セキュリティエンジニアやDevOps担当者にとって、複数の監視ツールとダッシュボードを行き来する作業は、本質的でない「コンテキストスイッチ」の塊だ。Aikido Securityのような強力なツールを使っていても、結局はブラウザのタブを開き、ログインし、フィルターをかけ、優先順位を確認する……この一連の流れが開発のリズムを乱している。
私はこれを解決するために、MCP(Model Context Protocol)を利用して、ClaudeやCursorといったAIエージェントに直接セキュリティ情報を流し込む仕組みを作った。具体的には、Vinkius経由でAikido SecurityのMCPサーバーを接続する。これにより、AIは単なるチャットボットではなく、あなたの組織の脆弱性を把握している「専属のセキュリティアナリスト」になる。
ダッシュボードを見ずに、自然な対話で脆弱性を特定する
以前なら、新しいCVE(共通脆弱性識別子)が見つかった際、まずAikidoのダッシュボードを確認し、どのリポジトリが影響を受けているかを探していた。今は違う。
Claudeにこう聞くだけだ:
「現在開いている深刻なセキュリティ問題を、タイプ別にまとめて教えて」
AIはlist_open_issuesツールを使用して、組織内の脆弱性をスキャンし、以下のような回答を返してくる。
「現在23の脆弱性グループがあります。4件がCRITICAL(log4jに関連する悪用可能なCVEを含む)、12件がHIGHです。最優先事項は、3つのリグポジトリに影響を与えているCVE-2024-1234です。」
さらにget_issue_groupを使えば、特定の脆弱性がなぜ重要なのか、詳細な調査までAIと一緒に行える。ダッシュボードのUIを操作する手間が、自然言語による問いかけに置き換わるのだ。
コンプライアンス監査の準備も「一言」で終わる
ISO 27001やSOC2の監査準備は、エンジニアにとって最も避けたい作業の一つだ。コントロール項目の充足状況を確認するために、膨大なチェックリストをめくる必要はない。
get_iso_complianceを使えば、AIが即座に現在のステータスを報告してくれる。例えば、「ISO 27001のコンプライアンス状況はどうなっている?」と聞けば、AIは「89%のコントロールが合格しています。注意が必要なのはA.8.25(安全な開発ライフサイクル)です」といった具体的なフィードバックをくれる。
SOC2についてもget_soc2_complianceで同様に確認できる。監査官から質問を受けた際、エディタやチャット画面から離れることなく、正確なデータを即座に引き出せるのは大きなアドバンテージだ。
クラウドとコンテナの監視もAIの視界に入れる
インフラの構成ミス(Misconfiguration)は、最も多い攻撃ベクトルの一つだ。list_cloud_assetsを使えば、AWS、GCP、Azureで監視されている資産をリストアップし、最近見つかった設定ミスを特定できる。
「過去7日間に見つかったクラウドの設定ミスを教えて」と指示すれば、AIは「AWSのプロキシ設定ミスが2件、GCPのIAMロールの過剰な権限付与が1件あります」といった具合に報告してくれる。Dockerイメージの脆弱性をチェックしたい時はlist_containersを使えばいい。
セットアップは極めてシンプルだ
この仕組みを構築するために、複雑なサーバー構築は必要ない。Vinkiusを利用すれば、以下の3ステップで完了する。
- Vinkiusで対象のMCPサーバー(Aikido Security)をサブスクライブする。
- Aikidoのユーザー設定からPersonal Access Tokenを取得し、接続トークンを入力する。
- ClaudeやCursorのMCP設定に貼り付ける。
これだけで、あなたのAIエージェントはセキュリティインフラの一部となる。
Aikido Security MCP Serverを今すぐ試す
ツールを使う目的は、ダッシュボードを見ることではない。脆弱性を修正し、安全なコードをデプロイすることだ。AIに監視の「確認作業」を任せ、エンジニアは本来の「解決作業」に集中すべきだ。
MCPはAIエージェントの音楽。カタログを構築しました。Vinkius MCPカタログを発見してください。