title: "OWASP MCP Top 10で作る、MCP連携前のセキュリティ診断リスト" slug: "owasp-mcp-top10-security-diagnosis-before-integration-20260608" description: "OWASP MCP Top 10の10カテゴリをもとに、AIエージェントと社内システムをMCPでつなぐ前に確認したい接続先、権限、入力検証、ログ、人間承認の診断項目を実務目線で整理します。" lead_summary: "MCP連携はツールを一つ足す作業ではなく、AIエージェントに社内システムへの操作口を開く行為であり、新しい攻撃面が増える。OWASP MCP Top 10の10カテゴリを診断チェックに翻訳し、本番化の前に通せる形にする。" date: "2026-06-29" updatedAt: "2026-06-29" category: "セキュリティ" tags: ["MCP","OWASP","AIエージェント","API連携","セキュリティ診断","権限管理"] author: "GXO株式会社"
OWASP MCP Top 10で作る、MCP連携前のセキュリティ診断リスト
AIエージェントに社内のデータベースやSaaS、ファイルサーバーを操作させたいという要望は急速に増えています。その接続を担うのがMCP(Model Context Protocol)ですが、便利さの裏で、エージェントに「社内システムへ手を伸ばす権限」を渡すという重い意味を持ちます。OWASPはこの領域に固有のリスクを「MCP Top 10」として整理しました。本稿では、その10カテゴリを、連携を本番化する前に一度通すための診断チェックリストへ翻訳します。
結論:MCP連携は攻撃面の追加。診断を通してから本番化する
MCPでツールを一つ追加するたびに、AIエージェントが実行できる操作の範囲が広がります。これは利便性の向上であると同時に、攻撃者から見れば「新しく開いた入口」でもあります。読み取りのつもりが書き込みもできてしまった、外部文書に紛れた指示でエージェントが意図しない操作を実行した、といった事故は、設計段階の確認を省いたときに起こります。
そこで提案したいのは、つなぐ前にOWASP MCP Top 10の各カテゴリを自社の構成に当てはめ、診断として一度通すことです。対象は、MCPを使ってAIエージェントと社内システムを結びたい開発責任者、情シス、セキュリティ担当の方です。本格導入の前であっても、どのシステムにどこまでの操作を許すか、誰が承認し誰が記録を見るかを先に決めておくと、後の設計や外部委託の判断がぶれません。
GXOではAI時代のセキュリティ運用の伴走を入口に、MCP構成の棚卸しから権限設計、ログ運用までを一緒に整理しています。AIエージェント自体の設計から相談したい場合はAIエージェント導入の相談もあわせてご検討ください。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
いまMCPの安全確認が重要になっている理由
MCPは、AIエージェントが外部ツールへ標準化された方法でアクセスできるようにする仕組みとして、急速に普及しました。普及が早かった分、セキュリティの作法が追いついていないのが現状です。各国の機関やセキュリティコミュニティが相次いでガイダンスを出し、OWASPもMCP固有のリスク分類を公開しました。
ここで押さえておきたいのは、MCPのリスクが「従来のAPI連携の延長」では捉えきれない点です。エージェントは自然言語の指示に従うよう作られているため、外部から入り込んだ文章そのものが命令として作用しうる。この「文章が攻撃ベクトルになる」性質が、通常の入力検証だけでは防ぎきれない難しさを生んでいます。だからこそ、つなぐ前の診断という工程が要るのです。
背景:OWASP MCP Top 10の10カテゴリ
OWASP MCP Top 10は、MCP環境で起きやすいリスクを10の類型にまとめたものです(現時点ではベータ段階の枠組みとして公開されています)。診断の出発点として、各カテゴリが何を問うているかを押さえます。
| 類型 | 何を見るか |
|---|---|
| トークン管理と秘密情報の露出 | 認証情報がハードコードされていないか、長期間有効なトークンやログにシークレットが残っていないか |
| アクセス制御の不備と過剰権限 | 一時的に与えた権限が広がり続けていないか、スコープが緩くないか |
| ツールポイズニング | エージェントが依存するツールやその出力が改ざん・汚染されていないか |
| サプライチェーンと依存関係の改ざん | 連携に使うパッケージやコネクタに悪意ある・脆弱な部品が混ざっていないか |
| プロンプト注入とコマンド注入 | 未検証の入力からコマンドや命令が組み立てられないか |
| 意図フローの乗っ取り | エージェントが本来の意図と異なる処理へ誘導されないか |
| ログと監査の不足 | 操作の記録が残り、後から追跡できるか |
| シャドーMCPサーバー | 統制外で勝手に立てられたMCPサーバーが存在しないか |
| 認証とサーバー身元検証の不備 | 接続先のMCPサーバーが正当なものだと確認できるか |
| コンテキストの過剰共有 | 別タスクや別利用者の機微情報が、共有された文脈から漏れないか |
この一覧は、それぞれが独立した話ではなく相互に関係します。たとえば過剰権限とログ不足が重なると、不正操作が起きても気づけない。診断では、単項目ごとの可否だけでなく、弱点が重なる箇所を探すのがコツです。
診断を実務手順に落とす
10カテゴリをそのまま並べても現場は動きにくいので、つなぐ前に踏む手順へ整理します。
