はじめに 📘
LLMは非常に強力になりましたが、多くの場合、外部データソースから切り離されて動作しています。2024年にAnthropicがMCPを公開し、2025年3月にOpenAIが採用(Agents SDK/Responses API〈Hosted MCP〉、ChatGPT Developer mode β)。5月にはGoogleがGemini API/SDKの実験的ツール連携と、Vertex AI経由のDB向けMCPツールボックス(OSS)を発表し、エコシステムが加速しています。
本記事では、MCPの基本概念から主要クラウドベンダーの対応状況、セキュリティ面での考慮点まで、2025年10月時点の情報をもとに解説します。
想定読者: LLMの業務活用を検討しているエンジニア・技術マネージャー(初級~中級)
目次
対象読者
- LLMを既存システムと統合したいエンジニア
- Claude、ChatGPT、Geminiなどを業務で使っているが外部データ連携に課題を感じている方
- 各AIプロバイダーごとに異なるカスタム統合を管理する手間を減らしたい開発チーム
- MCPというキーワードを聞いたことがあるが、具体的に何が変わるのか知りたい方
この記事でわかること
- MCPの定義と背景: なぜ2024年後半に登場し、なぜ業界標準になりつつあるのか
- 技術仕様の概要: JSON-RPC 2.0ベース、クライアント/サーバー構造の基本
- 主要ベンダーの対応: Anthropic Claude、OpenAI、Google DeepMind、Microsoft、AWSの最新状況
- セキュリティ上の注意点: プロンプトインジェクションやツール権限の脆弱性
- 導入のステップ: 参照実装の活用法とサンプルサーバーの種類
- エコシステムの現状: IDE、開発プラットフォームでの採用例
- 今後のロードマップ: 2025年後半に予定されている機能拡張
動作環境
MCPプロトコル自体
- プロトコル仕様: JSON-RPC 2.0 over STDIO / Streamable HTTP
- 最新仕様バージョン: 2025年6月更新版(OAuth Resource Server対応)
SDK/実装例で主に使われる言語
- Python
- TypeScript/JavaScript
- C#
- Java
主要対応製品(2025年10月時点)
- Claude Desktop/Web:MCP接続提供中。Integrationsは Pro/Max/Team/Enterprise
- Claude for Work:組織展開可(プラン依存)
- OpenAI Agents SDK / Responses API(Hosted MCP):利用可(2025/3以降)
- ChatGPT Developer mode:フルMCPクライアント β(2025/秋以降。提供範囲は段階展開/RBACはEnt/Edu)
- Google Gemini API/SDK:MCP ツール連携を実験的提供(2025/5発表)
- Gemini CLI:MCP連携 プレビュー
- Microsoft Copilot Studio:MCP統合 GA
- AWS MCP Servers(Lambda/ECS/EKS/Finch):2025/5リリース(OSS)
必要な権限/課金注意
- クラウドAPI利用時は各プロバイダーの課金体系に従う
- MCPサーバーへのアクセス制御設計が必要(OAuth 2.0推奨)
本編
全体像
MCPは「AIアプリケーション向けのUSB-Cポートのようなもの」と表現されます。従来、AIモデルと各データソース(データベース、API、ファイルシステムなど)を繋ぐには、その都度カスタムコネクタを作る必要がありました。これにより、データソースの数(N)とAIツールの数(M)を掛け合わせた数だけ統合コードが必要になる「N×M問題」が発生していました。
MCPは、この問題を解決する統一プロトコルです。
アーキテクチャの要点:
- MCPクライアント: AIアプリケーション側に実装
- MCPサーバー: データソース側に実装
- トランスポート層: ローカルはSTDIO、リモートはStreamable HTTP
- メッセージ形式: JSON-RPC 2.0
基本概念
MCPとは?
Model Context Protocol(MCP)は、AIアシスタントとデータが存在するシステム(コンテンツリポジトリ、ビジネスツール、開発環境など)を接続するための新しいオープン標準です。Anthropicが2024年11月に発表し、オープンソースとして公開されました。
なぜMCPが必要なのか?
