MCPとは?月間9,700万DL突破のAIエージェント標準プロトコルと急増するセキュリティリスク
AIサマリー
MCPはAIエージェントと外部ツールを接続する標準プロトコルとして月間9,700万DLを突破。しかし60日間で30件のCVEが報告され、セキュリティ危機が深刻化している。
AIエージェントが外部ツールやデータソースと接続するための標準プロトコル「MCP(Model Context Protocol)」が、2026年に入り爆発的な成長を遂げている。月間SDK DL数は9,700万を突破し、OpenAI・Google・Microsoft・Amazonを含む全主要AIプロバイダーが採用した。しかしその急成長の裏で、60日間に30件のCVE(共通脆弱性識別子)が報告されるという深刻なセキュリティ危機が進行している。
本記事の表記について
- 金額の日本円換算は1ドル=150円で計算しています
- 下線付きの用語にカーソルを合わせると解説が表示されます
この記事でわかること
- MCPの全体像: AIエージェントの「TCP/IP」と呼ばれるプロトコルの仕組みと急成長の背景
- セキュリティ危機の実態: 30件のCVE、38%の認証なしサーバー、攻撃の3層構造
- MCP vs A2Aの役割分担: 2つのプロトコルが形成するAIエージェント標準スタックの全容
- 実装者が今すぐ取るべき対策: セキュリティ対策の優先度とベストプラクティス
基本情報
| 項目 | 内容 |
|---|---|
| プロトコル名 | MCP(Model Context Protocol) |
| 開発元 | Anthropic(2024年11月発表) |
| 現在の管理 | Linux Foundation / AAIF |
| 月間SDK DL数 | 9,700万以上(Python + TypeScript) |
| 採用企業 | OpenAI, Google, Microsoft, Amazon, Block |
MCPとは何か?——AIエージェントの「USB-C」
プロトコル誕生の背景
2024年11月、AnthropicがMCPをオープンソースとして発表した。従来、AIモデルが外部ツールやデータベースに接続するには、サービスごとに個別のAPIインテグレーションを構築する必要があった。N個のAIモデルとM個のツールを接続するには、N×M個の統合が必要になる——いわゆる「N×M問題」だ。
MCPはこの問題をUSB-Cのように解決する。AIモデル側は「MCPクライアント」を実装し、ツール側は「MCPサーバー」を公開する。これにより、N+M個の実装で全ての組み合わせが動作する。
技術アーキテクチャ
MCPの通信は、3つの主要コンポーネントで構成される。
| コンポーネント | 役割 | 具体例 |
|---|---|---|
| MCPホスト | ユーザーが操作するアプリケーション | Claude Desktop, Cursor, VS Code |
| MCPクライアント | ホスト内でサーバーとの接続を管理 | SDK(Python / TypeScript) |
| MCPサーバー | 外部ツール・データへのアクセスを提供 | Datadog, Slack, GitHub, Stripe |
MCPサーバーは「ツール」「リソース」「プロンプト」の3種類のプリミティブを公開し、AIモデルが構造化された方法でそれらにアクセスできる。
MCPプロトコルの仕組み — N×M問題をN+M問題に変換する統一インターフェースなぜ「全員が採用」したのか
MCPが業界標準になった理由は3つある。
1. オープンソース戦略 Anthropicは当初からMCPをオープンソースとして公開し、競合他社も採用しやすい環境を作った。2025年12月にはLinux Foundationの「Agentic AI Foundation(AAIF)」に寄贈され、ベンダーニュートラルな標準として確立された。
2. 開発者体験の優秀さ PythonとTypeScriptの公式SDKが提供され、MCPサーバーの構築は数十行のコードで完了する。この低い参入障壁が5,800以上のサーバーエコシステムを生み出した。
3. ネットワーク効果 サーバーが増えるほどMCPの価値が上がり、より多くのクライアントが採用し、さらにサーバーが増える。2025年初頭の月間10万DLから、1年で9,700万DLまで約970倍に急成長した。
