>
>
最終更新日
MCP(Model Context Protocol)の企業導入におけるセキュリティ統制を解説。シャドーMCPのリスクや、Claude DesktopなどのAIツールを210種類以上のAIサービス検知で可視化する手法、接続先SaaSの認可プロセスなど、情シスが知るべきガバナンス実務ガイド。
はじめに
この記事でわかること
✓ MCP 企業導入におけるセキュリティリスクと対策
✓ 組織的に統制するための「3レイヤー統制モデル」
✓ 現場の暴走を防ぐシャドーMCP対策の全体像
2024年11月にAnthropicがオープンソース規格として発表した「Model Context Protocol(MCP)」は、AIと社内データを安全につなぐ共通規格です。AIエージェントが社内システムに直接アクセスして自律的に業務を遂行する環境に、多くの企業が期待を寄せるようになりました。しかし、実際のMCP 企業導入にあたっては、情シスやセキュリティ担当者が直面する統制上の課題を無視することはできません。クラウドエース株式会社が実施した調査によると、AIのシステム接続に関して国内企業の担当者の約9割が課題や不安を感じており、そのうち60.2%がセキュリティやガバナンス面を懸念しているという結果が出ています。
本記事は、一般的な開発者目線による連携ツールの使い方ではなく、情報システム部門やセキュリティ担当が組織管理を行うための「ガバナンス」と「リスク管理」に特化して解説します。安全な運用体制を構築するための「3レイヤー統制モデル」から、現場で勝手に接続が作られるシャドーMCP対策の全体像まで、企業の防衛に直結する具体的な知見を提供します。
MCP(Model Context Protocol)とは:仕組みと企業導入の動機
MCPは、AIモデルと各種データソースや業務システムをシームレスに連携させるための共通の接続規格です。
MCPの基本概念と「AIのUSB-C」としての役割
MCP(Model Context Protocol)は、2024年11月にAnthropicがオープンソース規格として発表したプロトコルです(Google Cloud)。これまでのAI連携では、使用するAIモデルごとに独自のAPI接続プログラムを開発する必要があり、スマートフォンの充電ケーブルが機種ごとに異なっていた状態に似ていました。MCPはこの接続方式を一本化し、規格に準拠していればどのAIからも容易にシステムにアクセスできる「AIのUSB-C」としての機能を提供します。
この標準化によって、従来のように接続先が増えるたび開発コストが掛け算式に跳ね上がる「N×M問題」を解消できるようになります。実際、MCPを導入することによって、AIツールの個別開発コストを最大80%削減する効果が提示されています(PR TIMES)。
【図解提案】MCPによるN×M問題の解消イメージ(ファイル名案:mcp-n-times-m-solution.png / alt text案:複数のAIモデルとデータベースを直接つなぐ複雑な構造から、MCP規格を介した共通接続にシンプル化される仕組みの図)
経営・情シスにとっての真の価値:「AI乗り換えリスクを下げる保険」
開発にかかる人件費を抑えるだけでなく、経営や情シス部門にとって中長期的な視点での大きなメリットをもたらします。それは、特定のAIベンダーへの依存を避けるための「AIの乗り換えリスクを下げる保険」として機能する点です。
現在の生成AIの進化スピードは早く、より業務に適した新しいモデルが突然登場することも珍しくありません。接続部分を独自開発していると、AIを別のものに変更するたびに膨大な検証と再開発が必要になります。システムとの接続インターフェースをMCPとして共通化しておくことで、背後のAIを切り替えても既存の社内システム側のプログラムを書き換える必要がなくなるため、組織としての俊敏性を保ちやすくなります。
業務システム連携がもたらす劇的な効果:Workatoの事例
システムとのスムーズな連携が、実際の業務現場でどれほどインパクトを生み出すかは、先進企業の事例が証明しています。
統合プラットフォームを提供するWorkatoでは、2024年10月に全社員1,000人にChatGPT EnterpriseとClaudeを配布しました。その後、Enterprise MCPを介してSalesforceやJiraといった自社のシステム群に接続したところ、わずか2週間でAI利用量が700%以上に急増する成果を記録しています(Workato note)。手動のデータ転送といった作業を挟まずに、AIが必要なデータをシステムから自動で取得して業務に落とし込める環境が、利用率の爆発的な向上に結びつきました。
