< 一覧に戻る

MCP とは? LLM 向け Model Context Protocol を解説

大規模言語モデル(LLM)は、学習やユーザーからの問い合わせへの応答のために膨大な情報を取り込みます。Model Context Protocol(MCP)は、LLM が外部データ、サービス、アプリケーションと連携するための接続基盤を提供します。

Published Date: May 20, 2026
この記事の内容
This is the block containing the component that will be injected inside the Rich Text. You can hide this block if you want.
Hassaan qaiser bKfkhVRAJTQ unsplash

MCPの定義

Model Context Protocol(MCP)は、Anthropic によって開発されたオープンソース標準で、AI モデルやアプリケーションを外部システムと接続するための仕組みです。これにより、大規模言語モデル(LLM)は、カスタムコネクタを個別に開発することなく、外部データソースと連携できるようになります。

MCP を利用することで、AI モデルやツールはデータベース、アプリケーション、各種サービスと通信できるようになります。これにより、AI ツールは最新の情報やデータを取り込み、アクションを実行し、ワークフローを効率化できます。

従来は、AI モデルやアプリケーションをツールやサービスと接続するたびに、ベンダー側で個別のカスタムコネクタを開発する必要がありました。しかし、AI モデルの増加や、ユーザーが連携を求めるツールの拡大に伴い、必要なコネクタ数は増え続け、その維持管理も大きな課題となっていました。

MCP は、AI モデルやツールと外部システムをつなぐ共通インターフェースとして機能することで、この課題をシンプルに解決します。

MCP の主なユースケースには、以下のようなものがあります。

  • ナレッジベースからドキュメントや構造化データを検索・取得する
  • AI エージェントによるワークフローのオーケストレーションや外部サービスとの連携
  • セキュリティチーム向けに、データ分析、ログ検索、アラート取得を行う

AI ツールにとって MCP が重要な理由

LLM や AI ツールは、それ単体では静的な知識ベースをもとに学習しており、最新情報やリアルタイムデータへ直接アクセスすることはできません。そのため、外部データと連携できなければ、回答精度や知識の鮮度に限界が生じ、ハルシネーション(誤った情報生成)の発生リスクも高まります。

当初、この課題はデータベースや各種ツールと AI モデルを接続するカスタムコネクタによって解決されていました。しかし、AI モデルや連携対象ツールが増えるにつれて、個別開発されたコネクタの数も急増し、開発・運用の両面で維持が困難になっていきました。

この問題は「MxN Integration Problem(MxN 統合問題)」として知られています。つまり、AI モデルやツールが増えるたびに、それぞれがアクセスする外部システム向けに多数の専用コネクタを作成・管理しなければならなかったのです。

MCP は、この課題を解決するためのオープンソース標準です。AI モデルは MCP を利用することで、共通インターフェースを通じて外部システムやデータソースへ接続できます。これにより、複雑だった「MxN」の接続構造は「M+N」へとシンプル化され、より効率的かつスケーラブルな連携が可能になります。

MCP のメリット

MCP には、次のようなメリットがあります。

  • ツール連携を標準化できる:ベンダーは AI モデルやツールに MCP を統合することで、個別のカスタムコネクタを開発しなくても、ユーザーが必要とする外部システムと接続できるようになります。
  • 開発工数を削減できる:開発者はカスタムコネクタを一から構築する必要がなく、要件に合った既存の MCP Server を再利用できます。
  • 相互運用性をシンプルにできる:ビジネス要件の変化に応じて AI モデルやツールを切り替える場合でも、外部システムとの接続方法を大きく変更することなく柔軟に対応できます。
  • AI モデルの信頼性を向上できる:MCP を利用することで、AI モデルを最新のナレッジベースへ容易に接続できるため、出力精度が向上し、ハルシネーション(誤情報生成)のリスクを低減できます。

MCP の主要コンポーネント

MCP は、高レベルではクライアント・サーバー型アーキテクチャを採用しており、主に次の 3 つのコンポーネントで構成されます。

  • MCP ホスト:MCP サーバ へのアクセスを要求する LLM や AI アプリケーションです。
  • MCP クライアント:AI アプリケーションから適切な MCP サーバへ、コンテキスト情報やアクション要求を送受信するコンポーネントです。
  • MCPサーバMCP ホストから受け取ったコンテキスト情報やアクションを、対象となる外部システムへ中継する役割を担うコンポーネントです。

MCP は、このアーキテクチャの中でさらに次の 2 つのレイヤーで構成されています。

  1. データレイヤー:クライアントとサーバー間で行われる JSON ベースの通信を定義するレイヤーです。コアプリミティブ(ホストと サーバー 間で提供・利用されるアクションやデータ)に加え、接続初期化、機能ネゴシエーション、接続終了といった MCP のライフサイクル管理も担います。
  2. ランスポートレイヤー:MCP ホストと MCP サーバ間の通信およびデータ転送を処理するレイヤーです。ローカル環境では stdio transport、リモート環境では HTTP POST を利用して通信を行います。

前述のとおり、データレイヤーには「プリミティブ」と呼ばれる要素があります。これは、ホストと サーバー 間で共有されるコンテキスト情報やアクションを指し、主に次の 3 つに分類されます

