Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MCPの認証と認可 - MCP Meetup Tokyo 2025

Avatar for Hi120ki Hi120ki
September 05, 2025
860

MCPの認証と認可 - MCP Meetup Tokyo 2025

Avatar for Hi120ki

Hi120ki

September 05, 2025
Tweet

Transcript

  1. 2 ⾃⼰紹介 Hiroki Akamatsu @hi120ki 株式会社メルカリAI Security Team所属 • 外部AIツールのセキュリティレビュー

    • 安全な利⽤⽅法やガイドライン策定 • 社内のAIの取り組みのセキュリティ確保 • Platform(クラウド‧GitHub等)整備 • 社内LiteLLM基盤構築
  2. 3 MCPサーバーのセキュリティ 様々なベストプラクティスが提唱 • Security Best Practices - 公式MCP仕様 •

    利⽤者⽬線で考える、MCPを安全に使うために - GMO Flatt Security • Research Briefing: MCP Security - Wiz Blog → ローカルではなくリモートMCPサーバーの利⽤が推奨 実際にサービス公式からリモートMCPサーバーが提供開始 • Atlassian MCP Server • Notion MCP Server • Linear MCP Server
  3. 6 MCPサーバーのセキュリティ 内製のMCPサーバー開発の機運 → とりあえずローカルMCPサーバーを開発 ❌ 設定ファイルにアクセストークンがハードコード ❌ ユーザーごとに動作バージョンが混在 ❌

    組織内での利⽤状況の可視性の不⾜ 公式の認可仕様を満たしURLのみで接続できる 内製リモートMCPサーバー開発に期待 → 公式の認可仕様の「現在地」を確認
  4. 20 Dynamic Client Registrationの課題 既存の認可サーバーのDynamic Client Registration対応不⾜ • プロトコル⾃体が実装されていない •

    リクエストに管理者レベルの権限が必要 ほとんどの著名サービスの認可サーバーはDCRや認証なしDCRに⾮対応 Okta, Google Cloud, Google Workspace, GitHub, Atlassian… 公式の認可仕様を満たしURLのみで接続できるリモートMCPサーバー → 現状だと困難 → Atlassian MCP Serverなどはどうしている?
  5. 27 Dynamic Client Registrationの既存の対応⽅法 公式の認可仕様を満たしURLのみで接続できるリモートMCPサーバー DCRに対応したMCP⽤独⾃認可サーバー内製が必要 → OAuth provider library

    for Cloudflare Workersライブラリ 内製には認可サーバーの管理責務を持つ必要 • 正確なOAuth仕様の準拠のための知識 • 多数のアクセストークン‧OAuthクライアントの正確な処理 • ⾮対応のサービスごとに認可サーバーを管理 • DCRのセキュリティ考慮事項 ◦ https://datatracker.ietf.org/doc/html/rfc7591#section-5
  6. 29 Dynamic Client Registrationの今後 ⼀般的ではないDynamic Client Registrationを推奨する認可仕様 → DCRを利⽤しない認可仕様の追加の試み •

    SEP-991: Enable URL-based Client Registration using OAuth Client ID Metadata Documents • SEP-1299 (SEP-1415): Server-Side Authorization Management with Client Session Binding SEP-991はMCP公式ブログにも取り上げられ注⽬度が⾼い Evolving OAuth Client Registration in the Model Context Protocol
  7. 30 MCPの認可仕様の今後 すべての連携先(Google, GitHub, …)ごとにブラウザを開く必要 → IdP(Okta)にログインするだけで連携が完了する試み • SEP-646: Enterprise-Managed

    Authorization Profile for MCP IdPと各サービスの認可サーバー間で事前に設定をしておき、MCPクライ アントからID-JAGの仕組みを使ってアクセストークンをユーザー操作無く 取得 OktaではEA開始済み
  8. 31 まとめ 現在の内製リモートMCPサーバー提供には認可仕様の壁 → Dynamic Client Registration 提供⽅法はあるが内製の責任範囲の⼤きさ‧⻑期的な解消の⽅向性の存在 現時点で取り得るToDo •

    プラットフォームでのアクセストークンの有効期限の短期化 • Keychainなどをサポートする安全な保管ソフトウェア利⽤ • 安全な利⽤⽅法の周知 • MCP仕様変更のキャッチアップ