セキュリティSaaS企業が実践するCursor運用ルールと知見 / How a Security SaaS Company Runs Cursor: Rules & Insights

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

© 2025 Cloudbase Inc. 01 / 自己紹介  苫⼩牧⼯業⾼等専⾨学校を卒業後、株式会社CARTA HOLDINGS に⼊社。Web広告の管理システムの開発‧運⽤を担当した後、 2024年6⽉にCloudbaseへジョイン。プロダクト開発やテクニカルサポートを通じて、お客様の課題解決に取り組む。現在はUnlock室に所属。社内でのAI普及や業務効率化の推進に注⼒している。保有資格：情報処理安全確保⽀援⼠（第030341号） AWS Certiﬁed Solutions Architect - Associate 瀧澤哲 Tetsu Takizawa Cloudbase株式会社 Software Engineer

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

© 2025 Cloudbase Inc. Cloudbase - 国産CNAPP  7 CSPM （設定ミス）ワークロード可視化ワークロード保護脆弱性検知 CWPP （脆弱性） CIEM （ID管理）異常検知クラウドを安全に活用するための、 CNAPP機能を提供  クラウド設定ミス検知コンプライアンス監査アセット可視化リスク可視化‧管理 ID‧権限可視化 ID管理権限管理 CNAPP CNAPP : Cloud Native Application Protection Platform  CSPM : Cloud Security Posture Management  CWPP : Cloud Workload Protection Platforms  CIEM : Cloud Infrastructure Entitlement Management 

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

© 2025 Cloudbase Inc. Cursorで起きそうなリスクとは？（ざっくりと）  ①技術的リスク  ● 生成されたコードが脆弱  ● 悪意のあるライブラリの利用  ○ タイポスクワッティング  ○ スタージャッキング  ○ 汚染されたライブラリ  ● 自動モードによる暴走  ● MCPに関連するリスク  ②コンプライアンスリスク  ● 生成AIへの入力に関するリスク  ● 生成AIの出力に関するリスク    18

Slide 19

Slide 19 text

© 2025 Cloudbase Inc. Cursorで起きそうなリスクとは？（ざっくりと）  ①技術的リスク  ● 生成されたコードが脆弱 → ちゃんとレビューしましょう  ● 悪意のあるライブラリの利用 → 使うライブラリのチェックをしましょう  ○ タイポスクワッティング  ○ スタージャッキング  ○ 汚染されたライブラリ  ● 自動モードによる暴走 → サンドボックス環境での実行、ignoreの設定、そもそも自動モードを使わない  ● MCPに関連するリスク → 後述  ②コンプライアンスリスク  ● 生成AIへの入力に関するリスク → リスクの高い情報を入力しないなど、後述  ● 生成AIの出力に関するリスク → 生成物をかならずチェックするなど    19

Slide 20

Slide 20 text

Slide 21

Slide 21 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   1. ツールポイズニング攻撃     概要  ・悪意のあるMCPサーバーが、ツールの説明文にユーザーには見えないがAIモデルには認識される隠れた指示を埋め込み、AIの動作を乗っ取る攻撃手法    緩和策  ・信頼できるMCPサーバーのみを使用する  ・MCPサーバーのバージョンを固定する  etc…  21 ①技術的リスク  出典: https://invariantlabs.ai/blog/mcp-security-notiﬁcation-tool-po isoning-attacks   

Slide 22

Slide 22 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   2. ラグプル攻撃    概要  ・一見正常に動作するツールが、あるタイミングで悪意のある動作　に切り替わる攻撃手法。   ・本質的にはライブラリの悪性アップデートと同様のサプライ   　チェーン攻撃。   ・最近起きた（tj-actions/changed-ﬁles）のような攻撃手法     緩和策  ・MCPサーバーのバージョン固定  ・ツールの動作の監視など    22 ①技術的リスク  出典: https://invariantlabs.ai/blog/mcp-security-notiﬁcation-tool-po isoning-attacks   