エンタープライズ採用の最前線
主要企業のMCPサーバー展開
2026年に入り、エンタープライズ領域でのMCP採用が急加速している。
Datadog(2026年3月9日GA) AIコーディングエージェントからリアルタイムのオブザーバビリティデータにアクセス可能。インシデント対応エージェントがMonitorアラートをトリガーに、フィーチャーフラグ管理ツールと連携して自動対応する事例が登場している。
Slack エージェントがチャンネルの読み取り、スレッドの要約、メッセージの投稿を実行。チャット履歴がアクセス可能なナレッジベースに変わる。
Stripe AIエージェントに「ウォレット」を付与し、顧客管理・決済処理・サブスクリプション管理をAPIを通じて安全に操作できる。
Fortune 500での導入状況
Block、Bloomberg、Amazonをはじめ、数百社のFortune 500企業がMCPを本番環境に導入している。2026年末までに、半数以上の企業がAIエージェントのガードレール管理にサードパーティサービスを利用すると予測されている。
MCP vs A2A——2つのプロトコルが形成するAIエージェントスタック
MCPの急成長と並行して、もう一つの重要なプロトコルが台頭している。GoogleがA2A(Agent-to-Agent Protocol)だ。
根本的な違い
MCPとA2Aは競合関係ではなく、TCP/IPスタックのように補完関係にある。
MCP vs A2A — 垂直統合と水平連携の補完関係| 比較項目 | MCP | A2A |
|---|---|---|
| 接続の方向 | 垂直統合(AIモデル → ツール) | 水平連携(エージェント ↔ エージェント) |
| 主な機能 | ツール発見・実行・データ取得 | エージェント発見・タスク委譲・協調 |
| メタファー | 「エージェントに手を与える」 | 「エージェントに同僚を与える」 |
| 発表元 | Anthropic(2024年11月) | Google(2025年4月) |
| 採用規模 | 月間9,700万DL | 100以上の企業が支持 |
| 管理団体 | Linux Foundation / AAIF | Linux Foundation / AAIF |
なぜ両方必要なのか
単一のAIエージェントが外部ツールにアクセスするだけなら、MCPで十分だ。しかし、複数の専門エージェントが互いにタスクを発見・委譲・協調して処理する「マルチエージェントシステム」には、A2Aが必要になる。
たとえば、カスタマーサポートで「注文状況確認エージェント」「返品処理エージェント」「技術サポートエージェント」が協調する場合、各エージェントはMCPでそれぞれのツール(注文DB、返品システム、ナレッジベース)に接続しつつ、A2Aで互いにタスクを委譲する。
統合の動き
2025年12月、Linux Foundationが「Agentic AI Foundation(AAIF)」を設立。OpenAI、Anthropic、Google、Microsoft、AWS、Blockの6社が共同創設者として参加し、MCPとA2Aの両方をこの財団の下で管理する体制が整った。IBMのAgent Communication Protocol(ACP)も2025年8月にA2Aに統合されている。
60日間で30件のCVE——MCPセキュリティ危機の全容
MCPの急成長は、同時にAIエージェント時代で最も急速に拡大する攻撃面を生み出した。2026年1月から2月にかけて、わずか60日間で30件のCVEが報告されている。
60日間で30件のCVE — 攻撃の3層構造攻撃レイヤー1: アプリケーション層(13 CVE / 43%)
最も多い脆弱性カテゴリは、exec()やシェルインジェクションに起因するものだ。
プロンプトインジェクション 攻撃者が入力プロンプトやデータフィールドに隠された悪意ある命令を挿入し、AIモデルに意図しないコマンドを実行させる。MCPサーバーを経由することで、ファイルシステムの操作やAPIキーの窃取が可能になる。
ツールポイズニング MCPサーバーやツールパッケージを掌握した攻撃者が、ツールの説明文に悪意あるコマンドを埋め込む。AIモデルがその説明を読むと、隠されたコマンドに従ってしまう——Tenableのセキュリティ研究者が実証した手法だ。
攻撃レイヤー2: インフラ層(6 CVE / 20%)
