>
>
最終更新日
シャドーMCPの脅威と対策を情シス視点で徹底解説。無許可のMCP接続が招くデータ漏洩リスクに対し、マネーフォワード Adminaを活用したSaaS認可・OAuth棚卸やAIツール可視化による統制アプローチを提示します。
シャドーMCP対策ガイド:AIコーディングが招く新たなデータ漏洩リスクと検知の入口
最終更新日:2026年5月27日
この記事でわかること
① シャドーMCPの定義と、シャドーAI・シャドーITとの本質的な違い
② データ漏洩につながる3つの典型的なシナリオと検知が難しい理由
③ マネーフォワード Adminaを活用したOAuth棚卸・AIツール可視化による統制アプローチ
AIエージェントの普及に伴い、システム開発や業務効率化の現場で「シャドーMCP」リスクが急速に顕在化しています。企業の管理が及ばないMCPサーバーがAIツールに接続されるこの現象は、組織の機密データが外部に漏れ出す新たな経路になりかねません。実際に、Webアプリケーションセキュリティの推進団体であるOWASPが公開する『OWASP MCP Top 10』においても、「MCP09:2025 Shadow MCP Servers」としてそのリスクが明確に定義されています(出典:OWASP MCP Top 10)。
これまでのシャドーITやシャドーAIとは異なり、AIエージェントが自律的にシステムや外部データソースと通信する仕組み自体が統制外に置かれるため、検知や防御が格段に難しくなっています。こうした状況において、情報システム部門やセキュリティ担当者が講じるべきシャドーMCP対策は、個々のシステム構築にとどまらない全社的なガバナンスの課題です。
本稿では、エンジニア向けのプログラム実装方法ではなく、企業統制とセキュリティガバナンスの視点から、どのようなアプローチでこの見えない脅威に対処していくべきかを整理して提示します。まずは、この新しいリスクの正体であるシャドーMCPの定義と、従来のITリスクとの違いについて確認していきましょう。
シャドーMCPとは?シャドーAI・シャドーITの進化系リスク
MCP(Model Context Protocol)は、AIエージェントと外部データやシステムを繋ぐための共通プロトコルです。この仕組みを企業の承認を得ずに個人が構築して利用する行為、あるいは非承認の外部サービスと接続する状態を「シャドーMCP」と呼びます。
従来のシャドーITが未許可のデバイスやSaaSを使うこと、シャドーAIが承認されていないAIサービスへプロンプトを手動入力することであったのに対し、シャドーMCPは企業のデータ境界線そのものが自律的に突破されるという一段上のリスクをもたらします。
従来のシャドーAIでは、データのやり取りはユーザーによるテキスト入力やファイル添付に留まっていました。しかし、MCPを利用した環境では、AIエージェントがプログラムを介して外部システムやローカルファイルに自律的にアクセスし、操作を実行することが可能になります。ユーザーが意識しないうちに、社内の機密データベースや基幹システムと外部の未承認AIモデルが直接接続され、データが流出する恐れが生じるのです。
こうした環境下でセキュリティ対策が追いつきにくい実態は、セキュリティ業界でも広く共有されています。AIエージェントの活用が先行する一方、セキュリティ統制の整備が後手に回りやすいことは、OWASP MCP Top 10(MCP09:2025)でシャドーMCPサーバーのリスクが明確に定義された背景にも表れています(参考:OWASP MCP Top 10)。
企業のデータガバナンスを揺るがすこの新たな課題に対し、情報システム部門は、従業員が勝手にMCPサーバーを立ち上げて外部接続を行わないよう、早急な検知と制御の仕組みを整える必要があります。
次のセクションでは、このシャドーMCPが実際にどのような状況で発生し、どのような被害をもたらすのか、具体的な漏洩シナリオを詳しく見ていきましょう。
▲ シャドーIT・シャドーAI・シャドーMCPの概念とリスクの比較
シャドーMCPが引き起こす3つの典型的な漏洩シナリオ
