生成AIの活用が広がる中、セキュリティ現場では「AIをどう使うか」だけでなく「AIにどう使われるか」が現実の脅威になっている。AnthropicのClaudeが推進するMCP(Model Context Protocol)は、AIが社内ツールやデータに安全に接続するための“共通規格”として注目を集める一方、運用を誤れば攻撃面(アタックサーフェス)を拡張し得る。AIエージェントが業務プロセスに入り込むほど、認証・権限・監査・データ境界の設計がセキュリティの主戦場になる。
AIエージェントとMCPがもたらす変化
MCPは、AIが外部のシステム(チケット管理、ログ基盤、クラウドストレージ、CI/CD、ID管理など)と連携する際の“つなぎ方”を標準化する考え方だ。従来は、個別にAPI連携を作り込み、権限や監査も連携ごとにバラつきが生まれやすかった。標準化のメリットは、接続方式やツール連携が整理され、AIが参照するコンテキストを統制しやすくなる点にある。
一方で、AIが「読む・要約する」だけでなく「作成する・実行する」まで踏み込むと、セキュリティは単なる情報漏えい対策から、業務操作そのものの不正実行防止へと移行する。例えば、AIが自動で運用手順書に従いコマンドを提案し、承認後に実行するような世界では、プロンプトや入力データが“操作命令”に化けるリスクが現実化する。
攻撃側もAIを使う:脅威は「巧妙化」から「工業化」へ
フィッシング文面の高度化、マルウェア開発の補助、脆弱性の探索、SNS上のソーシャルエンジニアリングなど、攻撃者が生成AIを活用する流れは止まらない。重要なのは、AIが攻撃の“品質”を底上げするだけでなく、“量”と“速度”を引き上げる点だ。標的組織の業界用語や社内文化に合わせた自然なメール、複数言語での同時展開、リサーチの自動化により、従来は人手が足りず実現しにくかった攻撃が実行可能になる。
この局面で防御側に求められるのは、個々の攻撃を当てにいくシグネチャ依存ではなく、権限・経路・実行の各段階で“止める仕組み”を重ねることだ。AIエージェントの普及は、ゼロトラストの考え方をより実務的に押し進める。
最大の論点:AIが触れる「コンテキスト」をどう守るか
生成AIの価値は、社内データや運用知識と結びついたときに跳ね上がる。しかし同時に、そこが最大の漏えい源にもなる。AI連携では、次の3つが特に重要だ。
最小権限とスコープ設計
AIに「便利だから広く見せる」を許すと、機密データが不要に露出する。MCPのような接続規格を使う場合も、ツール単位・プロジェクト単位・データ分類単位で権限を切り、タスクに必要な最小範囲のみを与える設計が不可欠だ。読み取り専用と書き込み・実行系の権限は分離し、後者には厳格な承認を組み合わせる。
プロンプトインジェクションとデータ汚染への備え
AIが参照する文書やチケット、Webページ、ログに悪意の命令文を混ぜ、AIの判断を誤らせる手口が問題になる。特に、AIが“ツール実行”を伴う場合、誤誘導は直接的な被害につながる。対策としては、外部由来コンテンツの境界を明確にし、AIへの入力を正規化・サニタイズすること、ツール呼び出し前に方針チェック(ポリシーエンジン)を挟むことが有効だ。
監査可能性と説明責任
AIの意思決定やツール操作がブラックボックス化すると、事故対応が困難になる。いつ・誰が・どのデータを参照し・どの権限で・何を実行したかを、ログとして追える設計が前提だ。AIの出力だけでなく、参照した根拠(取得したコンテキスト)と、実行したアクションの差分を保全することで、インシデント調査と再発防止が可能になる。
AIを守り、AIで守る:現場の実装ポイント
AI活用を止めるのではなく、設計と運用でリスクを管理することが現実解となる。企業が優先して整備すべきポイントは次の通りだ。
IDと承認フローの再設計
AIエージェントを“新しい利用者”として扱い、ID発行、トークン管理、失効、鍵のローテーションを標準手順に組み込む。高リスク操作(本番環境への変更、権限付与、送金、顧客情報抽出など)は二重承認や人間の最終確認を必須化し、AI単独で完結させない。
データ分類とDLPのAI対応
機密区分(公開・社外秘・機微情報など)を明確化し、AIに渡してよい情報の範囲をポリシーで固定する。DLPはメールやストレージだけでなく、AIへの入力・出力、コネクタ経由の転送にも適用する設計が求められる。
セキュリティ運用の自動化と品質管理
AIはSOCのアラートトリアージ、ログの要約、インシデントの初動手順提示、ルール作成支援などで効果を発揮する。ただし、誤検知・見落とし・過信を防ぐため、評価指標(再現率、適合率、平均対応時間など)を定義し、モデル更新やプロンプト変更時の回帰テストを運用に組み込むべきだ。
経営視点での論点:生産性向上とリスクのバランス
AIエージェントは、セキュリティ人材不足を補い、対応速度を上げる可能性がある。だが、導入効果は「統制の設計」によって左右される。経営層が押さえるべきは、AIの導入をツール購入で終わらせず、権限設計・監査・データ境界・承認フローまで含む“業務システム”として扱うことだ。ここを軽視すると、便利さがそのまま重大インシデントの引き金になり得る。
まとめ:MCP時代のセキュリティは「接続の統制」が要になる
MCPのような標準化は、AI活用を現場に広げる推進力になる一方、AIが触れる範囲と実行できる操作を増やす。これからのサイバーセキュリティは、脆弱性対応や検知強化に加えて、AIエージェントのID管理、最小権限、入力汚染対策、監査と説明責任をセットで整備することが中核になる。AIが“同僚”として働く時代、守るべきはモデルそのものではなく、モデルがアクセスするコンテキストと実行権限である。
参照: 最前線! AIの世界:アンソロピック「クロード・ミュトス」が激変させるサイバーセキュリティー 長谷佳明 – 週刊エコノミスト Online