CVE 1件のトリアージに、NVD・EPSS・CISA KEV・Shodan・VirusTotalを別々のタブで開いて調べているなら、Claudeへの一度の質問でまとめて解決できるようになった。
この記事でわかること:
- CVE MCP Serverの概要と解決できる課題
- 21 APIにまたがる27ツールの使い分け
- APIキーなしで使い始める最短手順
- Claude Desktop / Claude Codeへの接続方法
CVE MCP Server とは
https://github.com/mukul975/cve-mcp-server
CVE MCP Serverは、Claudeをフルスペクトラムのセキュリティアナリストとして機能させるオープンソースのMCPサーバーです。NVD・EPSS・CISA KEV・Shodan・VirusTotalなど21のセキュリティAPIを横断する27のツールを搭載しており、脆弱性トリアージ・IPレピュテーション確認・依存パッケージのスキャンまでをClaudeへの自然言語の質問一つで実行できます。
MITライセンスで公開されており、2026年4月14日にv0.1.0がリリースされました。GitHubでは278スターを獲得しています。実装言語はPythonで、FastMCPフレームワークを使ったstdio通信方式を採用しています。
CVEトリアージの手間を一本化する
従来のCVEトリアージは複数ステップを要します。NVDでCVSSスコアを確認し、EPSSで実際の悪用確率を調べ、CISA KEVに登録済みかを確認し、GitHubでPoC(概念実証コード)が公開されていないかを検索し、VirusTotalでマルウェアとの関連を調べる——この一連の作業を脆弱性1件ごとに繰り返す必要があります。CVEが50件あれば1日が費やされます。
CVE MCP Serverはこの問題をMCPで解決します。「CVE-2024-3400にすぐパッチを当てるべきか教えて」と質問するだけで、Claudeが21のAPIに並列でクエリを投げ、複合リスクスコアを算出し、優先度付きの推奨アクションを返します。
27ツールの内訳
ツールは6カテゴリに分かれています。
コア脆弱性インテリジェンス(8ツール)
NVD API v2.0を使ったCVE詳細取得(lookup_cve)、キーワード・製品・深刻度での検索(search_cves)、EPSS悪用確率の取得(get_epss_score)、CISA KEV登録確認(check_kev_status)、CVSSベクターの解析(get_cvss_details)、CWEの詳細取得(get_cwe_info)、参照リンクの一覧取得(get_cve_references)、最大20件の一括取得(bulk_cve_lookup)が含まれます。
エクスプロイト・攻撃インテリジェンス(4ツール)
GitHubからのPoC・エクスプロイトコード検索(search_exploits)、CVEやCWEをMITRE ATT&CKのTTPにマッピング(get_mitre_techniques)、複数ソースからのPoC存在確認(check_poc_availability)、CAPECの攻撃パターン取得(get_attack_patterns)が使えます。
リスク評価・レポート(4ツール)
0〜100の複合リスクスコア算出(calculate_risk_score)、エグゼクティブレポート生成(generate_risk_report)、複数CVEのリスク順ソート(prioritize_cves)、EPSSとKEV基準のトレンドCVE取得(get_trending_cves)が利用できます。
ネットワークインテリジェンス(4ツール)
AbuseIPDBを使ったIPレピュテーション確認(lookup_ip_reputation)、GreyNoiseでのIPスキャン活動調査(check_ip_noise)、Shodanによるオープンポート・サービス調査(shodan_host_lookup)、CIRCL PDNSでの過去のDNS解決記録取得(passive_dns_lookup)が含まれます。
脅威インテリジェンス(4ツール)
VirusTotalでのファイルハッシュ・URL・ドメイン・IPのマルウェアスキャン(virustotal_lookup)、MalwareBazaarからのマルウェアサンプル検索(search_malware)、ThreatFoxからのIOC検索(search_iocs)、Ransomwhereでのランサムウェア支払いアドレス確認(check_ransomware)が使えます。
DevSecOps(3ツール)
OSV.devを使ったPython/npmパッケージの脆弱性スキャン(scan_dependencies)、GitHubセキュリティアドバイザリの検索(scan_github_advisories)、URLScan.ioへのURL送信・結果取得(urlscan_check)が含まれます。
リスクスコアの計算式
calculate_risk_scoreツールは、次の重み付けで0〜100のスコアを算出します。
| コンポーネント | 重み | 意味 |
|---|---|---|
| CVSS v3.1ベーススコア | 20% | 理論上の最大深刻度 |
| EPSS確率 | 35% | 30日以内の悪用確率 |
| CISA KEVステータス | 30% | 実際の悪用が確認された事実 |
| PoCの有無 | 15% | 公開エクスプロイトが攻撃障壁を下げる |
EPSSに最も高い重み(35%)が与えられているのは、CVSSスコア10.0でもEPSSが0.01のCVEは「理論上危険だが実際には悪用されにくい」からです。スコアが76以上になると「24〜48時間以内のパッチ適用」が推奨されます。
KEV登録かつ既知のPoCがある場合は×1.15、CVSSが9.0以上かつEPSSが0.7超の場合は×1.10のブーストが加算されます。
APIキーとコスト
8ツールはAPIキーなしで動作します。EPSS・CISA KEV・OSV.dev・MITRE ATT&CK・CWEルックアップ・CVSSパーサー・Ransomwhere・NVD(低速)がキー不要です。
有料または登録が必要なAPIはすべてオプションです。AbuseIPDB・VirusTotal・GreyNoise・Shodanはいずれも無料枠があります。VirusTotalは1日500回・1分4回、GreyNoiseコミュニティは1週間50クエリが無料の上限です。
NVDの無料APIキーを取得するとスロットリングが5リクエスト/30秒から50リクエスト/30秒に改善されます。https://nvd.nist.gov/developers/request-an-api-key からメール登録するだけで即時発行されます。
インストールとClaudeへの接続
Python 3.10以上が必要です。
git clone https://github.com/mukul975/cve-mcp-server.git
cd cve-mcp-server
python -m venv venv
source venv/bin/activate # Windows: venv\Scripts\activate
pip install -e .
Claude Desktopへの接続は設定ファイルに追記します。macOSでは~/Library/Application Support/Claude/claude_desktop_config.json、Windowsでは%APPDATA%\Claude\claude_desktop_config.jsonを編集します。
{
"mcpServers": {
"cve-mcp": {
"command": "python",
"args": ["-m", "cve_mcp.server"],
"cwd": "/絶対パス/cve-mcp-server",
"env": {
"NVD_API_KEY": "your-key-here"
}
}
}
}
設定変更後はClaude Desktopを完全に終了して再起動する必要があります。リロードでは反映されません。
Claude Codeへの接続はコマンド一行で完了します。
claude mcp add cve-mcp -- python -m cve_mcp.server
接続確認はclaude mcp listで行えます。接続後に「CVE-2021-44228にすぐパッチを当てるべきか?」と質問すると、lookup_cve・get_epss_score・check_kev_statusが連携してリスクスコアと推奨アクションを返します。
まとめ
CVE MCP Serverは、複数のセキュリティデータベースへのアクセスをMCPを通じてClaudeに与えるオープンソースツールです。8ツールはAPIキーなしで即時動作するため、まずインストールして試し、必要なAPIキーを段階的に追加する構成が取れます。