開発現場における生産性向上への熱意が、セキュリティ管理者の目の届かない「シャドーMCP」のリスクを急激に高めています。悪意のない「業務を効率化したい」という動機こそが、組織の防衛線をすり抜ける深刻な漏洩のトリガーになるケースは少なくありません。開発者が個人の裁量でAI連携を拡張する行動には、便利さと引き換えに巨大なセキュリティ上の死角が潜んでいます。
シナリオ1:Claude DesktopからGitHubリポジトリへの無断接続
「過去の類似コードを参考にしてバグを早く修正したい」と考えた開発者が、会社のGitHubリポジトリに対して許可なくMCPを接続するケースがあります。AIエージェントに直接リポジトリを読み込ませることで、本来は社内環境から出してはならないソースコードが外部AIモデルへ送信され、企業の知的財産の流出につながります。
シナリオ2:AI IDEからNotionデータベースへの無断連携
CursorなどのAI搭載型統合開発環境(AI IDE)は作業効率を極限まで高めますが、管理者による承認外の経路を作り出します。開発者が「仕様書と顧客要望データを突き合わせ、自動でエラーを検知したい」と考え、個人設定したMCP経由で社内のNotionデータベースに直接アクセスを試みるケースです。アクセス権の制御が効かない環境下で機密性の高い顧客情報がAI経由で外部ネットワークに流出し、プライバシー保護の観点から深刻な事態へ発展します。
シナリオ3:信頼性の低い野良MCPサーバー経由の自動送信
開発者がインターネット上で個人が構築した検証前の「野良MCPサーバー」をPCに導入してしまうパターンです。開発を楽にしたいという一心からの行動ですが、接続した瞬間に社内データや社内認証トークンが攻撃者の管理サーバーへバックグラウンドで自動送信される恐れがあります。こうした野良サーバーの危険性はセキュリティ業界でも共通のリスクとして整理されており、OWASP MCP Top 10(MCP09:2025)で明確に警鐘が鳴らされています(参考:OWASP MCP Top 10)。
意図しないデータ漏洩を防ぐためにも、開発者の自律性に頼るだけでなく、組織全体で検知と防御の網を張るシャドーMCP対策の具体策を整えなければなりません。
シャドーMCP直接検知の難しさと、対策の3レイヤー
従来のシャドーIT対策として機能していた、ネットワークプロキシでのURLフィルタリングやパケット解析だけでシャドーMCPを捉えることは極めて困難です。この検出の難しさは、MCP(Model Context Protocol)が備える通信仕様そのものに起因します。
多くのケースにおいて、AIクライアントとMCPサーバーは同一PCの内部で、暗号化されたローカル通信を用いて直接やり取りを行います。また、クラウド上のMCPサーバーを呼び出す場合も、通常のAPI通信やSSL/TLSによる暗号化経路を通過するため、外部のネットワーク監視機器からは一般的なHTTPSトラフィックと区別できません。ゲートウェイを通過するデータのみを監視していても、バックグラウンドで動いているMCPサーバー本体の稼働状況を直接検知するのはほぼ不可能です。
この技術的な壁を踏まえ、情シスが検討すべきなのが3つのレイヤーで捉える防御アプローチです。
AIツール本体のレイヤー:CursorやClaude DesktopといったAI IDEや各種エージェントの導入と稼働を正確に把握する。
MCP接続先SaaSの認可レイヤー:AIツールがサーバーを仲介して社内データを取り出す際に、どのSaaSのアカウントやAPIトークンが連携されているかを可視化する。
MCPサーバー本体のレイヤー:PC内やクラウド上で実行される中継プログラム自体の挙動やプロセスを直接監視する領域を指す。
たとえば、SaaS管理プラットフォームであるマネーフォワード Admina(提供:マネーフォワードi)は、PC内のAI IDEを含むAIサービスの稼働検知や、接続先SaaSの認可状況を可視化することに対応します。これは先ほどの分類における「1つ目のAIツール本体」と「2つ目のSaaSの認可」のレイヤーに該当するアプローチです。
