Newsfeed / MCP 2.0 セキュリティ:AIエージェント導入前にCISOが問うべき3つの質問
Commvault·January 8, 2026

MCP 2.0 セキュリティ:AIエージェント導入前にCISOが問うべき3つの質問

Commvaultのセキュリティ専門家がMCP 2.0プロトコルのアップデートを解説し、AIエージェントを導入する企業向けの実践的なリスクフレームワークを紹介—権限、影響範囲、可逆性に焦点を当てる。

agentsenterprisesafetyautomation
MCP 2.0 セキュリティ:AIエージェント導入前にCISOが問うべき3つの質問

見解

CommvaultのPrincipal Security and AI IntelligenceであるVernellが、企業向けAIエージェント導入のセキュリティについてマスタークラスを行う。MCP関連の議論の多くが機能に焦点を当てる中、この対話では問題が発生した際の対処法と、新しい2.0仕様がセキュリティの計算をどう変えるかに取り組んでいる。

MCP 1.xから2.0への進化について: この移行は哲学の根本的な変化を表している。"1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models."(1.xは私たちの技術をAI活用に向けて前進させるためのオンボーディングでした。ステップ2はそれらのモデルを本当にセキュアにすることです。)これは段階的な改善ではなく、セキュリティなき採用は許容できないリスクを生むという業界の認識である。

MCP 2.0の3つの基本的な変更点: 第一に、OAuthサポートがVernellの言う「インターネット向けActive Directory」をもたらし、企業が暗号鍵に権限と特権を割り当てることをついに可能にした。第二に、構造化スキーマがパラメータ化されたSQLクエリのように機能し、ツールが実行できるアクションを正確に定義するホワイトリストを作成する。"These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore."(これらの構造により、ツールが実行できるアクションを具体的に定義でき、それ以外は単に無視されます。)第三に、エリシテーションフローが人間による監視のための一時停止ポイントを導入する。

残る課題について: 2.0をもってしても、企業はMCPサーバーが正規のものであることを暗号的に検証できない。"Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with."(クローンやコピーが存在し、ツールは変更され、追加されますが、私たちがやり取りしているのがオリジナルのMCPサーバーであることを暗号的に検証する方法が現在ありません。)これはプロトコルの更新だけでは解決できない重大な信頼の問題である。

3つの質問によるリスクフレームワーク: Vernellの実践的なアプローチは複雑さを切り抜ける:(1) エージェントにはどんな権限があるか?ガードレール付きの読み取り専用は低リスク、削除/編集/移動の機能にはロックダウンが必要。(2) 影響範囲はどれくらいか?1ユーザー、アプリ全体、または企業全体への横方向の移動?(3) アクションはどれくらい可逆的か?情報の読み取りと削除では全く異なる。

今後の方向性と可視性について: "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party."(私たちはソフトウェアを安全に開発する方法を確保するために20年を費やしました。AIは新参者だからといって、このプロセスを省略することはできません。)今後の焦点はランタイムの可視性、監査ログ、コンプライアンスに向けられる—企業は、特にサードパーティのサプライチェーン攻撃が発生した場合に、AIエージェントが正しく動作したことを証明する必要がある。

重要なポイント

  • MCP 2.0はセキュリティファースト - 採用に焦点を当てた1.xとは異なり、2.0はAIエージェント導入を保護するためにOAuth、構造化スキーマ、エリシテーションフローを特に導入している
  • サーバーの信頼性は未解決 - MCPサーバーが正規のものであることを暗号的に検証する方法がなく、組織はネットワーク分離とツール署名を独自に実装する必要がある
  • リスク評価のための3つの質問 - 権限レベル、影響範囲、アクションの可逆性が、あらゆるAIエージェント導入を評価するためのシンプルだが効果的なフレームワークを形成する
  • 人間の介在は不可欠 - 影響の大きいアクションは承認ワークフローをトリガーすべき。エリシテーションフローにより、以前は存在しなかった一時停止ポイントが可能になった
  • ランタイムの可視性は重要 - 企業はコンプライアンスを証明し、サプライチェーン攻撃の疑いから防御できる意味のある監査ログが必要
  • セキュリティベンダーの増加が予想される - クラウドセキュリティの進化と同様に、ネイティブのAIエージェントセキュリティ機能を強化するサードパーティツールが登場するだろう

全体像

MCP 2.0は、本番環境でのAIエージェントを保護する業界初の本格的な試みを代表するが、これは始まりに過ぎない。ファイルの編集、データの移動、システムとのやり取りなど、実際のアクションを実行できるエージェントを導入する組織にとって、このプロトコルはガードレールを提供するが、保証ではない。実践的な教訓:AIエージェントのセキュリティを10年前のクラウドセキュリティのように扱い、必然的に必要となる専門ツールのための予算を確保すること。

Related