Shreyans Mehta(シュレヤンス・メータ)氏は、統合APIプロテクションのパイオニアであるCequence Securityの共同創業者兼CTOです。
前四半期、当社のフォーチュン500に入る金融サービス企業のクライアントが、AIエージェントが3週間にわたって不正なデータベースクエリを実行していたことを発見しました。このエージェントは当初、チャットボットプロジェクト用に顧客データへの読み取り専用アクセス権を付与されていましたが、さらに複数のAPI呼び出しを動的に連鎖させて機密性の高い財務プロファイルを再構築していました—これはアクセスを許可されていなかった情報です。
セキュリティチームの事後分析で不安な事実が明らかになりました:エージェントの行動はすべて技術的には「許可されていた」のです。エージェントはOktaから有効なトークンを使用し、承認されたサービスに正当なAPI呼び出しを行い、異常検知ルールをトリガーすることはありませんでした。しかし、これらの呼び出しの組み合わせ—エージェントがリアルタイムで構築した動的なシーケンス—が、従来の監視では検出できない深刻なセキュリティ侵害を引き起こしたのです。
モデルコンテキストプロトコル(MCP)時代へようこそ。ここでは、APIセキュリティの従来のルールはもはや通用しません。
API時代:予測可能性が重要だった頃
20年間、業界はシンプルな前提に基づいてAPIを構築してきました:決定論的な振る舞いが信頼できるシステムを意味する、というものです。ロジックを定義し、フローを検証し、コードをデプロイして、結果を監査します。APIが期待通りに動作すれば、その動作が一貫して繰り返されることを信頼できます。認証はログイン時に行われ、トークンが発行され、そのトークンはその有効期間中、一貫して予測可能なアクセスを許可します。
このモデルが機能したのは、APIが人間によって設計され、人間によってテストされ、人間(または人間の明示的な指示に基づいて動作するアプリケーション)によって使用されていたからです。Okta、Microsoft Entra ID、Google Cloud Identity Platformなどのアイデンティティプラットフォームはこの点で優れていました:ユーザーを一度認証し、トークンを発行し、その後のAPI呼び出しがテスト済みの承認されたワークフローに沿っていると信頼するのです。
セキュリティ体制全体が予測可能性に依存していました。可能なすべての実行パスをマッピングできれば、それらを保護できたのです。
MCPがすべてを変える理由
MCPはこのモデルを根本的に破壊します。MCP駆動環境では、AIエージェントは事前にプログラムされたワークフローに従うのではなく、コンテキスト、利用可能なツール、解決すべき問題に基づいて動的にワークフローを生成します。今日同じ入力を与えても、明日は完全に異なるAPI呼び出しのシーケンスが生成される可能性があります。技術用語では、これは「非決定論的」と呼ばれます。
これはバグではなく、機能なのです。MCPの力はその柔軟性にあります。四半期の収益を分析するエージェントは、硬直したスクリプトに従うのではなく、必要なデータを発見し、必要なデータを取得できるツールを特定し、答えを得るために新しいアクション連鎖を構築します。この適応性こそがAIエージェントの価値です。
しかし、それは予測不可能性をもたらします。そして予測不可能性はセキュリティの天敵です。
エージェントに単純なタスクが与えられた場合を考えてみましょう:「第3四半期の顧客クレームを要約せよ」。MCP環境では、そのエージェントは以下のことを行うかもしれません:
• CRMからクレームチケットを照会する
• 顧客IDを請求データベースと照合する
• メッセージングプラットフォームからメール会話を取得する
• サードパーティツールから感情分析を取得する
• すべてをスプレッドシートに集約する
個々のアクションはすべて許可されています。各API呼び出しは有効なトークンを使用しています。しかし、この特定のアクションの組み合わせを事前に承認した人はいません。この特定の呼び出し連鎖が、分離されているべきデータを露出させる可能性があるかどうかをテストした人もいません。そして重要なことに、エージェントの行動が人間ユーザーの元の意図に沿っているかどうかを監視している人もいないのです。
従来のアイデンティティプラットフォームが可視性を失う場所
最新のアイデンティティソリューションは、ワークフローのライフサイクル全体ではなく、ログインの瞬間のために構築されました。多要素認証、条件付きアクセスポリシー、リスクベースの認証により、ユーザーを見事に認証します。しかし、アイデンティティトークンを発行すると、そのトークンがどのように使用されるかについては事実上盲目になります。
API時代では、この制限は管理可能でした。トークンは予測可能でテスト済みのアクションに使用されていました。何か問題が発生した場合、アプリケーションログを通じてトレースし、期待される動作からの逸脱を特定できました。
MCP時代には、「期待される行動」からの逸脱という概念がもはや存在しません。すべてのワークフローは固有です。ツール呼び出しのシーケンスはすべてその場で生成されます。従来のアイデンティティプラットフォームは誰が認証したかを教えてくれますが、以下のことは教えてくれません:
• エージェントがどのツールを呼び出すことを決定したか
• それらのツールが複数のシステム間でどのデータにアクセスしたか
• アクションの組み合わせがポリシーに違反しているかどうか
• トークンがサービス間でどのように横方向に移動したか
• ワークフローが元のユーザーの意図に沿っているかどうか
この可視性のギャップは理論上のものではありません。測定可能なものです。企業MCP導入環境での当社の調査によると、エージェントが開始したAPI呼び出しの73%が、元のユーザープロンプトで言及されていないツールやデータソースを含んでいました。エージェントはタスクを遂行するために合理的な決定を下しましたが、それらの決定は事後になるまでセキュリティチームには見えませんでした。
企業がMCP駆動の自動化にさらに傾倒するにつれ、結論は明確です:個々のAPI呼び出しを保護するだけでは不十分であり、セキュリティチームはAIエージェントが自ら構築する動的なアクション連鎖を理解し、管理する必要があります。組織は個々のエンドポイントだけでなく、エージェントのワークフロー全体を監視し、人間ユーザーではなくAIエージェント向けに特別に調整されたポリシー、ガードレール、制限を確立し、個々のリクエストレベルではなくシーケンス全体にわたってポリシーを適用できるMCP対応またはゼロトラスト拡張機能を探索する必要があります。
これらのステップは、次に来るものの基盤を築きます。第2部では、シャドーMCPによって作成される信頼ギャップ、トークンの再利用とプロンプト駆動型攻撃について検討し、それらを解消するために必要な最新の信頼モデルの概要を説明します。
