想です。

STEP 2：利用ガイドライン・ポリシーの策定

従業員向けに「MCPを利用する際のセキュリティガイドライン」を策定します。含めるべき内容は以下の通りです。

利用可能なMCPサーバー・クライアントの一覧
機密情報・個人情報のMCP経由での取り扱いルール（例：個人情報を含むデータベースへのMCP接続は読み取り専用に限定し、エクスポート操作は禁止する）
個人端末・自宅環境でのMCP利用の可否
インシデント発生時の報告フロー

STEP 3：段階的な権限拡大と定期レビュー

高権限ツールを最初から解放せず、まず「読み取り専用ツールのみ」から運用を始め、実績を積んだ後にデータ変更系のツールを段階的に解放するアプローチは、企業システムの導入では一般的な考え方です。

また、MCPサーバーへの権限は定期的に見直し（少なくとも年1回）、不要な権限の削除・アクセスログの確認を継続的に実施します。

DocBase MCPサーバー：情シスが安心して導入できる選択肢

MCPサーバーを選定する際は、以下の観点で評価することを推奨します。

選定観点	確認ポイント
提供元の信頼性	サービスの公式が提供しているMCPサーバーか。個人開発・出所不明のものはツール汚染攻撃やバックドアのリスクがある
セキュリティ対策の透明性	ベンダーがセキュリティへの取り組みを公開しているか。脆弱性発見時の対応体制があるか
認証・権限管理機能	OAuth 2.1・SSO対応・監査ログ機能など、企業利用に必要なセキュリティ機能が備わっているか
ISO 27001等のセキュリティ認証	国際的なセキュリティ認証（ISO 27001 / ISMS）を取得しているか

これらの要件——認証・権限管理・監査ログ・セキュリティ認証——を満たすかどうかは、MCPサーバーそのものだけでなく、接続先サービス側のセキュリティ設計にも大きく左右されます。その観点で、企業利用に必要なセキュリティ機能を備えたサービスの一つがDocBaseです。

ナレッジ共有ツール「DocBase」は、公式リモートMCPサーバーを提供しています。DocBase MCPサーバーを接続することで、ClaudeやChatGPTなどのAIが社内ナレッジを参照・活用できるようになります。

情シス担当者が特に注目したいのは、DocBaseが企業向けのセキュリティ基盤をあらかじめ備えている点です。

ISO 27001（ISMS）認証取得済み：国際標準の情報セキュリティ管理体制を確立
AI利用履歴の記録（全プラン共通）：誰がいつどのAI機能を使ったかを記録し、追跡可能性を確保
監査ログ機能（操作履歴の記録・CSVエクスポート）（セキュリティパック契約が必要）：より詳細な操作履歴の記録・エクスポートに対応
細かな参照権限設定：グループ・メモ単位で公開範囲を制御し、機密情報の意図しないAI参照を防止
DocBase公式の脆弱性調査：エンジニアチームが主要な脆弱性パターンに対して自社MCPサーバーの安全性を検証・公開

なお、DocBaseが担うのはナレッジ共有基盤としてのセキュリティ（権限管理・AI利用履歴・認証連携等）です。ネットワーク監視・シャドーMCPサーバーの検出・シークレット管理ツール等は、別途適切なツールの導入が必要です。

DocBase公式MCPサーバーのセキュリティ安全性調査では、確認対象となった代表的な脆弱性パターン（SQLインジェクション・コマンドインジェクション・パストラバーサル等）について、現時点の検証範囲では重大な問題は確認されていません。

DocBaseのAI機能・MCP対応を確認する

DocBaseのセキュリティ機能の詳細を確認する

MCPサーバーセキュリティに関するよくある質問（FAQ）

Q. MCPサーバーは個人利用でも安全に使えますか？

A. 個人利用においては、公式が提供しているMCPサーバー（DocBase・Slack・GitHub等）を使い、APIキーの権限を最小限に設定し、使わないMCPサーバーは接続を解除することで、リスクを大幅に低減できます。不必要に多くのMCPサーバーを接続し続けることは避けましょう。

Q. MCPサーバーのセキュリティで最も重要な対策は何ですか？

A. 「信頼できる公式MCPサーバーのみを利用する」「APIキーは最小権限で発行する」「AI利用履歴・監査ログを取得する」の3点が最も基本的かつ重要な対策です。企業利用においては、これに加えてシャドーMCPサーバーの管理と承認プロセスの整備が不可欠です。

Q. シャドーMCPサーバーはどのように検出できますか？

A. ネットワークスキャンツール（Nmap等）を使ってMCPエンドポイントの定期検出を行う方法や、CASBやSASEツールでMCP通信をモニタリングする方法が有効です。まずは「社内で稼働しているMCPサーバーの一覧が作れるか」を確認することが第一歩です。

Q. MCPとRAGは何が違いますか？セキュリティリスクも違いますか？

A. RAG（Retrieval-Augmented Generation）は情報の「読み取り」を中心とした技術ですが、MCPはデータの読み取りに加えて「ツールの実行」（書き込み・操作・外部API呼び出し）も可能です。そのため、MCPはRAGと比較して実行権限が広く、誤操作・悪用時の影響範囲も大きくなります。権限管理の重要性はMCPの方が高いと言えます。

Q. OWASP MCP Top 10とは何ですか？

A. OWASP（Open Worldwide Application Security Project）が公開したMCPシステムにおける主要な10のセキュリティリスク一覧です。「トークン管理の不備と認証情報の露出」「過剰な権限」「シャドーMCPサーバー」「プロンプトインジェクション」などが主要リスクとして挙げられています。現在ベータ版として公開中で、MCP導入時のセキュリティレビューの基準として活用できます。

まとめ：MCPセキュリティは「導入前」に整備する

MCPサーバーは、AIの業務活用を大きく拡張する強力な技術です。一方で、企業内システムへの接続権限を持つ性質上、セキュリティ対策を後回しにすると深刻なインシデントにつながるリスクがあります。

本記事のポイントをまとめます。

MCPサーバーの主なリスクは「ツール汚染攻撃」「認証情報漏洩」「シャドーMCPサーバー」「過剰権限」「プロンプトインジェクション」の5つ
情シスはまず「インターネット直公開の有無確認」「認証・認可の実装確認」「APIキーの権限棚卸し」の3点を優先して対応する
MCPサーバーは「信頼できる公式提供のもの」かつ「ISO 27001等の認証取得済みベンダー」を選ぶことがリスク低減の基本
DocBase MCPサーバーはISO 27001取得・AI利用履歴記録（全プラン）・監査ログ（セキュリティパック）・細かな権限設定を提供しており、情シスが安心して導入できる選択肢の一つ

社内のAI活用を安全に推進するために、まずは今あるMCPサーバーの棚卸しとガイドラインの整備から始めてみてください。

30日間無料でDocBaseを試す

編集ポリシー

本記事は、DocBase開発元である株式会社KRAYが制作しています。公平で客観的な情報提供に努めていますが、利益相反の可能性がある点はご了承ください。統計データや調査結果には出典を明記し、記載内容の正確性確保に努めています。本記事の情報は2026年3月時点のものです。MCPのセキュリティ情報は変化が早いため、記載内容は定期的に見直しています。

監修

DocBase編集部

情報共有に役立つ情報をお届けします。