AI革命のセキュリティ確保:Cloudflare MCPサーバーポータルの紹介
大規模言語モデル(LLM)は、印象的な情報検索ツールから、アクティブでインテリジェントなエージェントへと急速に進化しています。この変革を実現するための鍵となるのがモデルコンテキストプロトコル(MCP)です。これは、LLMがSlackからCanva、独自の内部データベースまで、あらゆるアプリケーションに安全に接続し、やりとりできるようにするオープンソースの標準です。
これは大きな前進です。MCPを使用すると、Gemini、Claude、ChatGPTのようなLLMクライアントは、単に「Slackについて教えて」以上の応答をすることができます。尋ねることができます:「先週のJiraのエンジニアリングP0は何でしたか?または、それらに関する#engineering-support Slackチャンネルの現在の感情はどうですか?そして、アップデートやバグ修正を提案してマージします。」
これがMCPの力です。モデルをチームの一員に変えるのです。
しかし、この大きな力には比例するリスクが伴います。LLMを最も重要なアプリケーションに接続することで、新しい、複雑で、ほとんど保護されていない攻撃対象領域が生まれます。今日、当社はそれを変えます。Cloudflare MCPサーバーポータルのオープンベータ版が利用可能になりました。MCPサーバーポータルは、組織内のすべてのMCP接続を一元化し、保護し、監視できる新機能です。この機能は、Cloudflare Oneの一部であり、お客様のワークスペースの接続と保護を支援する当社のセキュアアクセスサービスエッジ(SASE)プラットフォームです。
MCPは、万能翻訳者またはAIのデジタルスイッチボードと考えてください。これは、LLMと日常的なアプリケーションという全く異なる種類のソフトウェアが効果的に相互に通信できるようにする標準化されたルールセットです。2つの主要コンポーネントで構成されています。
MCPクライアント:ChatGPT、Claude、Geminiなど、お客様がやり取りするLLMです。クライアントは、質問したりコマンドを与えたりするために使うAIのフロントエンドです。
MCPサーバー:LLMに接続したいあらゆるアプリケーションのために開発できます。SlackやAtlassianなどのSaaSプロバイダーが、自社の製品用にMCPサーバーを提供している場合や、自社の開発者が社内ツール用にカスタムのサーバーを構築することもできます。
クレジット:アーキテクチャ概要 - モデルコンテキストプロトコル
有用な接続のために、MCPは他にもいくつかの主要概念に依存しています。
リソース:サーバーがLLMにコンテキストを提供する仕組み。これは、特定のファイル、データベーススキーマ、またはアプリケーション内のユーザーリストなどです。
プロンプト:リクエストを満たすために必要な情報を取得するために、サーバーがクライアントに尋ねることができる標準化された質問(例:「どのユーザーを検索したいですか?」など)。
ツール:データベースへの問い合わせ、APIの呼び出し、メッセージの送信など、クライアントがサーバーに実行を依頼できるアクションを指します。
MCPがなければ、LLMは分離されてしまいます。MCPは統合され、構造化された予測可能な方法でソフトウェアエコシステム全体と対話することができます。
LLM は、これまでで最も優秀で熱心な若者の採用だと考えてください。彼らは無限のエネルギーを生み出すことができ、素晴らしい仕事を生み出すことができますが、何をすべきでないのかを知るために長年にわたる判断を持ち合わせていません。現在のMCPに対する分散型アプローチは、新入社員に入社1日目にすべてのオフィスとサーバールームのマスターキーを与えるようなものです。
「おこるかどうか」ではなく、「いつ問題が生じるか」です。
この「シャドーAI」インフラストラクチャは、初期のインターネットに相当するものであり、すべてのサーバーが公開IPアドレスを持っており、世界中に完全に公開されていました。これは管理外の接続の荒波であり、保護は不可能です。そして、そのリスクは、偶発的なデータ削除だけではありません。攻撃者は、LLM駆動型のエコシステムに固有の脆弱性を積極的に悪用しています。
プロンプトとツールインジェクション:これは単にモデルに「以前の指示を無視する」ように指示するだけではありません。攻撃者は現在、MCPツール自体の説明に悪意のあるコマンドを隠しています。一見無害な「Web検索」ツールを使わようとするLLMを考えてみましょう。説明が汚染されると、金融データベースに対してクエリを実行し、その結果を流出させる可能性があります。
サプライチェーン攻撃:チームが使用しているサードパーティMCPサーバーはどのように信頼できるでしょうか?2025年半ば、MCP認証に使われる一般的なnpmパッケージに重大な脆弱性(CVE-2025-6514)が発見され、無数のサーバーが危険にさらされました。「NeighborJack」と呼ばれる別のインシデントでは、セキュリティリサーチャーが発見しました。数百のMCPサーバーが誤ってパブリックインターネットにさらされたのです。これは、ファイアウォールなしに0.0.0.0にバインドされており、OSコマンドインジェクションやホストの乗っ取りが可能だったからです。
特権昇格と「混乱した使節」:攻撃者はLLMを破壊する必要はありません。混乱させる必要があるのです。記録されたあるケースでは、高レベルの権限で実行しているAIエージェントが騙され、サポートチケットに埋め込まれたSQLコマンドを実行させられました。「混乱した副社長」として機能したエージェントは、悪意のあるSQLと正当なチケットデータを区別できずにコマンドを実行し、データベース全体を侵害しました。
データ漏洩:一元化された制御がない場合、予期しない方法でシステム間でデータが流出する可能性があります。2025年6月、ある人気のチームコラボレーションツールのMCP統合においてプライバシー侵害が起こり、バグにより一部の顧客情報が他の顧客のMCPインスタンスに表示されるようになってしまい、統合が2週間にわたってオフラインになる事態が発生しました。