MCPサーバーの3つの種類とシステム構成の特性
情シス部門が導入を検討するにあたり、まずはMCPサーバーの3つの配置パターンとそれぞれの特性を把握しておきましょう。
1. Local MCP(ローカル)
ユーザーが普段利用しているPCやクライアント端末上で、直接プログラムを動かす方式を指します。デスクトップにあるローカルファイルや開発環境と直接連携させたい場合に適しており、手軽に検証を進められます。ただし、複数のクライアント端末に分散するため、情シスが端末ごとの稼働状況やセキュリティ状態をまとめて監視するのは難しくなります。
2. Remote MCP(リモート)
社内LANや、AWSなどのパブリッククラウド上に共通のサーバーを立てて稼働させる配置パターンです。企業向けのセキュリティポリシーを適用しやすく、だれがいつどのデータにアクセスしたかといった監査ログの一元管理に長けています。一方で、ネットワークの接続設定や認証ロジックなどの設計が必要になるため、構築にはある程度の工数がかかります。
3. Anthropic Hosted MCP(ホステッド)
Anthropic社が提供するクラウド基盤をそのまま利用するマネージドな方式です。自社でインフラの保守管理をする手間を省き、迅速に運用を開始できる点がメリットです。その反面、社内の閉域ネットワーク内にあるデータや、独自の基幹システムと連携する際のネットワーク制御やカスタマイズが難しくなる場合があります。
このように非常に高い導入メリットがある一方で、自社でMCPを導入する際には、適切な運用ルールとセキュリティ対策の設計を怠ると、予期せぬリスクに直面することになります。
▲ 従来の「N×M開発問題」と「MCP(Model Context Protocol)導入後」の接続比較
企業が直面するシャドーMCPとセキュリティリスク
社内の業務効率化を目指す現場のユーザーが、管理部門の関与しない領域で個別にシステムを連携させる「シャドーMCP」のリスクが急速に高まっています。現場主導でMCPサーバーを立ち上げ、ローカルの業務ファイルや業務アプリケーションと接続する動きは、セキュリティ対策の統制が及ばない盲点を生み出します。その結果、企業の機密データが外部に漏洩する深刻な事態を引き起こす原因となっています。
この懸念を証明する具体的な実態として、インターネット上での不適切な公開事例が挙げられます。Bloomberryが公開した調査(Henley Wing Chiu氏、2026年2月)では、認証や暗号化が施されていない無防備な状態でインターネット上に公開されている、社内システム等へ接続可能なMCPサーバーが世界中で1,400件以上確認・分析されました。情シスが関知しないこれらのサーバーは、外部の攻撃者からスキャンされやすく、社内ネットワークへの侵入経路として悪用されるおそれがあります。
さらに、サービス提供企業の設定ミスによるテナント間の情報漏洩リスクも無視できません。2025年には、Asana, Inc.が提供していたMCPサーバー機能において、他社のアカウントデータを閲覧できてしまうバグが発見され、エンタープライズ顧客の約0.8%にあたる約1,000の組織に影響を及ぼしました(UpGuard ブログ)。自社側のシステム構築が強固であっても、導入している外部接続機能に不備があれば、意図せず機密情報が流出する恐れがあることを示しています。
オープンソースの関連ライブラリに起因する、極めて危険性の高いセキュリティ上の欠陥も判明しています。2025年7月には、MCPサーバーのOAuthプロキシライブラリであるmcp-remoteにおいて、リモートコード実行の脆弱性(CVE-2025-6514、CVSS 9.6)が公開されました(GitHubセキュリティアドバイザリ)。この脆弱性が悪用された場合、社内サーバー上で不正なプログラムが実行され、システム全体の制御権を奪われる脅威につながります。
悪意ある接続先を媒介させる「ツールポイズニング」と呼ばれるサイバー攻撃も、具体的な脅威として実証されました。セキュリティ研究機関であるInvariant Labsの検証では、一見すると便利な接続ツールを装ってユーザーの利用環境に入り込み、WhatsApp MCPからすべてのチャット履歴を外部へ窃取する手口が証明されています(Rafter ブログ)。現場が自らの判断でインストールした非公式の接続サーバーが、データを窃取するスパイウェアとして機能する可能性を示しており、ユーザー個人のモラルやリテラシーに依存した管理では防ぎきれません。
情シスの許可なく構築されるシャドーMCPは、社内の重要な機密情報を外部の脅威に直接さらす大きな抜け穴となります。このようなセキュリティリスクを回避しながら組織的に安全な利用を促進するためには、接続を適切に統制するためのガバナンス設計が必要です。