従来の課題:
- データソースごとに異なるカスタム統合が必要
- OpenAIのFunction CallingやChatGPTプラグインなど、ベンダー固有のソリューションが乱立
- 保守コストが高く、スケールしにくい
MCPが解決すること:
- 単一のプロトコルで複数のデータソースに対応
- AI側もデータ側も、一度MCPに対応すれば相互接続が容易
- オープンスタンダードなので特定ベンダーにロックインされない
技術的な特徴
MCPは、Language Server Protocol(LSP)のメッセージフロー設計を再利用し、JSON-RPC 2.0でトランスポートされます。標準トランスポートメカニズムとして、STDIOとStreamable HTTPを正式に規定しています。
主要なコンポーネント:
- Resources: ファイルやドキュメント等のデータ
- Tools: AIが実行可能なアクション
- Prompts: AIに与えるコンテキスト情報
2025年6月の仕様更新では、MCPサーバーがOAuth Resource Serverとして正式に定義され、トークン保護とResource Indicatorsが必須化されました。
主要クラウドベンダーの対応状況
比較表
| ベンダー | 公式発表/開始 | いま使える主な機能 | 開発者向け入口 |
|---|---|---|---|
| Anthropic | 2024/11 公開 | Claude Desktop/WebからMCP接続(Desktop Extensions)。公式MCPサーバー多数、IntegrationsはPro/Max/Team/Enterpriseで提供。 | 発表/Ext記事/Integrations案内。 (anthropic.com) |
| OpenAI | 2025/03 | Agents SDKとResponses APIのHosted MCP、ChatGPT「Developer mode」ベータ(フルMCP)。 | Agents SDK/Responses Cookbook/Help。 (OpenAI GitHub Pages) |
| 2025/05(I/O) | Gemini API/SDKのMCP定義サポート、Gemini CLIのMCP連携、Vertex AI経由のDB向けMCPツールボックス(OSS)。 | I/O公式ブログ/SDK資料・実装例/Cloud公式ブログ。 (blog.google) | |
| Microsoft | 2025/05 GA | Copilot StudioでMCP(ツール/リソース)接続・管理。WindowsでもMCP対応方針。 | 公式ブログ/製品Docs/報道。 (Microsoft) |
| AWS | 2025/05 | AWS公式MCPサーバー(Lambda/ECS/EKS/Finch)。Amazon Q DeveloperでMCP利用、リモートMCP対応。 | What’s New/awslabs/mcp/What’s New。 (Amazon Web Services, Inc.) |
※ 2025年10月時点の最新情報です。各ベンダーの実装は継続的に更新されているため、最新の対応状況は各社の公式ドキュメントをご確認ください。
導入の始め方
ステップ1: MCPサーバーの選択
既存の参照実装を使う場合:
Anthropicが提供する参照実装には、Google Drive、Slack、GitHub、Postgres、Puppeteer、Stripeなどが含まれます。
これらはGitHubリポジトリから入手可能です。
カスタムMCPサーバーを作る場合:
開発者は、独自システムや特化したデータソースをAIシステムに接続するためのカスタムMCPサーバーを作成できます。
ステップ2: SDKの選択とセットアップ
主要言語向けのSDKがAnthropicから提供されています:
-
Python:
pip install mcp -
TypeScript:
npm install @modelcontextprotocol/sdk - C#: NuGetパッケージ
- Java: Maven/Gradle
ステップ3: 認証・認可の設定
2025年6月の仕様更新により、MCPサーバーはOAuth Resource Serverとして正式に定義され、Resource Indicators(RFC 8707)が必須化されました。
推奨される認証フロー:
- OAuth 2.0を使用
- トークンの適切なスコープ設定
- Resource Indicatorsによる権限の明確化
ステップ4: クライアント側での統合
AIアプリケーション(Claude、ChatGPT、カスタムアプリなど)にMCPクライアントを実装します。
