MCPの認証と認可 - MCP Meetup Tokyo 2025

Transcript

1. 1 MCPの認証と認可 MCP Meetup Tokyo 株式会社メルカリ Hiroki Akamatsu

2. 2 ⾃⼰紹介 Hiroki Akamatsu @hi120ki 株式会社メルカリAI Security Team所属 • 外部AIツールのセキュリティレビュー

   • 安全な利⽤⽅法やガイドライン策定 • 社内のAIの取り組みのセキュリティ確保 • Platform(クラウド‧GitHub等)整備 • 社内LiteLLM基盤構築

3. 3 MCPサーバーのセキュリティ 様々なベストプラクティスが提唱 • Security Best Practices - 公式MCP仕様 •

   利⽤者⽬線で考える、MCPを安全に使うために - GMO Flatt Security • Research Briefing: MCP Security - Wiz Blog → ローカルではなくリモートMCPサーバーの利⽤が推奨 実際にサービス公式からリモートMCPサーバーが提供開始 • Atlassian MCP Server • Notion MCP Server • Linear MCP Server

4. 4 リモートMCPサーバーのメリット ✅ 設定ファイルにアクセストークンが不要 ✅ ユーザーごとの動作バージョンが統⼀ ✅ 組織内での利⽤状況の可視性の向上

5. 5 新たな動き 複数のサービスにまたがる処理をMCP化したい 公式のMCPサーバーが公開されていない 公式のMCPサーバーにない機能がほしい 社内の独⾃システムに接続したい → 内製のMCPサーバー開発の機運

6. 6 MCPサーバーのセキュリティ 内製のMCPサーバー開発の機運 → とりあえずローカルMCPサーバーを開発 ❌ 設定ファイルにアクセストークンがハードコード ❌ ユーザーごとに動作バージョンが混在 ❌

   組織内での利⽤状況の可視性の不⾜ 公式の認可仕様を満たしURLのみで接続できる 内製リモートMCPサーバー開発に期待 → 公式の認可仕様の「現在地」を確認

7. 7 リモートMCPサーバーの認可の動き 1. MCPクライアントにMCPサーバーのURLを追加し有効化 Atlassian MCPを利⽤

8. 8 リモートMCPサーバーの認可の動き 1. MCPクライアントにMCPサーバーのURLを追加し有効化 2. ブラウザが⽴ち上がり、サービスにログイン

9. 9 リモートMCPサーバーの認可の動き 1. MCPクライアントにMCPサーバーのURLを追加し有効化 2. ブラウザが⽴ち上がり、サービスにログイン 3. MCPクライアントに許可する権限の範囲を確認し承認

10. 10 リモートMCPサーバーの認可の動き 1. MCPクライアントにMCPサーバーのURLを追加し有効化 2. ブラウザが⽴ち上がり、サービスにログイン 3. MCPクライアントに許可する権限の範囲を確認し承認 4. MCPサーバーが利⽤可能に

11. 11 リモートMCPサーバーの認可の動き(1)

12. 12 リモートMCPサーバーの認可の動き(2)

13. 13 リモートMCPサーバーの認可の動き(3)

14. 14 リモートMCPサーバーの認可の動き(4)

15. 15 リモートMCPサーバーの認可の動き(5)

16. 16 リモートMCPサーバーの認可の動き(6)

17. 17 リモートMCPサーバーの認可仕様の問題 内製リモートMCPサーバーで認可仕様をサポートできそう? → 実は挙動(4)に罠

18. 18 リモートMCPサーバーの認可仕様の問題 内製リモートMCPサーバーで認可仕様をサポートできそう? → 実は挙動(4)に罠 OAuthクライアントIDの登録‧取得 → 各サービス上でOAuthクライアントを追加または参照する必要 → URLだけのMCP設定で接続したい

    Dynamic Client Registrationプロトコルで⾃動クライアント登録(推奨) https://modelcontextprotocol.io/specification/2025-06-18/basic/authorization

19. 19 Dynamic Client Registration

20. 20 Dynamic Client Registrationの課題 既存の認可サーバーのDynamic Client Registration対応不⾜ • プロトコル⾃体が実装されていない •

    リクエストに管理者レベルの権限が必要 ほとんどの著名サービスの認可サーバーはDCRや認証なしDCRに⾮対応 Okta, Google Cloud, Google Workspace, GitHub, Atlassian… 公式の認可仕様を満たしURLのみで接続できるリモートMCPサーバー → 現状だと困難 → Atlassian MCP Serverなどはどうしている?

21. 21 Dynamic Client Registrationの既存の対応⽅法(1)

22. 22 Dynamic Client Registrationの既存の対応⽅法(2)

23. 23 Dynamic Client Registrationの既存の対応⽅法(3)

24. 24 Dynamic Client Registrationの既存の対応⽅法(4)

25. 25 Dynamic Client Registrationの既存の対応⽅法(5)

26. 26 Dynamic Client Registrationの既存の対応⽅法(6)

27. 27 Dynamic Client Registrationの既存の対応⽅法 公式の認可仕様を満たしURLのみで接続できるリモートMCPサーバー DCRに対応したMCP⽤独⾃認可サーバー内製が必要 → OAuth provider library

    for Cloudflare Workersライブラリ 内製には認可サーバーの管理責務を持つ必要 • 正確なOAuth仕様の準拠のための知識 • 多数のアクセストークン‧OAuthクライアントの正確な処理 • ⾮対応のサービスごとに認可サーバーを管理 • DCRのセキュリティ考慮事項 ◦ https://datatracker.ietf.org/doc/html/rfc7591#section-5

28. 28 Dynamic Client Registrationの既存の対応⽅法 • DCRのセキュリティ考慮事項 ◦ https://datatracker.ietf.org/doc/html/rfc7591#section-5 😇

29. 29 Dynamic Client Registrationの今後 ⼀般的ではないDynamic Client Registrationを推奨する認可仕様 → DCRを利⽤しない認可仕様の追加の試み •

    SEP-991: Enable URL-based Client Registration using OAuth Client ID Metadata Documents • SEP-1299 (SEP-1415): Server-Side Authorization Management with Client Session Binding SEP-991はMCP公式ブログにも取り上げられ注⽬度が⾼い Evolving OAuth Client Registration in the Model Context Protocol

30. 30 MCPの認可仕様の今後 すべての連携先(Google, GitHub, …)ごとにブラウザを開く必要 → IdP(Okta)にログインするだけで連携が完了する試み • SEP-646: Enterprise-Managed

    Authorization Profile for MCP IdPと各サービスの認可サーバー間で事前に設定をしておき、MCPクライ アントからID-JAGの仕組みを使ってアクセストークンをユーザー操作無く 取得 OktaではEA開始済み

31. 31 まとめ 現在の内製リモートMCPサーバー提供には認可仕様の壁 → Dynamic Client Registration 提供⽅法はあるが内製の責任範囲の⼤きさ‧⻑期的な解消の⽅向性の存在 現時点で取り得るToDo •

    プラットフォームでのアクセストークンの有効期限の短期化 • Keychainなどをサポートする安全な保管ソフトウェア利⽤ • 安全な利⽤⽅法の周知 • MCP仕様変更のキャッチアップ