一方で、マネーフォワード Adminaは、ローカル環境で直接起動している「3つ目のMCPサーバー本体」そのものを直接検出して遮断する機能までは備えていません。しかし、AIツールという利用の「入り口」と、データが蓄積されているSaaSの「接続認可状況」を正確に押さえることで、情報漏洩を招く抜け道をふさぐことができます。すべての挙動を単一の仕組みで完璧に捉えようとするのではなく、製品ごとの検知限界を前提とした上で、手元の可視化手段を組み合わせることが、現実的なガバナンスの最適解となります。
▲ シャドーMCPが既存のネットワーク監視をすり抜けるローカル通信構成
統制の入口管理:OAuth GrantとSaaS認可状況の棚卸し
従業員のローカル環境に潜む未承認のMCPサーバーを個別に見つけ出す作業は、情報システム部門にとって極めて困難です。この課題に対する実効性の高いアプローチとして、AIエージェントがアクセスしようとするクラウドSaaS側の窓口、すなわちOAuth認可やAPI連携の権限を直接制御する方法が挙げられます。データが保管されているクラウド側の接続権限を管理するほうが、確実かつ情シス部門の既存業務に馴染むためです。
MCPが社内データを読み書きして自律的に動作するためには、必ず連携対象となるSaaS側でのデータ認証処理が伴います。このデータ連携のプロセスにおいては、OAuthによる認可権限の付与や、APIキーの発行が必要とされる構造になっています。つまり、接続先となるSaaSの認可ゲートウェイ部分で不適切な連携を遮断できれば、シャドーMCPのリスクを根底から防ぐ状態を確保しやすくなるのが特徴です。
このアプローチを具体的に支える仕組みとして、マネーフォワードi株式会社が提供するSaaS管理プラットフォーム「マネーフォワード Admina」が有効な手段となります。Adminaは、社内のIT環境を構成する「デバイス」「アカウント」「SaaS」の3つの台帳を自動で同期し、一元的なガバナンス体制を構築する仕組みです(参考:マネーフォワード Admina 機能紹介)。
特に強みとなるのが、380以上のSaaSとのAPI連携機能です(参考:マネーフォワード Admina 機能紹介)。この強固なAPI連携網を活かして、社内アカウントが外部サービスとどのように接続されているかを隅々まで棚卸しできます。管理者の承認を得ていない野良SaaSの連携や、従業員が独断で行った不適切なOAuth Grantを検出し、不適切な外部連携の早期発見と迅速なアクセス遮断を実行することが可能です。
この手法のメリットは、使い慣れたSaaSアカウント管理の枠組みで統制が行える点にあります。一方で、ローカルPC内で完全に完結するオフライン環境のMCPサーバーの挙動に対しては、SaaS認可の棚卸しだけでは把握しきれない側面があるため、デバイス台帳のログ監視と組み合わせる工夫が欠かせない。窓口を絞ることで、情シスが把握できないOAuth接続を構造的に排除できます。
▲ SaaS認可状況の棚卸しによるシャドーMCP接続制限の判断フロー
AIツールの利用検知:210種類以上のAIサービス可視化
高度な技術仕様であるModel Context Protocolの制御方法を議論する前に、まずは土台となる基本ファクトの把握が欠かせません。実効性のあるシャドーMCP対策を講じるための最優先アプローチは、誰がどのAI開発ツールを社内で動かしているかを正確に突き止めることです。MCP技術を悪用したシャドーMCPや、未管理のシャドーコーディングAIは、開発者のPCローカル環境で直接稼働するクライアントソフトウェアを起点にして発生するためです。
具体的には、CursorやClaude DesktopなどのAI IDEや開発エージェントツールが社内PCにインストールされ、管理者の目の届かない場所で稼働している状況をいち早く察知する必要があります。これらのツールは従来のWebブラウザ経由のアクセス制限をすり抜けることが多く、通常のネットワーク監視だけでは見逃されてしまいがちです。これまでのシャドーITやシャドーAIの枠組みを拡張し、ローカル環境の稼働プロセスまで踏み込んでデバイスやシャドー利用状況を可視化することが、統制を効かせる出発点です。
