はじめに
最近、「MCP」という単語を耳にする機会が増えてきました。
私自身もMCPはほとんど何も知らない状態であるため、今回はMCPの仕組みやメリット、セキュリティ上のリスクなどについて調べてまとめてみました。
MCPとは何か
MCP(Model Context Protocol) とは、AIモデルと外部サービス・ツールをつなぐための標準通信規格。
2024年11月にAnthropicがオープンソースとして公開し、現在はLinux Foundation傘下のAgentic AI Foundation(AAIF)が仕様を管理するベンダー中立な標準規格になっています。
よく使われるたとええが「AIのためのUSB Type-C」です。
USB Type-Cが登場する以前は、機器ごとに異なるケーブルが必要でした。
MCPが登場する前のAI連携も同様で、サービスごとに独自のAPI統合が必要でした。MCPはその接続を標準化し、どのAIツールからでも同じ方法で外部サービスにつなげる仕組みです。
MCPの基本アーキテクチャ
MCPは「ホスト」「クライアント」「サーバー」という3つのコンポーネントで構成されており、JSON-RPC 2.0プロトコルに基づいて通信が行われます。
MCPホスト
AIアプリケーション本体です。Claude Desktop、Cursor、WindsurfなどがMCPホストの代表例です。ユーザーからのリクエストを受け取り、適切なクライアントを選んで呼び出す「司令塔」として機能します。
MCPクライアント
ホストとサーバーの間に位置する仲介役です。ホストからのリクエストをMCPの通信規約に従ってサーバーへ送り、応答をホストに返します。1つのホストが複数のクライアントを持てますが、各クライアントはMCPサーバーと1対1で接続します。
MCPサーバー
特定のデータソースやツールへのアクセスを提供する軽量なプログラムです。例えばファイルシステム、データベース、外部APIなどへのアクセスを提供します。
MCPサーバーが提供する3つの機能
MCPサーバーは大きく分けて次の3種類の機能を外部に公開できます。
ツール(Tools)
AIが実際に「実行」できる操作です。APIの呼び出し、データベースへの書き込み、コードの実行などが該当します。ツールはAIの判断で自律的に呼び出されるため、最も強力な機能です。
リソース(Resources)
AIが「読み取り」できるデータです。ファイルの中身、データベースのレコード、APIのレスポンスなどが含まれます。ツールと異なり、副作用(データの変更)が生じない情報提供に特化しています。
プロンプト(Prompts)
サーバーがあらかじめ定義した再利用可能なプロンプトテンプレートです。特定の操作パターンを定型化しておき、ユーザーが毎回同じ指示を書かなくてもよい仕組みです。
主要なMCPサーバー
2026年4月時点で公開されているMCPサーバーは10,000以上に上ります。ここでは代表的なものを用途別に紹介します。
開発・コード管理
| サーバー名 | 概要 |
|---|---|
| GitHub MCP Server | リポジトリ操作、Issue・PR管理、コード検索などをAIから実行 |
| GitLab MCP Server | GitLabのリポジトリやCI/CD環境を自然言語で操作 |
| Filesystem MCP Server | ローカルファイルシステムへの読み書きを提供する公式リファレンス実装 |
コミュニケーション・業務
| サーバー名 | 概要 |
|---|---|
| Slack MCP Server | チャンネルの会話をAIが読み取り・書き込み。情報整理や自動返信に活用 |
| Notion MCP Server | Notionワークスペースへの読み書きをAIから実行 |
データ・分析
| サーバー名 | 概要 |
|---|---|
| PostgreSQL MCP Server | PostgreSQLデータベースへの問い合わせをAI経由で実行 |
| Google Drive MCP Server | Googleドライブ内のファイルをAIが検索・取得 |
GitHub MCP Server は機能が急速に拡張されており、利用時はつねに公式ドキュメントで最新の仕様を確認することをおすすめします。
MCPに対応している主なAIツール・クライアント
