MCPサーバーを本番環境に入れる前に、セキュリティを確認していますか。AIエージェントとツールをつなぐModel Context Protocol(MCP)が急速に普及する一方、MCPに特化したセキュリティの指針はこれまで存在しませんでした。OWASPが公開した「MCP Top 10」は、MCPサーバー特有の脆弱性を10項目に分類し、具体的な対策を示す初めてのフレームワークです。
この記事でわかること
- OWASP MCP Top 10の概要と背景
- 10項目それぞれの脅威と具体的な対策
- MCPサーバーを本番導入する際のチェックポイント
MCPのセキュリティが問題になっている背景
MCP(Model Context Protocol)は、Anthropicが策定したAIエージェントと外部ツールの接続プロトコルです。2026年に入ってからClaude Code、Cursor、VS Codeなど主要ツールが相次いで対応し、公開サーバー数は7,000を超えました。関連パッケージの累計ダウンロード数は1億5,000万件に達しています。
普及が加速する中で、セキュリティ上の問題も顕在化しています。2026年4月には、MCPのSTDIOインターフェースに任意コマンド実行(RCE)を可能にする設計上の脆弱性が報告されました。MCP Inspector(CVE-2025-49596)やCursor(CVE-2025-54136)など複数のツールに影響が及んでいます。Palo Alto NetworksのUnit 42は、MCPサンプリング機能を悪用した新しいプロンプトインジェクション攻撃ベクトルも公表しました。
こうした背景から、OWASPはMCPに特化したセキュリティフレームワーク「OWASP MCP Top 10」を策定しました。現在はベータ版(Phase 3)の段階ですが、カテゴリ分類は安定しており、本番導入前のチェックリストとして活用できます。
10大リスクの概要
MCP01: トークン管理の不備と機密情報の露出
MCPサーバーの設定ファイルにAPIキーやトークンをハードコードしてしまうケースです。モデルのメモリやプロトコルログに残った認証情報は、プロンプトインジェクションやデバッグトレースから抜き取られるリスクがあります。
対策として、短命でスコープを限定したトークンを使い、シークレットスキャンを自動化することが推奨されています。環境変数や専用のシークレットマネージャーを使い、設定ファイルへの直書きを排除します。
MCP02: スコープクリープによる権限昇格
MCPサーバーに設定した権限が、時間の経過とともに緩くなる問題です。一時的に付与したはずの権限がそのまま残り、エージェントがリポジトリの変更やデータの持ち出しなど意図しない操作を実行できる状態になります。
最小権限の原則を徹底し、権限の自動失効(スコープの有効期限設定)と定期的なアクセスレビューを行うことが対策です。
MCP03: ツールポイズニング
AIモデルが依存するツールやプラグインの出力を攻撃者が改ざんし、モデルの挙動を操る手法です。信頼されていたツールに悪意のあるアップデートを仕込む「ラグプル」、インターフェース定義を汚染する「スキーマポイズニング」、偽のツールで通信を傍受する「ツールシャドウイング」の3パターンがあります。
ツールのハッシュ検証とバージョン固定、出力の妥当性チェックを組み合わせて防ぎます。
MCP04: ソフトウェアサプライチェーン攻撃
MCPエコシステムはオープンソースのパッケージやコネクタに依存しています。これらに悪意のあるコードが混入すると、エージェントの挙動が変わったり、バックドアが仕込まれたりします。
署名付きコンポーネントの使用、依存関係の継続的な監視、すべてのMCPモジュールの来歴(プロバナンス)追跡が推奨されています。
MCP05: コマンドインジェクション
AIエージェントが、ユーザー入力や外部データをもとにシェルコマンドやAPIコールを組み立てて実行する際、適切なサニタイズが行われていないと任意コマンドが実行されます。MCPのSTDIOトランスポートが設計上、コマンド文字列をそのまま実行する仕様のため、影響範囲が広い脆弱性です。
入力値のバリデーションとサニタイズの徹底、コマンド実行のサンドボックス化が対策です。
MCP06: コンテキストペイロードによるプロンプトインジェクション
MCPのコンテキスト(プロンプト、取得データ、中間出力)に悪意のある指示を埋め込み、エージェントの意図を乗っ取る攻撃です。XSSやSQLインジェクションに似ていますが、「インタプリタ」がモデルで「ペイロード」が自然言語テキストという点が異なります。
コンテキストの入力元を厳密に検証し、ユーザー入力とシステム指示を明確に分離する設計が求められます。
MCP07: 認証・認可の不備
MCPサーバー、ツール、エージェント間のやり取りでID検証やアクセス制御が不十分な場合、攻撃者がクライアントやエージェントになりすませます。MCPエコシステムは複数のエージェントとサービスがデータをやり取りするため、1箇所の穴が全体に波及します。
OAuth 2.1やmTLSなど標準的な認証メカニズムの導入と、ツール呼び出しごとの認可チェックが必要です。
MCP08: 監査とテレメトリの欠如
MCPサーバーやエージェントの活動ログが不十分だと、不正アクセスやデータ漏洩が発生しても検知できません。インシデント発生後の調査も困難になります。
ツール呼び出し、コンテキスト変更、ユーザーとエージェントの対話を詳細に記録し、改ざん不可能な監査証跡を維持する必要があります。
MCP09: シャドーMCPサーバー
開発者やデータサイエンティストが実験用に立てた非公認のMCPサーバーが、組織のセキュリティガバナンスの外で稼働する問題です。シャドーITのMCP版といえます。デフォルト認証情報や緩い設定のまま放置され、攻撃の入口になります。
組織内のMCPサーバーを定期的に棚卸しし、承認プロセスとポリシー適用を義務化することが対策です。
MCP10: コンテキストインジェクションと過剰共有
MCPの「コンテキスト」はセッション間で共有・永続化される作業メモリです。スコープが不十分だと、あるタスクやユーザーの機密情報が別のエージェントやセッションに漏洩します。
コンテキストウィンドウのスコープを厳密に制限し、セッションごとの分離と自動クリーンアップを実装します。
本番導入前のチェックポイント
OWASP MCP Top 10を実務に活かすには、以下の観点で自社のMCPサーバーを点検します。
まず認証情報の管理です。設定ファイルやコードにAPIキーを直書きしていないか、トークンの有効期限は適切かを確認します。次にツールの検証です。MCPサーバーが接続するツールやプラグインのバージョンを固定し、ハッシュで整合性を検証する仕組みがあるかを見ます。
アクセス制御も重要です。各ツールに必要最小限の権限だけを付与し、定期的にレビューしているかを確認します。ログについては、ツール呼び出しのログを取得し、異常を検知できる状態になっているかを点検します。
最後に、組織内で非公認のMCPサーバーが稼働していないかを調査します。個人の開発マシンやテスト環境に立てたサーバーが、本番データにアクセスできる状態になっていないかの確認が必要です。
注意すべき点
現在のOWASP MCP Top 10はベータ版です。カテゴリの順位や説明は今後変わる可能性があります。MCP自体も発展途上のプロトコルであり、仕様の変更に応じてリスクの重み付けが見直される見込みです。
AnthropicはSTDIOの動作を「設計上の仕様」としており、サニタイズは開発者の責任と位置づけています。MCPサーバーを公開・運用する側が、自らセキュリティ対策を講じる必要があるということです。
MCPの利便性とセキュリティはトレードオフの関係にあります。外部ツールとの接続を増やすほど攻撃面は広がります。OWASP MCP Top 10は、その判断を下すための基準として活用できます。