SSRF(サーバーサイドリクエストフォージェリ) MicrosoftのMarkItDown MCPサーバーで深刻なSSRF脆弱性が発見された。7,000以上のMCPサーバーの分析では、約36.7%に同様のSSRFリスクが潜在している。
認証バイパス スキャンされた500以上のサーバーのうち、38%が認証を完全に欠如していた。これにより、不正なクライアントが無制限にツールを実行できる状態が放置されている。
パストラバーサル 分析された2,614のMCP実装のうち、82%がパストラバーサルに脆弱なファイルシステム操作を使用している。
攻撃レイヤー3: サプライチェーン層(4 CVE / 13%)
悪意あるパッケージ 攻撃者がMCPライブラリやツールを公開・侵害し、広くインストールされたMCPサーバーに悪意あるコードを注入する事例が確認されている。
SDK自体の脆弱性 公式TypeScript MCP SDKに2件の重大な脆弱性が発見された。その一つは、正規表現のReDoS脆弱性で、特殊なリソースURIによりサーバープロセスがハングする。
人気のmcp-remote npmパッケージ(55万8,000回以上DL)には、CVE-2025-6514(CVSS 9.6)という重大な脆弱性が含まれ、信頼できないサーバーに接続したMCPクライアントで任意のOSコマンドが実行可能だった。
代表的なCVE一覧
| CVE | CVSS | 影響 | 対象 |
|---|---|---|---|
| CVE-2025-6514 | 9.6(Critical) | 任意OS コマンド実行 | mcp-remote 0.0.5〜0.1.15 |
| CVE-2025-59536 | 高 | RCE・APIトークン窃取 | Claude Codeプロジェクトファイル |
| CVE-2026-21852 | 高 | 認証情報の窃取 | MCPサーバー経由のフック |
| SSRF(複数) | 中〜高 | 内部ネットワークへの不正アクセス | MarkItDown他、36.7%のサーバー |
NISTとAAIF——標準化とガバナンスの動き
セキュリティ危機の深刻化を受けて、国際的な標準化の動きが加速している。
NIST AIエージェント標準イニシアチブ
2026年2月17日、米国国立標準技術研究所(NIST)が「AIエージェント標準イニシアチブ」の設立を発表した。3つの柱で構成される。
- 業界主導の標準策定 — MCP・A2A等のプロトコルの安全な実装ガイドライン
- オープンソースプロトコル開発 — セキュリティを組み込んだプロトコル設計
- エージェントセキュリティ研究 — 新たな攻撃ベクトルの特定と対策
Linux Foundation AAIFの役割
AAIFは、MCPとA2Aの仕様策定・セキュリティ監査・コンプライアンスフレームワークの整備を進めている。2026年中にMCPの完全な標準化と包括的なコンプライアンスフレームワークの策定が予定されている。
実装者が今すぐ取るべきセキュリティ対策
MCPセキュリティ対策の優先度ピラミッド優先度1: 認証・認可の実装(最重要)
38%のサーバーが認証なしという現状を踏まえ、まず最初に対処すべきはアクセス制御だ。
✅ OAuth 2.0 / APIキーによるクライアント認証
✅ ツールごとの細粒度アクセス制御
✅ レート制限の設定
✅ 信頼できるクライアントのホワイトリスト管理
優先度2: 入力バリデーション
プロンプトインジェクションとツールポイズニングの対策として、すべての入力を検証する。
✅ ツール説明文のサニタイズ
✅ ユーザー入力のエスケープ処理
✅ コマンドインジェクション防止(exec()の直接利用を避ける)
✅ パストラバーサル対策(ファイルパスの正規化)
優先度3: サプライチェーン管理
依存パッケージの信頼性を継続的に検証する。
✅ MCPサーバーパッケージのハッシュ検証
✅ 依存関係の定期監査(npm audit / pip audit)
✅ 公式SDKの最新バージョンへのアップデート
✅ サードパーティサーバーのソースコードレビュー
優先度4: 監視・ログ・インシデント対応
攻撃の検知と迅速な対応を可能にする体制を構築する。
✅ MCPサーバーのアクセスログの記録・監視
✅ 異常なツール呼び出しパターンの検知
✅ インシデント対応手順の策定
✅ 継続的なセキュリティ監査の実施
よくある質問(FAQ)
Q1. MCPとAPIの違いは何ですか?