関連する各論記事として シャドーMCP対策ガイド|AIコーディングが招く新たなデータ漏洩リスクと検知の入口 をご覧ください。
企業MCP導入の3レイヤー統制モデル
企業がModel Context Protocolを安全に社内導入するには、ガバナンスの境界線を整理した3レイヤーの統制モデルを構築する必要があります。自社のコントロール領域を「AIツール」「接続先SaaS」「MCPサーバー」の3つの階層に分けて対策を講じることで、セキュリティリスクを防ぎながら運用の標準化が進みます。
レイヤー1:AIツール本体の可視化と制御
従業員が利用するAIツール本体(Claude Desktop、Cursor、Codexなど)の利用状況を正確に把握することから統制が始まります。どのようなツールがどの端末で稼働しているかが見えないシャドーITの状態では、気づかないうちに機密データが外部に流出する恐れが生じるためです。情報システム部門は、社内で許可されたクライアントアプリケーションのみを利用可能にする運用ルールを定め、端末管理ツールなどを通じて利用実態を常時可視化する体制を整えなければなりません。ただし、こうしたエンドポイントの制限を過度に厳しくしすぎると、開発や業務の生産性を損なうデメリットがあるため、安全性が確認されたツールを迅速に承認するワークフローの整備をセットで進める必要があります。
【図解提案】3レイヤー統制モデルの全体像(ファイル名案:mcp-governance-3layers.png / alt text案:AIツール、接続先SaaS、MCPサーバーの3階層からなるガバナンス構造を示す図)
レイヤー2:接続先SaaSにおける認可情報の棚卸
MCPの最大のメリットは、GitHub、Notion、Slackといった社外の主要SaaSとAIツールをシームレスに連携させられる点にありますが、ここにはデータアクセス権限の肥大化というリスクが潜んでいます。このレイヤーでは、各SaaSにおけるOAuth Grant(認可の同意状況)や、発行されたAPIキーの権限設定を定期的に監査するプロセスを導入しなければなりません。退職した従業員のアカウントや、利用されなくなった古い連携設定が残ったままになっていると、そこが認証情報の漏洩や不正アクセスの足がかりとなるリスクが高まります。そのため、誰がどのSaaSに対してどのようなデータ参照・書き込み権限を許可しているかを棚卸し、不要な接続を即座に遮断できる管理体制を構築することが肝要です。
レイヤー3:MCPサーバー本体のセキュリティと認証管理
最もインフラに近い階層となるMCPサーバー自体のセキュリティ設計では、接続元と接続先をどのように認証・認可するかが中心的な課題となります。AWSが提供する「MCPガバナンス戦略」では、認証と認可のパターンを「ユーザー委任アクセス(OAuth等)」と「Machine-to-Machine(M2M)認可」の2つのパターンに分類して管理することを推奨しています(参考:AWS Prescriptive Guidance)。利用者のアカウントに紐づくデータアクセスを一時的に代行させるのか、あるいはサーバー間で直接セキュアに連携を行うのかによって、必要となる暗号化設定やアクセス制御の仕組みは大きく異なります。なお、このMCPサーバー内部のプロトコル仕様や通信経路の暗号化、サーバー自体の脆弱性対策は、SaaSの利用状況を統制するAdminaの機能範囲外となります。この階層は、自社のセキュリティエンジニアや開発部門が責任を持ってインフラレベルで防衛すべき境界線として明確に整理してください。
このように、管理対象となる領域を3つのレイヤーに分解することで、どの部分を自動化ツールで監視し、どの部分を開発体制のセキュリティ基準で守るべきかの役割分担が鮮明になります。それぞれのレイヤーに潜むリスクと統制の手法を正しく評価し、自社のインフラ環境に最適なセキュリティ設計を進めていきましょう。
▲ セキュリティリスクを防ぐための「3レイヤー統制モデル」の構造
関連する各論記事として Claude Code 企業利用の統制ガイド|APIキー管理・MCP連携・シャドーAI対策をご覧ください。
コーディングエージェント導入における個別論点と誘導
開発現場の生産性を劇的に向上させるCursorやClaude Codeといったコーディングエージェントは、多くのエンジニアが自発的に導入を開始する傾向にあります。しかし、情報システム部門がこれらを個別のツールとしてバラバラに管理することは、運用コストを増大させるだけでなく、セキュリティホールを生む原因になりかねません。企業全体のガバナンス体制の一部として位置づけ、統合的に制御する視点が求められます。