2026年時点では、既に数えきれないほどのクライアントがMCPに対応しています。代表的なものは次の通りです。
- Claude Desktop / Claude Code
- Cursor
- Windsurf
- VS Code(GitHub Copilot 経由)
- Gemini CLI
- ChatGPT
OpenAI・Google・Microsoft・AWSなど、業界を代表する企業が対応済みであり、ベンダー中立な標準規格として広く浸透しています。
MCPを使う具体的なメリット
1. 一度書けばどこでも動く
MCPサーバーを一度実装すれば、Claude DesktopでもCursorでもVS Codeでも、MCP対応のツールであればそのまま使えます。ツールごとに実装を書き直す必要がありません。
2. AIができることが大幅に広がる
単なる「質問への回答」だけでなく、データベースの検索・更新、Slackへの投稿、GitHubのPR作成といった実際の業務操作をAIが代わりに実行できるようになります。
3. 既存サービスとのシームレスな連携
GitHub、Slack、Notion、Googleドライブなど、すでに使っているサービスのMCPサーバーを追加するだけで、AIがそのサービスのデータを活用できます。
導入の流れ
Claude Desktopを例に、MCPサーバーを追加する際の大まかな流れを示します。細かい手順は各サーバーの公式ドキュメントを参照してください。
- 使いたいMCPサーバーをインストールする(多くは
npmやpipで提供) - Claude Desktopの設定ファイル(
claude_desktop_config.json)にサーバーの接続情報をJSON形式で記述する - Claude Desktopを再起動するとAIがそのサーバーのツール・リソースを認識できるようになる
{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-filesystem", "/path/to/allowed/dir"]
}
}
}
上記は公式のFilesystem MCP Serverを設定する際の例です。/path/to/allowed/dir の部分には、AIにアクセスを許可するディレクトリのパスを指定します。
セキュリティ上のリスク
MCPは便利な反面、外部システムへのアクセス権限をAIに与えるという性質上、セキュリティリスクも存在します。導入前に理解しておくべき主なリスクを紹介します。
ツールポイズニング
MCPサーバーのツール定義(メタデータや説明文)に悪意ある指示を埋め込む攻撃手法です。ユーザーには無害に見えても、AIがそのメタデータを読んだ際に意図しない動作を実行してしまう可能性があります。信頼できるソースのMCPサーバーのみを使用することが重要です。
過剰な権限の付与
GitHubの全リポジトリをカバーするような広範なアクセストークンを設定すると、意図しないデータが流出するリスクがあります。ツールごと・セッションごとに必要最小限の権限に絞ったトークンを使用するのが原則です。
認証なしのサーバー公開
調査によると、公開状態のMCPサーバーの中に認証や暗号化が施されていないものが多数確認されています。MCPサーバーをインターネットに公開する場合は、適切な認証(OAuth 2.1など)とアクセス制限を必ず設定してください。
APIキーのハードコーディング
設定ファイルにAPIキーやトークンを直接書き込むことは避けてください。環境変数やシークレットマネージャーを使って管理するのが安全な方法です。
まとめ
MCPを一言で表すなら「AIに手足を生やす標準規格」です。
- MCPはAIと外部ツールをつなぐオープンな標準プロトコル
- ホスト・クライアント・サーバーの3層構造でJSON-RPC 2.0通信
- GitHub、Slack、Notion、DBなど幅広いサービスのサーバーが公開中
- 2026年4月時点で公開サーバーは10,000以上
- セキュリティリスク(ツールポイズニング・過剰権限・認証不備)には注意が必要
- 仕様は活発に更新中のため、常に公式ドキュメントを確認することが重要
AIが「考える」だけでなく「実行する」ツールへと進化する中で、MCPはその基盤を担う重要な技術です。
まずは公式が提供しているFilesystem MCP ServerやGitHub MCP Serverを試してみることで、MCPの可能性を実感できるでしょう。