APIは特定のサービスとの1対1の接続ですが、MCPはAIモデルとツール間の「共通言語」です。1つのMCPクライアント実装で、すべてのMCPサーバーに接続できるため、N×M問題をN+M問題に変換します。RESTful APIに例えるなら、MCPはAPI設計のOpenAPI仕様のようなものです。
Q2. MCPサーバーを自社で構築する場合、何から始めるべきですか?
公式SDK(Python: mcpパッケージ、TypeScript: @modelcontextprotocol/sdk)を使って最小限のサーバーを構築し、認証の実装を最初に行ってください。認証なしのサーバーは脆弱性の最大要因です。
Q3. A2AとMCPは両方導入する必要がありますか?
単一エージェントが外部ツールにアクセスするだけならMCPのみで十分です。複数のAIエージェントが協調してタスクを処理するマルチエージェントシステムを構築する場合に、A2Aの追加導入を検討してください。
Q4. MCPのセキュリティリスクは本当に深刻ですか?
はい。CVSS 9.6のリモートコード実行脆弱性、38%のサーバーが認証なし、36.7%にSSRFリスクという数字は、本番環境に導入する上で無視できません。NISTが専門のイニシアチブを設立したことからも、その深刻さが分かります。
Q5. 既存のMCPサーバーを安全に利用するにはどうすればよいですか?
公式・信頼できるソースからのサーバーのみを使用し、接続前にソースコードを確認してください。mcp-remoteパッケージのようにCVEが報告されたものは即座にアップデートし、不要なツールへのアクセス権限は最小限に設定しましょう。
まとめ
主要ポイント
- MCPはAIエージェントのインフラ標準: 月間9,700万DL、5,800以上のサーバー、全主要AIプロバイダーが採用。「AIのTCP/IP」として不可逆的な地位を確立した
- セキュリティは最大の課題: 60日で30件のCVE、38%が認証なし、82%がパストラバーサルに脆弱。急成長がセキュリティ整備を上回っている
- MCP + A2A = AIエージェントスタック: 垂直統合(MCP)と水平連携(A2A)が補完し合い、マルチエージェント時代のプロトコル基盤を形成
- 標準化が急務: NIST・AAIFが主導する標準化とコンプライアンスフレームワークが、2026年中に整備される見通し
次のステップ
- 開発者: 自社のMCPサーバー実装のセキュリティ監査を即座に実施
- CISO/CTO: AIエージェント導入のセキュリティポリシーにMCPの脅威モデルを組み込む
- 経営者: MCPエコシステムへの参入戦略を検討し、セキュリティ投資を予算化
関連記事
参考リソース
- The State of MCP — Adoption, Security & Production Readiness(Zuplo)
- 30 CVEs Later: How MCP's Attack Surface Expanded Into Three Distinct Layers(DEV Community)
- MCP vs A2A: The Complete Guide to AI Agent Protocols in 2026(DEV Community)
- Linux Foundation Agentic AI Foundation(AAIF)
- Top MCP Security Resources — March 2026(Adversa AI)
- NIST AI Agent Standards Initiative
本記事はネクサフローのAIテクノロジーシリーズの一部です。
この記事の著者
中村 知良
代表取締役
早稲田大学卒業後、ソフトバンク株式会社にてAI活用やCEO直下案件のプロジェクトマネージャーに従事。その後、不動産スタートアップPit in株式会社の創業、他スタートアップでの業務改善・データ活用を経験後、2023年10月、株式会社ネクサフローを創業し代表取締役CEO就任。