こうした足元の利用実態を明らかにする有効な選択肢として、SaaS管理プラットフォームであるマネーフォワード Adminaの活用が挙げられます。同プラットフォームは、PC内にインストールされた各種AI IDEを含む210種類以上のAIサービス検知機能をサポートしており(参考:マネーフォワード Admina 機能紹介)、接続先SaaSの認可状況も含めて一元的に可視化できます。これにより、現場のユーザーがどのクライアントツールを起点に外部と通信しているかを迅速にリストアップし、シャドー利用の土台となっている部分を明らかにすることが可能です。
ただし、こうした可視化ツールは現状の利用状況を特定するのには非常に有用ですが、それ自体が通信経路上のプロンプトやMCPサーバーとの接続を細かく制御・遮断するわけではないという注意点もあります。ポリシーは実態把握の後に整備する方が機能しやすい。まず検知で実態を掴み、それを土台にルールと技術制御を重ねていく順序が現実的です。
既存の「シャドーAI対策」との関係性と違い
シャドーMCP対策と一般的なシャドーAI対策は、対象者と技術的介入の深さが異なるため、全社一律の対策と部門特化型対策の二段構えで進める必要があります。
一般的なシャドーAI対策は、すべての従業員がWebブラウザからプロンプトを入力して機密情報を流出させるリスクを防ぐための基本です。この全社的な取り組みについては、既存記事である「シャドーAI対策の解説記事」を参照してください。
これに対して、シャドーMCP対策は、主に開発者やパワーユーザーがAPIやローカル環境を利用してシステム間を繋ぐという、より高度な利用形態を対象としています。Model Context Protocol(MCP)は、外部のデータソースや開発ツール、社内システムをAIと直接接続するため、Webブラウザを介したテキスト入力の監視だけでは防ぎきれません。意図しないシステム連携やデータソースへの不正アクセスを制御するには、踏み込んだ技術的ガバナンスが求められます。
現実的には、全社向けとエンジニア向けでポリシーを分けた方が運用しやすい。対象ユーザーの技術水準や業務内容に応じてルールを最適化することで、業務の利便性を損なわずに安全性を確保できます。
ガバナンスを維持する「MCP統制ポリシー」5項目テンプレート
開発チームの生産性を落とさず、安全なModel Context Protocol(MCP)の利用環境を整えるためには、単純な「全面禁止」ではなく、ルールに基づく「認可制」での運用が適しています。セキュリティを守りつつ開発効率を向上させるために、明日からすぐに使える5項目の「MCP統制ポリシー」テンプレートを策定しました。このルールを社内に提示して、早期のシャドーMCP対策を講じる材料にしてください。
項目1:認可されたAIクライアント以外の使用禁止
社内で利用を認めるAIクライアント(IDEやチャットツールなど)を事前に指定し、それ以外のツールによるMCP接続を制限します。許可されていないクライアントの勝手な導入は、通信経路のブラックボックス化を招くためです。新規ツールの申請ルートもあわせて用意しておくと、現場の反発を最小化しながら統制を維持できます。
項目2:社内SaaS・DB接続時の事前申請と情シス承認制
MCPを経由して社内SaaSやデータベースへ接続する際は、必ず事前申請を行い、API接続やOAuth認可について情シスの承認を得る体制を構築します。個々の判断で連携させると、認証情報の管理が不透明になり、不正アクセスの温床になりかねません。事前に接続要件や利用範囲を申請するプロセスを義務付け、認可状況を情シスが一元管理します。審査基準を明文化しておくと、申請件数が増えても処理が滞りにくく、開発チームの待ち時間も短縮できます。
項目3:ローカルおよび外部サーバーでの野良MCPサーバー起動・接続禁止
信頼性が検証されていない個人開発のMCPサーバーや、出所の分からない外部サーバーへの接続、およびそれらのローカル起動を禁止します。こうした非承認のMCPサーバーは、悪意のある挙動や脆弱性を抱えている恐れがあり、OWASP MCP Top 10でも「Shadow MCP Servers」として定義されています。業務で利用するMCPサーバーは、組織的に安全性を確認したものに限定し、検証用のサンドボックス環境を別途設けることで開発スピードへの影響を抑えられます。
