論文モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、管理策、ガバナンス (2025.11.25)

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [論文モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、管理策、ガバナンス (2025.11.25)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-42a1af.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年03月04日) --- > [!NOTE] この記事の要約（箇条書き） - モデルコンテキストプロトコル（MCP）のセキュリティ確保に関する論文（2025.11.25発表）を紹介。 - MCPの柔軟性を悪用する脅威として、コンテンツ注入型、サプライチェーン型、意図せぬエージェントの3種類を提示。 - 攻撃ベクトルには、データ駆動型攻撃、サプライチェーン攻撃、構成とガバナンスのリスク、運用セキュリティが含まれる。 - 提案されるセキュリティ制御策は、認証と認可、エンドツーエンドの由来追跡、コンテキスト分離とサンドボックス化、インラインポリシー適用、集中型セキュリティガバナンスなど。 - 目的は、未検証コードのサンドボックス外実行防止、ツール使用範囲の制限、データ漏洩検知、エンドツーエンドの監査可能性の確保。 - 検証可能なレジストリ、形式手法、プライバシー保護型エージェント運用が今後の研究課題として挙げられている。 > [!NOTE] 要約おわり --- [« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 Agentic AI時代のデジタルフォレンジックス - AIが自律的に連携して動き始めた社会になると…](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-fe406e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [ちょっと思うこと　AI時代の法制度のあり方ってどうなるのかなぁ... »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-b22c3f.html) ## 2026.03.04 ### 論文モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、管理策、ガバナンス (2025.11.25) こんにちは、丸山満彦です。モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、管理策、ガバナンスという論文の紹介です... 少し古いですが、おそらく読んでおく方が良いかもと思いまして... MCPに限っていますが... **脅威（攻撃者）** 1. **コンテンツ注入型** 2. **サプライチェーン型** 3. **意図せぬエージェント** **攻撃ベクトル** 1. **データ駆動型攻撃：** ユーザー生成コンテンツ注入 2. **サプライチェーン攻撃** ：信頼できない MCP サーバーのインストール 3. **構成とガバナンスのリスク** ： TrustedMCP サーバー 4. **運用セキュリティ：** データの機密性と実行時監視 **セキュリティ制御** 1. **認証と認可** 2. **エンドツーエンドの由来追跡** 3. **コンテキスト分離とサンドボックス化** 4. **インラインポリシー適用** 5. **集中型セキュリティガバナンス** ● **Cournell University - arXiv** ・2025.11.25 [**Securing the Model Context Protocol (MCP): Risks, Controls, and Governance**](https://arxiv.org/abs/2511.20920) | **Securing the Model Context Protocol (MCP): Risks, Controls, and Governance** | **モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、制御、ガバナンス** | | --- | --- | | The Model Context Protocol (MCP) replaces static, developer-controlled API integrations with more dynamic, user-driven agent systems, which also introduces new security risks. As MCP adoption grows across community servers and major platforms, organizations encounter threats that existing AI governance frameworks (such as NIST AI RMF and ISO/IEC 42001) do not yet cover in detail. We focus on three types of adversaries that take advantage of MCP s flexibility: content-injection attackers that embed malicious instructions into otherwise legitimate data; supply-chain attackers who distribute compromised servers; and agents who become unintentional adversaries by over-stepping their role. Based on early incidents and proof-of-concept attacks, we describe how MCP can increase the attack surface through data-driven exfiltration, tool poisoning, and cross-system privilege escalation. In response, we propose a set of practical controls, including per-user authentication with scoped authorization, provenance tracking across agent workflows, containerized sandboxing with input/output checks, inline policy enforcement with DLP and anomaly detection, and centralized governance using private registries or gateway layers. The aim is to help organizations ensure that unvetted code does not run outside a sandbox, tools are not used beyond their intended scope, data exfiltration attempts are detectable, and actions can be audited end-to-end. We close by outlining open research questions around verifiable registries, formal methods for these dynamic systems, and privacy-preserving agent operations. | モデルコンテキストプロトコル（MCP）は、静的で開発者が制御するAPI統合を、より動的でユーザー主導のエージェントシステムに置き換える。