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   　以下2点を強く推奨することで、リスクを緩和   ● MCPサーバーはmodelcontextprotocol/servers で公開されているもの or サービス公式が公開してるものを使うこと    ● 第三者が作ったMCPサーバーを使う場合は実装内容を必ず確認したうえで、必ずバージョンを固定して使うこと    25 ①技術的リスク: Cloudbase で取っている緩和策   { "mcpServers": { "github": { "command": "docker", "args": [ "run", "-i", "--rm", "-e", "GITHUB_PERSONAL_ACCESS_TOKEN", "ghcr.io/github/github-mcp-server@sha25 6:3873b0da16d47640e47f1f11f7ad856c144c8f358b504996c ded046bc2229175" ], "env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "xxx" } } } }  今までのサプライチェーン攻撃の対策が流用可能

Slide 26

Slide 26 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   基本的には、CloudbaseではAPIキーを個人で扱うようなMCPサーバーの利用を積極的に推奨せず。     理由として、トークンの管理が煩雑になるためや、安全性が個人のセキュリティリテラシーに依存するため。   一方で、MCPサーバーが業務の効率化にとても有用な可能性を秘めているのは周知の事実であるため個人の裁量で利用することは認めている。    26 ①技術的リスク: Cloudbase で取っている緩和策  

Slide 27

Slide 27 text

Slide 28

Slide 28 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   余談①: 前述の緩和策では防げないリスク → アーキテクチャ起因のリスク例えばGitHub MCPのリスク  ● Toxic Agent Flows: 間接プロンプトインジェクションを利用したリスク  ● なお、プロンプトインジェクションはOWASP Top 10: LLM & Generative AI Security Risks で一位のリスク  ● GitHub MCP の実装バグではなく「同一エージェントがパブリック／プライベート両方にアクセスできる」という設計上の前提に起因  攻撃フロー  1. GitHub MCP サーバーを介して AI エージェントがパブリック Issue を取得する際、攻撃者が仕込んだ悪意あるプロンプトを読み込む  2. エージェントがプロンプトによってを乗っ取られ、別のプライベートリポジトリの内容を取得する  3. 取得した機密コードはパブリックリポジトリのPRで公開され誰でも閲覧可能    28 出典: https://invariantlabs.ai/blog/mcp-github -vulnerability   

Slide 29

Slide 29 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   余談①アーキテクチャ起因のリスク  緩和策  1. きめ細かいアクセス制限を実装する  a. 最小権限の原則に従い、エージェントのアクセスを必要なリポジトリのみに制限する  b. 一度のセッションでアクセスできるリポジトリを一つに絞る  2. 継続的なセキュリティ監視  a. invariantlabs-ai/mcp-scan のproxyモードといった脅威検知ツールの導入  3. エージェントのツール自動実行を有効化しない    29

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ● Cursor公式で MCP サーバーのリストが公開されました (https://docs.cursor.com/tools)  ○ 数回のクリックで導入できてとても便利   ● また、同時にOAuthのサポートも公開されています   ● このリストのMCPサーバーは推奨してもよさそう       32 余談②: Cursor1.0  

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Slide 37

Slide 37 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク  一律なルールが存在しない🧐  ● 利用規約やプライバシーポリシーが企業によって異なる  ● 入力する目的次第で入力OK/NGが変わる  ● 匿名加工すれば入力OK/NGも変わる  ● データが国外へ送られるかどうかでも変わる  37 だからこそ、「判断のポイント」を理解することが大事 ↓ 後ほどCloudbase での入力可否の検討を抜粋紹介します！

Slide 38

Slide 38 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク  そもそもなぜ入力に気をつける必要があるのか？  ● 法規制・契約のリスク  ○ 個人情報保護法・EU AI Act 等の規制違反、お客様と当社と締結しているNDA・利用契約違反等  ● 情報セキュリティ・プライバシーのリスク  ○ 機密情報の漏洩、PII の外部送信、モデル学習への混入等  ● レピュテーション・事業継続のリスク  ○ 行政処分・停止命令によるサービス中断、ブランド毀損、投資家不信等    個人情報が漏洩した場合、1人分につき数千円〜数万円の損害賠償が相場とされている。  最悪の場合、事業継続が不可となる可能性もある。  38