Claude Code導入におけるセキュリティの検討課題
Anthropic社が提供するClaude Codeは、ターミナルから直接動作する強力な開発アシスタントです。これを企業向けに安全に導入するにあたっては、ローカルファイルの読み込み権限範囲や、接続先となる外部サーバーの安全性を評価する必要があります。例えば、不正なMCPサーバーを介したソースコードの外部流出を防ぐため、アクセス制御ポリシーの設計が欠かせません。具体的な設定方法や推奨されるセキュリティ統制の枠組みについては、別途詳細記事にて解説予定です。
Cursor導入時の移行プロセスと情報保護
多くの開発チームで先行して導入が進むCursorは、既存のエディタ環境からのスムーズな移行と、コードの秘匿性を両立させることが運用上の課題です。組織のポリシーに合致したセキュリティオプションの適用や、安全なデータ移行ルートの確立について、情シス部門はあらかじめ明確なガイドラインを示す必要があります。Cursorの具体的な導入要件やセキュリティ面での留意事項については、既存記事の「Cursor導入におけるセキュリティとデータ移行」をご確認ください。
横断的なガバナンスとシャドーMCPの検知
個々のツールへの対応にとどまらず、複数のコーディングエージェントが勝手に社内データにアクセスする事態を防ぐ横断的な統制が求められます。特に、開発者が個人用のMCPサーバーを経由して社内リソースを外部AIに接続してしまう「シャドーMCP」は、認証や暗号化が施されないまま放置されるリスクがあります。前述のBloomberry調査でも、認証や暗号化がない状態でインターネット上に公開されているMCPサーバーが世界中で1,400件以上確認されており、これらは重大なセキュリティリスクとなり得ます。こうしたエージェント横断の統制ルール策定やネットワーク内のシャドーMCPを素早く検出する手法については、別途詳細記事にて解説予定です。全社的なセキュリティ網の構築にあたってご参照ください。
関連する各論記事として Vibe Coding × 企業統制|AIコーディングエージェントのガバナンス設計 をご覧ください。
マネーフォワードi株式会社が提供する「Admina」が解決できる統制範囲
AdminaをMCPガバナンスに活用する場合、支援できる範囲は主に「AIツールの利用検知」と「接続先SaaSの権限管理」の2点に限定されます。なお、AdminaはMCPサーバー自体を直接検知する機能は備えていないことをあらかじめ明示しておきます。適切な統制がない状態でのMCP導入はシャドーITや意図しないデータ露出のリスクを内包しますが、SaaS管理プラットフォームであるAdminaを活用することで、AIツール利用状況と接続先SaaSのガバナンスを整理する体制が整います。
Adminaが提供する実務価値の基盤となるのが、社内リソースの可視化です。Adminaは、デバイス、アカウント、およびSaaSの「3つの台帳」を自動的に同期する仕組みを持っています。この同期機能により、どの従業員がどのデバイスを用いて、どのアカウントでAI環境にアクセスしているのかを一元的に把握できるようになります。
さらに、Adminaには210種類以上のAIサービス検知機能が搭載されています。これにより、Claude DesktopやCursorといった「レイヤー1(AIツール)」の利用を確実に可視化することが可能です。情シス部門の許可を得ずに従業員が独自に導入したシャドーAIの存在を素早く察知し、未管理のツールが蔓延するのを防ぐことにつながります。
加えて、Adminaが持つ380以上のSaaS API連携機能は、接続先のガバナンスにおいて大きな実務価値をもたらします。MCPがアクセス先とする「レイヤー2(接続先SaaS)」におけるOAuth Grant(認可情報)やAPIキーの棚卸を定期的に実行できます。不要になった連携権限や、管理から外れたAPIキーを放置することは、シャドーITやそこから派生するシャドーMCPの温床となりかねません。Adminaを介してこれら接続権限の棚卸を自動化することで、セキュリティインシデントのリスクを低減します。
このように、AdminaはMCPサーバーそのものを直接的に監査する製品ではありません。しかし、その手前で動作するAIツール(レイヤー1)と、連携先となるSaaS(レイヤー2)のアクセス権限を網羅的に管理するアプローチにおいて、実務上非常に頼りになるソリューションとなります。
▲ Adminaを活用してシャドーAI・シャドーMCPリスクを検知・対処する4ステップ
よくある質問
Q:MCPサーバー自体を直接検知・監査することは可能ですか?