項目4:プロンプト・データ学習拒否設定の義務付け
社内のソースコードや機密データを扱うすべてのMCP接続において、入力したプロンプトや送信データがAIモデルの学習に利用されない設定を義務付けます。設定が漏れていると、自社のノウハウやインフラ情報が外部の生成AIサービスに学習され、将来的に他社へ漏洩する恐れがあります。開発開始前のチェックリストにこの確認項目を明記しておくだけで、設定漏れを構造的に防げます。
項目5:定期的なSaaS連携・OAuth権限の監査プロセスの明文化
構築したMCP接続や付与したOAuth権限が放置されないよう、定期的な監査プロセスを実行することを明文化します。例えば、マネーフォワード AdminaなどのSaaS管理プラットフォームを活用すれば、PC内のAI IDE(Claude Desktop、Cursor等)の稼働検知や接続先SaaSの認可状況を可視化できます。不要になった連携や権限を定期的に棚卸しして削除することで、外部からの攻撃経路を継続的に排除可能です。
シャドーMCP対策に関するよくある質問(FAQ)
Q:シャドーMCPと従来のシャドーITの最大の違いは何ですか?
A:従来のシャドーITは、承認外のSaaSを個人や部門が単体で利用するリスクを指していました。これに対してシャドーMCPは、AIが認可外のプロトコルを介して社内SaaSやローカルファイルを自律的に操作する点にリスクがあります。AIの自動処理によって複数のシステムからデータが引き出されるため、情報の漏洩スピードと被害範囲が極めて広範になるという違いがあります。
Q:マネーフォワード AdminaでシャドーMCP(MCPサーバー自体)を直接検知することはできますか?
A:いいえ、マネーフォワードiが提供するマネーフォワード AdminaでMCPサーバー自体を直接検知することはできません。しかし、MCPクライアントとなるAIツールの稼働を可視化する機能や、MCP接続先となる社内SaaSの認可状況(OAuth Grant)を棚卸しする機能を利用できます。210種類以上のAIサービス検知を組み合わせることで、間接的にシャドーMCPの発生を強力に防ぐコントロールが可能です。
Q:開発者向けにMCPの利用を全面禁止にするべきでしょうか?
A:全面禁止の設定は、開発現場の生産性を著しく低下させるため推奨されません。情シス部門が許可したセキュアなAIツールのみを使い、接続先となるSaaSの認可状況を管理する「申請・認可制」の運用フローを構築する手法が現実的です。申請フォームと承認フローを先に設計しておくと、現場の混乱を最小化できます。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
おすすめの記事をご紹介
まとめ
ここまで整理した通り、対策の入口は「何が動いているかを把握する」ことに尽きる。データの出口管理にあたるSaaS認可状況の棚卸しと、AIツール本体の稼働把握を組み合わせることで、従来のSaaS管理をアップデートする延長線上としてシャドーMCP対策の第一歩を踏み出せます。
その運用を支える仕組みとして、マネーフォワード Adminaが力を発揮します。PC内に導入されたAI IDE(CursorやClaude Desktopなど)の稼働検知だけでなく、接続先となっているSaaSの認可状況を可視化できます。「アカウント」「デバイス」「SaaS」の3つの台帳を統合して一元管理することで、シャドーMCPによる意図しないデータ連携の検知をサポートします。
まずは次のチェックリストを用いて、自社のAI利用環境を整理することから始めてみてください。
✅ AI IDE(Cursor等)を含むAIツールの利用状況を一覧化した
✅ SaaSのOAuth Grant・APIキー棚卸しプロセスを策定した
✅ MCP統制ポリシー5項目を社内ドキュメントに記載し、開発部門へ周知した
まずは自社のAI IDE稼働状況をAdminaで確認してみることをお勧めします。実際の画面や運用イメージについては、こちらのマネーフォワード Admina デモ予約よりお問い合わせいただけます。