見えないものを保護することはできません。Cloudflare MCPサーバーポータルは、すべてのMCPサーバーに単一かつ一元化されたゲートウェイを提供することで、この問題を解決します。シングルサインオンのためのアプリケーションランチャーに似ています。開発者が数十の個別サーバーエンドポイントを配布する代わりに、Cloudflareにサーバーを登録します。お客様は、MCPクライアントで設定する単一の統合ポータルエンドポイントをユーザーに提供します。
これにより、セキュリティに対する取り組みとユーザーエクスペリエンスが即座に変わります。すべてのMCPトラフィックをCloudflareを介してルーティングすることで、次のことが得られます。
一元化されたポリシーの適用:MCPサーバーポータルをCloudflare Oneに直接統合できます。つまり、AI接続にも、人間のユーザーと同じきめ細かいアクセスポリシーを適用できるということです。多要素認証の要求、デバイスポスチャーのチェック、地理による制限、適切なユーザーのみが特定のサーバーやツールにアクセスできるようにすること。
包括的な可視化とログ記録:誰がどのMCPサーバーにアクセスし、どのツールセットを利用しているか?どのようなプロンプトが実行されていますか?呼び出されるツールは?以前は、このデータはすべての個々のサーバーに分散していました。サーバーポータルは、すべてのMCPリクエストログを1か所に集約し、アクティビティの監査に必要な可視性を提供し、異常が侵害になる前に検出できます。
最小権限に基づく厳選されたAIユーザーエクスペリエンス:管理者は、MCPサーバーをポータルを通じてユーザーが利用できるようにする前に、MCPサーバーを確認、承認できるようになりました。ユーザーがポータルを介して認証されると、使用を許可されたサーバーとツールの厳選されたリストのみが表示されるので、未検証のサードパーティサーバーや悪意のあるサードパーティサーバーが使用されることを防ぎます。このアプローチは、最小権限というゼロトラストセキュリティのベストプラクティスに従ったものです。
簡素化されたユーザー設定:MCPクライアントに個々のMCPサーバーの設定を読み込む代わりに、ユーザーはアクセス可能なすべてのMCPサーバーをプルダウンする1つのURLを読み込むことができます。これにより、必要なURLの数を共有してユーザーに知らせる必要が大幅に簡素化されます。新しいMCPサーバーが追加されると、サーバーの公開時に新しいURLを共有するのではなく、ポータルを通じて動的に利用できるようになります。
ユーザーがMCPサーバーポータルに接続すると、Accessはユーザーに企業IDプロバイダーに認証を求めます。認証が行われると、Cloudflareは、基盤となるサーバーの認可ポリシーに関係なく、ユーザーがアクセスできるMCPサーバーを強制します。
CloudflareにドメインがホストされているMCPサーバーの場合、Accessポリシーを使用して、サーバーに直接認可を適用することができます。これは、ドメインの既存の Access Application にリンクされるOAuthサーバーを作成することで行われます。Cloudflareの外にドメインや第三者がホストするMCPサーバーの場合、Cloudflare Accessの外で認可制御を必要とするため、これは通常、OAuthを使用して行われます。
MCPサーバーポータルは、AI革命のセキュリティを確保するという当社の使命の基礎を成すものです。これは始まりにすぎません。今後数か月の間に、この土台を基盤として、次のことを計画しています。
MCPサーバーをロックダウンするメカニズム:MCPサーバーの作成者が認可コントロールを適用しない限り、ユーザーはポータル外でMCPに技術的にアクセスすることができます。このような事態を阻止するために、追加の強制メカニズムを構築します。
Firewall for AIの統合:WAFのパワーをMCPトラフィックに適用し、プロンプトインジェクション攻撃がサーバーに到達する前に検出してブロックするところを想像してみてください。
Cloudflareのホスト型MCPサーバー:CloudflareのAI Gatewayを使ってMCPサーバーを簡単にデプロイできるようにします。これにより、より詳細なプロンプトフィルタリングと制御が可能になります。
不正利用の検出に機械学習を適用:MCPログの上に当社の機械学習モデルを適用し、異常なデータ流出パターンや不審なツール使用状況など、異常な動作を自動的に識別します。
プロトコルの強化:私たちは、オープンソースコミュニティと協力してMCP標準自体を強化し、すべての人にとってより安全で堅牢なエコシステムに貢献することに尽力しています。
これは当社のコミットメントです。お客様が自信を持ってイノベーションに必要なツールを提供することです。
進歩のためにセキュリティを犠牲にする必要はありません。MCPサーバーポータルを使えば、お客様のチームがAIで未来を安全に構築できるように支援できます。これはより良いインターネットの構築に重要な要素であり、皆さんがそれを使って何を構築するか楽しみです。
MCPサーバーポータルは、Cloudflare Oneのすべてのお客様を対象にオープンベータでご利用いただけます。まず、Zero Trustダッシュボードの「Access」>「AI Controls」ページに移動します。アカウントをお持ちでない方は、今すぐサインアップして、最大50名まで無料のシートをご利用いただくこともできますし、より大規模なデプロイメントについてご相談いただくこともできます。
Cloudflareはまた、AIセキュリティに焦点を当てたユーザーリサーチプログラムを開始しています。新機能のプレビューにご興味がある方、またはロードマップの作成への協力をご希望の方は、こちらからご連絡をお願いいたします。