回答:現状、MCPサーバー自体をネットワーク上で直接検知・監査することは困難です。しかし、接続先となるSaaSのOAuth連携状況や、Claude DesktopなどのAIツール自体のシャドー利用については、SaaS管理プラットフォームであるAdminaを用いて可視化が行えます。AIツールの利用状況と外部連携の動きを網羅的に監視することで、セキュリティ上のリスクを間接的に把握するアプローチが現実的な選択肢となります。
Q:MCP導入時にセキュリティを担保するための認証パターンはどのようなものがありますか?
回答:AWSが提示するガバナンス戦略において、認証パターンは「ユーザー委任アクセス(OAuth等)」と「Machine-to-Machine(M2M)認可」の2つに分類されています。社内システムや外部ツールとのデータ連携でセキュリティを担保するためには、これら推奨される認証パターンを適用する設計が欠かせません。具体的な認証戦略については、AWSのMCPガバナンス戦略(外部サイト)に詳細なガイドラインが示されています。
Q:開発チームでのシャドーMCPを防ぐために、まず取り組むべきことは何ですか?
回答:開発チームにおけるガバナンスを維持するための初期対応として、無許可のAIツール利用の検知と社内のデータ参照権限の見直しが最優先となります。個人や個別チームが独断で外部のAIモデルと社内データベースを勝手に連携させないよう、承認されていないツールの利用状況を迅速に把握する体制を整えてください。併せて、AIに付与するデータアクセス権限を最小限に制限しておくことが、想定外の情報漏洩を防ぐ具体的な手段です。
まとめ:安全なMCP導入に向けたガバナンスの第一歩
ここまで見てきたとおり、MCPのガバナンス整備は「AIツール」「接続先SaaS」「MCPサーバー」の3つのレイヤーに分けて考えると整理しやすくなります。各レイヤーの責任範囲を明確にしながら3レイヤー統制フレームワークを段階的に整備していくことが、安全なAI活用への現実的なアプローチです。
ガバナンス体制の構築において土台となるのが、「デバイス」「アカウント」「SaaS」の3つの台帳の自動同期です。これらを漏れなく一元管理し、利用実態を常に把握することで、不適切な連携やシャドーAIによる情報漏洩リスクを未然に防ぎます。
マネーフォワードi株式会社が提供する「Admina」は、これら「デバイス」「アカウント」「SaaS」の情報を自動で同期し、シャドーAIや未承認のAPI連携の検知を助けます。詳しい対策方法については、シャドーAI対策の解説記事で解説しています。また、実際の管理画面や機能について知りたい方は、こちらのAdminaのデモ予約から個別相談をご利用いただけます。
安全なガバナンス体制への第一歩として、以下のチェックリストを活用して社内の現状を確認してみましょう。
✅ 3レイヤー統制フレームワークの適用範囲を決定した
✅ 社内で利用されているAIエージェントと接続先を洗い出した
✅ デバイス、アカウント、SaaSの台帳自動同期の仕組みを検討した
✅ シャドーMCPやシャドーAIの検知・監視フローを策定した
✅ 外部ツールを用いたガバナンス体制構築のデモを確認した
210以上のシャドーAIを特定できるマネーフォワードAdmina について 詳細を見る →
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