これにより新たなセキュリティリスクも生じる。コミュニティサーバーや主要プラットフォームでMCPの採用が広がるにつれ、組織は既存のAIガバナンスフレームワーク（NIST AI RMFやISO/IEC 42001など）がまだ詳細にカバーしていない脅威に直面する。我々は、MCPの柔軟性を悪用する3種類の攻撃者に焦点を当てる。正当なデータに悪意のある指示を埋め込むコンテンツ注入攻撃者、侵害されたサーバーを配布するサプライチェーン攻撃者、そして役割を超越することで意図せず敵対者となるエージェントである。初期のインシデントや概念実証攻撃に基づき、MCPがデータ駆動型情報漏洩、ツールポイズニング、クロスシステム特権昇格を通じて攻撃対象領域を拡大する仕組みを説明する。これに対応するため、我々は実用的な制御策を提案する。具体的には、スコープ限定認証によるユーザー単位認証、エージェントワークフロー全体の出所追跡、入出力チェック付きコンテナ化サンドボックス、DLPと異常検知によるインラインポリシー適用、プライベートレジストリやゲートウェイ層を用いた集中管理などである。目的は、未検証コードがサンドボックス外で実行されないこと、ツールが意図された範囲を超えて使用されないこと、データ漏洩の試みが検知可能であること、そしてアクションがエンドツーエンドで監査可能であることを組織が保証できるようにすることである。最後に、検証可能なレジストリ、これらの動的システムに対する形式手法、プライバシー保護型エージェント運用に関する未解決の研究課題を概説する。 | ・\[[PDF](https://arxiv.org/pdf/2511.20920)\] \[[HTML](https://arxiv.org/html/2511.20920v1)\] [![20260303-62605](https://maruyama-mitsuhiko.cocolog-nifty.com/security/images/20260303-62605.png "20260303-62605")](https://arxiv.org/pdf/2511.20920) ・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/2511.20920v120ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/2511.20920v120ja.pdf)\] 仮訳 --- ● **まるちゃんの情報セキュリティ気まぐれ日記** ・2026.03.04 [**論文モデルコンテキストプロトコル（MCP）のセキュリティ確保：リスク、管理策、ガバナンス (2025.11.25)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-42a1af.html) ・2026.03.02 [**論文インテリジェントAI委任 (2026.02.12)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-5003df.html) ・2026.03.02 [**論文新興AIエージェントプロトコル向けセキュリティ脅威モデリング：MCP、A2A、Agora、ANPの比較分析 (2026.02.11)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-ea7798.html) ・2026.02.20 [**スペインデータ保護庁エージェント型人工知能に関するガイド (2026.02.18)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-6dd3d9.html) ・2026.02.20 [**オランダデータ保護庁 OpenClawのようなAIエージェントに重大なセキュリティリスクがある (2026.02.12)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-0fe6cd.html) ・2026.02.13 [**米国 NIST 意見募集ソフトウェアとAIエージェントのID認証・認可の普及促進**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-cbcb07.html) ・2026.02.09 [**CSA 自律型AIエージェントのセキュリティ確保**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-3442af.html) ・2026.02.04 [**シンガポール韓国現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテスト (2026.01.19)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-4a62a1.html) ・2026.01.15 [**英国 ICO技術展望: エージェント型AI（Agentic AI）**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html) ・2026.01.15 [**米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html) | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-42a1af.html) [« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 Agentic AI時代のデジタルフォレンジックス - AIが自律的に連携して動き始めた社会になると…](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-fe406e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [ちょっと思うこと　AI時代の法制度のあり方ってどうなるのかなぁ... »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-b22c3f.html) [« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 Agentic AI時代のデジタルフォレンジックス - AIが自律的に連携して動き始めた社会になると…](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-fe406e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [ちょっと思うこと　AI時代の法制度のあり方ってどうなるのかなぁ... »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-b22c3f.html)