- 接続するMCPサーバーと、それが提供するツール(実行できる操作)をすべて棚卸しする。
- ツールごとに「読み取りだけ」「更新あり」「外部送信あり」を分類し、危険度のラベルを付ける。
- 各ツールに与える権限を、業務上必要な最小限まで絞る。広く付けてから絞るのではなく、必要なものだけ足す方針にする。
- ユーザー入力や外部から取り込む文書が、そのままコマンドや命令として作用しないよう、検証と許可リストを設計する。
- 更新や外部送信といった危険操作には、実行前に人間の承認を挟む。
- すべてのツール呼び出しを、誰が・いつ・どの入力で・何を実行したか追えるよう、識別子付きで記録する。
- 統制外のMCPサーバーが立っていないか定期的に棚卸しし、棚卸しと権限レビューを運用に組み込む。
独自の視点:危険操作の「二者間ゲート」を設計する
ここで一つ、事故を減らすために有効な工夫を加えます。それは、危険操作を「自然言語の指示だけでは実行できない」構造にすることです。具体的には、外部送信や本番データの更新といった操作を、エージェントが提案はできても、最終実行は人間の明示的な承認がなければ通らないゲートの後ろに置きます。プロンプト注入の怖さは、攻撃者の指示文がエージェントの判断にそのまま反映されてしまう点にありますが、実行前に人間の確認という独立した関門を一つ挟むだけで、文章だけで完結する攻撃の多くは止まります。
重要なのは、この承認を「すべての操作」に付けないことです。読み取りまで承認制にすると現場が使わなくなり、形だけのチェックになって誰も中身を見なくなります。承認ゲートは更新・削除・外部送信といった取り返しのつかない操作に絞る。この「危険操作だけを人間関門の後ろへ」という設計が、利便性とのバランスを保ちながら最大の事故を防ぎます。
つなぐ前のチェックリスト
本番接続の前に、次の問いに答えられるか確かめてください。
- どのMCPサーバーに、どのツール(実行可能な操作)が紐づいているか、一覧化できているか。
- 各ツールが読み取り専用か、更新を伴うか、外部送信を行うかを区別しているか。
- エージェントに渡す権限が、業務に必要な最小限まで絞られているか。
- 外部文書やユーザー入力が、命令として作用しないよう検証されているか。
- 更新・削除・外部送信の危険操作に、人間の承認ゲートが入っているか。
- すべてのツール呼び出しが、後から追跡できる形で記録されているか。
- 統制外で立てられたMCPサーバーがないか、定期的に確認しているか。
これらの多くに自信が持てないうちは、接続範囲を一部のツールに絞った検証から始めるのが安全です。設計段階から相談したい場合はGXOのセキュリティ支援もご活用ください。
つまずきやすい点
最も多いのは、最初に権限を広く付けてしまい、後から絞れなくなるケースです。検証段階で管理者級の権限を与えると、それで動いてしまうため誰も削りに来ません。最小権限は「後で絞る」ではなく「最初は付けない」を原則にすると、過剰権限が固定化するのを防げます。
次に見落とされやすいのが、シャドーMCPサーバーです。個人や一部のチームが手元で立てたMCPサーバーが、組織の統制の外で社内システムに接続している状態は、想像以上に起こります。承認されたサーバーの一覧を持ち、定期的に「知らないサーバーがないか」を確認する運用を、最初から組み込んでおくことが肝心です。
GXOに相談したいタイミング
次のような状況なら、つなぎ込みを進める前に一度設計を見直すことをおすすめします。
- AIエージェントから社内システムを操作させたいが、どこまでの権限を渡してよいか判断に迷っている。
- 検証では動いたものの、本番で必要な権限分離や承認フローの設計が止まっている。
- プロンプト注入やツールの汚染といったリスクに、自社の構成がどこまで耐えるか確かめたい。
- すでに複数のMCPサーバーが動いているが、全体像と権限を把握しきれていない。
- AIエージェントの開発と、つなぎ先のセキュリティ設計を、誰がどう分担するか決まっていない。
MCP連携の安全性を、つなぐ前に診断しませんか
接続先とツールの棚卸しから、最小権限の設計、入力検証、危険操作の承認ゲート、ログ運用まで、OWASP MCP Top 10を自社構成に当てはめて確認します。AIエージェント本体の設計とあわせた相談も可能です。
初回は資料説明を後回しにして、いまの接続構成と気になっている点をうかがうところから進めます。
よくある質問
MCP連携は通常のAPI連携と何が違いますか
最大の違いは、操作の起点が自然言語の指示である点です。従来のAPI連携は決められたパラメータでしか動きませんが、MCPではエージェントが文脈から判断して操作を組み立てます。そのため、外部文書に紛れた指示がそのまま命令として作用しうる。通常の入力検証に加えて、危険操作に人間の承認を挟むなど、自然言語起点であることを前提にした防御が必要になります。
すでにMCPを使い始めていますが、今からでも診断できますか
可能です。むしろ稼働中の構成こそ、接続先とツールの棚卸し、付与済み権限の見直し、ログの有無の確認を急ぐ価値があります。動いているものを止めずに、危険度の高いツールから順に権限を絞り、承認ゲートと記録を後付けしていく進め方が現実的です。
どのリスクから優先して対応すべきですか
自社の構成によりますが、外部送信や本番データの更新ができるツールに対する「過剰権限」と「承認ゲートの欠如」、そして「ログの不足」が重なっている箇所を最優先にしてください。この三つが重なると、不正な操作が起きても気づけず、被害が広がってから発覚する最悪の流れになります。重なりのある箇所を先に塞ぐのが効果的です。