Tools

  1. ツール:モデルが実行を要求できるアクションです。たとえば、クエリ実行、コード実行、API 呼び出しなどが含まれます。
  2. リソース:モデルが取得できるデータです。ドキュメント、ファイル、データベースレコードなどが該当します。
  3. プロンプト:ツール間のやり取りを実現するための再利用可能なテンプレートです。情報探索、データ取得、処理実行などのユースケースで利用されます。

MCPのしくみ

MCP は、ユーザーが MCPクライアント に対して送信したプロンプトを起点に動作します。たとえば、「LLM に社内データベースを検索させる」「Jira チケットを作成する」といったリクエストが該当します。

まず、MCPクライアント は AI モデルやツールと接続し、ユーザーの要求内容を処理します。AI モデルは、そのリクエストを実行するために必要なツールやシステムを判断し、MCPクライアント に通知します。次に、MCPクライアント は選択されたツールの MCPサーバー に対して処理を依頼します。たとえば Jira の場合は、Atlassian MCPサーバー が利用されます。

MCPサーバー は、要求されたアクションが実行可能かを確認し、対象のツールやシステムへリクエストを転送します。ツール側で処理が実行されると、その結果は MCPサーバー を経由して MCPクライアント に返されます。

最後に、MCPクライアント は取得した結果を AI モデルやツールへ渡し、ユーザーに対して最終的な応答を生成します。たとえば、検索したデータの表示や Jira チケット情報の返却などが行われます。

MCPのセキュリティに関する考慮事項

MCP は、AI モデルとデータベースや外部システムとの間に位置し、機密データをやり取りする可能性があるため、いくつかのセキュリティリスクに注意する必要があります。

主な MCP のセキュリティ課題には、次のようなものがあります。

  • エージェント間プロトコルの悪用:攻撃者が MCP に対して同意フローの回避やコンテキストハイジャックを行い、AI に不正なアクションを実行させる攻撃です。プロトコルに組み込まれた信頼関係を悪用したり、不適切な同意フローによって AI エージェントを誤誘導したりするケースが含まれます。
  • 間接的なプロンプトインジェクション:Web サイト内に埋め込まれた隠し命令や、API リクエストのクエリパラメータなどを利用して、AI モデルに本来実行すべきでない処理を行わせる攻撃です。
  • 不十分なアクセス制御:攻撃者が静的クライアント ID、動的クライアント登録、MCPサーバー の同意 Cookie などを悪用し、本来ユーザー権限では許可されない認可コードを取得する可能性があります。これは「Confused Deputy(権限混乱)」脆弱性と呼ばれる問題です。

MCP のセキュリティベストプラクティス

  • 強力な認証・認可を実装する:OAuth 2.1 や JSON Web Token(JWT)を利用したクライアント・サーバー間認証を導入し、API キーの定期的なローテーションを実施します。また、最小権限の原則(Least Privilege)やロールベースアクセス制御(RBAC)を採用することも重要です。
  • モデルの動作を制限する:プロンプトインジェクションなどの AI 攻撃を防ぐため、AI エージェントが実行できるアクションや応答範囲を制限します。また、その制限を変更しようとする指示を無視するよう AI に設定します。
  • 人による承認を必須にする:高リスクな操作については Human-in-the-Loop(人による確認・承認)を導入し、プログラムだけを信頼して認証済みとみなさないようにします。これにより、権限混乱問題の防止につながります。
  • レート制限を導入する:クエリの乱用や過剰なリクエストを防ぐため、リクエスト数に制限を設けます。
  • データを保護する:MCPサーバー が利用・保存するすべてのデータを暗号化し、入力値のサニタイズを行うことで、プロンプトインジェクション攻撃を防止します。
  • 可観測性(Observability)を確保する:AI エージェントと MCP のやり取りを継続的に監視し、不正利用や特権アクションの悪用が行われていないかを確認します。
  • セキュリティスキャンを実施する:公開されている MCPサーバー を利用する前にセキュリティスキャンを行い、安全で悪意のないものであることを確認します。

MCPとSysdig

We’ve released the Sysdig MCP Server so that any compatible AI model and tool can securely access our Cloud Security APIs and data. It can also be deployed via the Amazon AWS Marketplace. Read here to learn more about this new integration.

Sysdig は、互換性のあるあらゆる AI モデルやツールから、安全に Sysdig のクラウドセキュリティ API やデータへアクセスできるようにする「Sysdig MCP Server」を提供しています。また、Amazon AWS Marketplace からデプロイすることも可能です。詳細は、こちらの記事をご覧ください

Sysdig MCP Server を利用することで、AI モデルは検知結果、脆弱性、設定ミスに関するリアルタイムのセキュリティデータをクエリできます。これには、ランタイム脅威検知クラウドセキュリティポスチャ、重大な脆弱性の発見などが含まれます。

さらに、Sysdig MCP Server は、Sysdig Secure™ および Sysdig Monitor™ のインサイトをもとに、AI モデルがセキュリティ推奨事項を生成できるようにします。

FAQs

セキュリティ専門家とともに、
クラウドを防御する正しい方法を試してみよう

デモを依頼