Benjamin Fabre(ベンジャミン・ファブレ)氏はDataDomeの共同創業者兼CEOである。
エージェント型AIが私たちのデジタルライフにより深く組み込まれるにつれ、企業はモデルコンテキストプロトコル(MCP)サーバーの導入競争を繰り広げている。MCPインフラはエージェント型AIの制御層であり、機密認証情報を保存し、外部APIを仲介し、高価値のビジネスロジックを実行する。
その重要な役割にもかかわらず、MCPは現代AIスタックの中で最も理解が不足し、保護が行き届いていないコンポーネントの一つである。間違いなく、MCPインフラの保護はもはや選択肢ではない。デジタル信頼、顧客安全、事業継続にとって極めて重要なミッションである。
新たな攻撃対象領域、ほとんど認識されていない
MCPサーバーは全く新しい、そしてほとんど監視されていない攻撃対象領域を生み出している。自律型エージェントのコンテキスト、プロンプト、ロジックフローを処理するため、内部から意思決定システムを乗っ取ろうとする攻撃者にとって格好の標的となっている。
MCPへの脅威には、悪意のあるエージェント型トラフィック、信頼されたツールの偽装、価格スクレイピングやコンテンツスクレイピングを大規模に実行するためのロジック悪用、過剰な権限によるアクセスなどがある。現実世界では、攻撃者がエージェントのプロンプトを操作して個人識別情報を暴露したり、ビジネスプロセスに不正なロジックを注入したり、盗まれた認証情報を使用して決済やCRM APIに接続したりする可能性がある。
そしてMCPアーキテクチャは比較的新しいため、多くの組織は「正常」な状態がどのようなものかを把握しておらず、異常な活動を阻止する方法はなおさら理解していない。これがMCPサーバーを詐欺師にとって理想的な標的にしている。
ビジネスにとって高いリスク
5月時点で、MCPリリースから6か月後、多くの主要企業がAI業界でMCPを採用しており、Amazon Web Services、PayPal、Cloudflareなどの企業も含まれている。これはニッチな懸念事項ではなく、主流の企業リスクである。
MCPインフラを保護できなかった場合の財務的・評判的コストは高額である。MCPの侵害はデータ流出、サービス中断、不正取引、ブランド価値の低下につながる可能性がある。これらのサーバーは自動化とビジネスロジックの交差点に位置しており、ここでの攻撃は重要なシステム全体に連鎖的な影響を及ぼす可能性がある。
また、消費者の信頼という要素も高まっている。フォレスターによると、米国の消費者の36%がオンライン取引にAIエージェントを使用することに関心を持っている。この数字は今後さらに増加するだろう。これらのやり取りの完全性を保護できない企業は、自社のAI機能に対する信頼を損ない、次世代のデジタルエンゲージメントを定義する信頼経済において後れを取るリスクがある。
エージェントシステムの保護を再考する
MCPインフラは従来のウェブアプリケーションではないため、従来のセキュリティ対策では保護できない。プロンプトインジェクション、なりすまし、過剰な権限を持つエージェントを阻止することはできない。組織は、現在のセキュリティ対策がエージェントのコンテキストを理解し、行動の異常を検出し、AI特有の脅威をリアルタイムでブロックできるかどうかを評価する必要がある。
MCPの効果的なセキュリティとは、プロンプトの生成と処理における異常を検出して阻止することを意味する。それは、正当なエージェントのみが、良い意図を持って、機密データとビジネスロジックにアクセスできるようにすることを意味する。そして、エージェントが相互作用するツールやAPIの信頼性を継続的に検証し、なりすましや悪用を防ぐことを意味する。
私たちはこの進化を以前にも目にしている。モバイルアプリやAPIが境界セキュリティの再考を強いたように、エージェント型AIは信頼そのものの再構築を強いている。
MCPインフラを保護する方法:4つの即時対策
エージェント型AIを採用する企業は、MCP保護を「あれば良い」ものではなく、最優先のセキュリティ課題として扱わなければならない。攻撃対象領域は現実のものであり、脅威は現在進行形で、その結果は無視するには深刻すぎる。以下は、MCPインフラ全体のリスクを軽減するために企業が取れる4つの実践的なステップである:
1. 導入済みのものを把握する。多くの組織は、MCPサーバーの所在やそれらがアクセスできるものを文書化せずに、エージェント環境を急速に立ち上げている。可視性から始めよう:MCPインスタンスを棚卸しし、それらが接続するシステムとAPIを機密性に基づいて分類する。
2. エージェントの異常をリアルタイムで監視する。他のデジタルIDと同様に、組織はエージェントの異常な活動をリアルタイムで監視・検出できるべきである。エージェントの場合、ネットワーク活動だけでなく、悪意のある使用を示すプロンプトパターン、アクセスフロー、コンテキスト変更も考慮する必要がある。
3. 詳細な権限を適用する。人間のユーザーと同様に、エージェントも広範囲または永続的なアクセス権を持つべきではない。詳細な権限、セッション有効期限ポリシー、コンテキスト対応のアクセス制御を適用して、侵害されたエージェントやサーバーの影響範囲を最小限に抑える。
4. 呼び出しの信頼性を検証する。MCPサーバーはしばしば外部APIやツールに依存している。すべての呼び出しを検証する。これは接続だけでなく、その背後にあるエージェントも認証することを意味する。
自律型デジタル体験の新時代に入るにあたり、企業はエンドポイント保護だけでなく、自律性を可能にする基盤インフラをどのように保護するかも考慮すべきである。それはMCPを本来の姿で見ることから始まる:エージェント型AIのスイッチボードであり、他の重要な企業システムと同レベルのガバナンスを必要とするものである。