例: Claude Desktop Appの場合
- Desktop Extensions(.mcpb形式)を使用してワンクリックで導入
- 手動の場合:設定ファイルにMCPサーバーの接続情報を記述し、アプリ再起動後に利用可能
ステップ5: テストとデプロイ
ローカル環境でのテスト後、以下を検討:
- リモートMCPサーバーとしてのデプロイ(HTTPトランスポート使用)
- 組織全体への展開計画
- モニタリングとログ設定
セキュリティと落とし穴
主要なセキュリティリスク
2025年4月、セキュリティ研究者がMCPには複数の未解決のセキュリティ課題があると分析を発表しました。
1. クロスプロンプトインジェクション(XPIA)
UIや文書に埋め込まれた悪意あるコンテンツが、confused deputyアタックを可能にします。単純なチャットアプリではジェイルブレイクやメモリデータの漏洩程度ですが、MCPの場合はリモートコード実行という最高レベルの攻撃につながる可能性があります。
対策:
- プロンプト隔離の実装
- デュアルLLM検証
- 入力の厳密なサニタイゼーション
2. 認証のギャップ
MCPの現在の認証標準は新しく、一貫性のない採用状況です。OAuthはオプションであり、アドホックなアプローチが増えています。
対策:
- OAuth 2.0の必須化
- 2025年6月仕様更新に準拠した実装
- 中央集権的な認証プロキシの活用(Microsoftのアプローチ参考)
3. ツールポイズニング
検証されていない低品質なMCPサーバーが、危険な機能を公開したり、権限昇格に使われたりする可能性があります。
対策:
- 信頼できるレジストリからのみサーバーを利用
- ツールごとの明示的な承認プロセス
- サーバーのセキュリティレビュー実施
4. 認証情報の漏洩
完全なユーザー権限で動作するエージェントは、機密トークンや認証情報を露出させるリスクがあります。
対策:
- 最小権限の原則を適用
- トークンのスコープを必要最小限に制限
- 定期的なトークンローテーション
Microsoft Windows のセキュリティアプローチ(参考)
Windowsでは、すべてのMCPクライアント・サーバー間通信が信頼されたプロキシ経由でルーティングされ、認証と認可を一元的かつ一貫した方法で適用できます。また、ツールレベルの認可により、ユーザーは各クライアント・ツールペアを明示的に承認する必要があります。
このアプローチは、組織での展開時の参考になります。
よくある落とし穴
1. 認証なしのローカルテスト
- ローカルでSTDIO接続のまま本番展開してしまうケース
- リモートアクセス可能なHTTPサーバーには必ず認証を
2. エラーハンドリングの不足
- MCPサーバーのダウンタイムを想定していない
- タイムアウト設定の欠如
3. 過度な権限付与
- MCPサーバーに必要以上の権限を与えてしまう
- データアクセススコープの設計不足
4. ログとモニタリングの欠如
- どのツールがいつ実行されたかのトレースがない
- 異常検知の仕組みがない
まとめと次のステップ
要点のまとめ
- MCPは、AIモデルと外部データソースを繋ぐ統一プロトコルとして、2024年後半にAnthropicが発表
- 主要AIベンダー(OpenAI、Google、Microsoft、AWS)が2025年に次々と採用し、業界標準化が加速
- JSON-RPC 2.0ベースのシンプルな仕様で、既存のLSP設計を参考
- セキュリティ面では課題も存在するが、2025年6月仕様更新でOAuth強化が進行中
- 一部の推計では、2025年末までにMCPが観測的に急速に普及すると予測されています
次のステップ
すぐに試したい方:
- Anthropicの参照実装をクローンして動かしてみる
- Claude Desktop Appで既存MCPサーバーを接続してみる
- 小規模なカスタムサーバーを作成してみる
本格導入を検討する方:
- 公式のModel Context Protocolロードマップを確認し、今後の仕様変更を把握
- 組織内のセキュリティポリシーとMCP要件を照らし合わせる
- パイロットプロジェクトで特定のデータソース統合を試す
- 認証・認可設計をOAuth 2.0ベースで構築
さらなる学習リソース:
MCPは、AIと既存システムの統合を劇的に簡素化する可能性を秘めています。2025年後半にかけてエコシステムがさらに成熟し、より多くの実装例やベストプラクティスが共有されることが期待されます。
免責事項: 本記事は当社が確認した時点の情報に基づく参考情報であり、正確性・完全性・最新性を保証せず、利用により生じたいかなる損害についても弊社は責任を負いません。