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク: Cloudbaseでの入力可否の検討  検討1 お客様の個人情報はそもそも利用してよいのか？    Cloudbaseの「個人情報の取扱いについて」の「3.個人情報等の取得と目的について」では以下のように定められている。  つまり、目的が記載の内容であればOK。ただし、条件（後述）は厳守。  42

Slide 43

Slide 43 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク: Cloudbaseでの入力可否の検討  検討2 お客様の個人情報を第三者サービスに入力してよいのか？  生成AIは基本的に第三者サービス。  Cloudbaseの「個人情報の取扱いについて」の「7.個人情報の委託について」では個人情報の「委託」をすることが可能となっている。        ただし...「6.個人情報の第三者提供について」では第三者へ個人情報を提供することは禁じられている      噛み砕くと、個人情報を入力することは不可能ではないが、入力データの学習の無効化などの対応は必須    43

Slide 44

Slide 44 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク: Cloudbaseでの入力可否の検討  検討2 お客様の個人情報を第三者サービスに入力してよいのか？（補足）    ● 利用規約・プライバシーポリシーを守ればリスクがないわけではない  ○ データの委託先が情報漏洩を起こせば、我々もお客様もその影響を受ける可能性がある。  ● 例えば、OpenAIが入力されたデータの学習・利用をしないとしていたとしても、情報漏えいが発生すれば我々もその影響を受けることになる。  ● そのため、セキュリティに信頼のおけるサービスを選定することや、そもそも無用に機密情報を入力しないといったことが非常に重要となる      44

Slide 45

Slide 45 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク: Cloudbaseでの入力可否の検討  検討3 お客様の個人情報を国外の第三者サービスで利用する同意が取れているか？  例えばChatGPTやCursorなど、国外の生成AIサービスでの利用はOKか？  ↓  国外に個人情報を持ち出し、利用する場合にはお客様の同意を得る必要があるので要チェック。  Cursorの場合は推論がアメリカ合衆国で行われることが明記されているため、お客様の同意を得る必要がある。  ただし、第三者サービスを提供している国によって、対応が異なるため注意が必要  日本の個人情報保護法と同水準の法令が整備されているかという点が対応の分かれ目となる。    参考: https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-1  主要な地域の法令: https://www.ppc.go.jp/enforcement/infoprovision/laws/       45

Slide 46

Slide 46 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   ②コンプライアンスリスク: Cloudbaseでの入力可否の検討  検討4 お客様の個人情報を匿名加工すれば海外サービスにも入力してもOKか？    匿名加工情報を作成・提供する際には、プライバシーポリシー等に規定することが個人情報保護法おいて定められている。  したがって、自社のプライバシーポリシーで匿名加工情報の作成が規定されているか要確認。      46

Slide 47

Slide 47 text

Slide 48

Slide 48 text

Slide 49

Slide 49 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   第三者サービスの選定時に法務・セキュリティ水準のチェックを通す。  お客様情報を入力してよい条件をわかりやすくシンプルに表現し、ポリシーとして周知予定。  判断に迷う場合などは法務の方に相談することを推奨。  （生成AIに入力する目的、データ項目、（個人情報であれば加工状態）を整理するとスムーズ）  また、AI時代のサービス価値提供のために利用規約の改定も検討中。  49 ②コンプライアンスリスク: Cloudbase で取っている緩和策  

Slide 50

Slide 50 text

Slide 51

Slide 51 text

© 2025 Cloudbase Inc. 03 / 生成AI/Cursorのリスクと最低限の対策   まとめ  ①MCPに関するリスクの緩和策  ● MCPサーバーはmodelcontextprotocol/servers で実装・公開されているもの or サービス公式が公開してるものを使うこと  ● 第三者が作ったMCPサーバーを使う場合は実装内容を必ず確認したうえで、必ずバージョンを固定して使うこと   ● 今までのサプライチェーン攻撃への対策が有効     ②生成AIの入力に関するコンプライアンスリスクの緩和策   ● 実行しやすい一歩目のリスク緩和策として「お客様の情報は生成 AIに入力しない」  ● AIの活用できる範囲を広めるために自社の利用規約・プライバシーポリシーや法令、お客様に向き合う   51

Slide 52

Slide 52 text