想像してみてください。あなたは苦労して非常に賢いAI大規模モデルをトレーニングしました。それは様々な複雑なタスクを処理できます。しかし、この賢い頭脳への「パイプライン」、つまりモデルコンテキストプロトコル(MCP)が安全でなければ、ハッカーにつけ入る隙を与えてしまうことになります!ご心配なく!ブロックチェーンセキュリティ分野の専門家であるSlowMist(慢霧科技)が全力で開発したMCPセキュリティチェックリストは、まるでプロの「AIシールド局」のようなものです。MCPベースのAIツールに包括的なセキュリティガイドを提供し、様々な潜在的な脅威からLLMプラグインエコシステムを保護することを目指しています。

QQ_1745201991279.png

2024年末のMCP公開以来、Claude DesktopやCursorなどの主流AIアプリケーションで広く利用されており、様々なMCPサービス市場も盛んに発展しています。しかし、他の新興技術と同様に、MCPの急速な普及は新たなセキュリティ上の課題をもたらしています。

MCPセキュリティチェックリストはこのような背景から誕生しました。これは冷淡なツールではなく、経験豊富なセキュリティ専門家のようなものです。MCPアーキテクチャにおけるHost(ホスト)、Client(クライアント)、Server(サーバー)の3つの主要コンポーネント間の相互作用において発生する可能性のある様々なリスクポイントを体系的に洗い出しています。機密性の高い暗号通貨取引に関連している場合でも、LLMと統合されたカスタムプラグインの場合でも、このチェックリストは開発者が潜在的なセキュリティ脆弱性を積極的に特定し、予防するのに役立ちます。

このチェックリストに記載されているセキュリティ対策を採用することで、MCPシステム全体の安定性と制御性が大幅に向上し、AIアプリケーションの安全と発展が両立することを保証します。

✨ 主要機能

このMCPセキュリティチェックリストは、細心の注意を払ったセキュリティ管理人のようなものです。MCPシステムのセキュリティを複数の側面から深く検討しており、主要な機能は次のとおりです。

  • 包括的なAPIセキュリティ保護:
    • 厳格な入力検証:自宅の玄関に入る各訪問者を綿密に検査するように、悪意のあるコードがAPI入力を通じて侵入するのを防ぎます。
    • APIレート制限:悪意のあるリクエストでサービスがクラッシュ(DoS攻撃)するのを防ぐために、APIにトラフィックの上限を設定します。
    • 出力エンコーディング:潜在的なクロスサイトスクリプティング攻撃などのリスクを防ぐために、API出力データが適切に処理されるようにします。
  • 堅牢なサーバー認証と認可メカニズム:
    • きめ細かいアクセス制御:企業の権限管理システムのように、異なる役割はそれぞれの責任範囲内のリソースのみにアクセスでき、最小限の権限の原則に従います。
    • 安全な資格情報管理:ハードコーディングされたキーとはお別れです!サービス資格情報を安全に保存および管理する方法、キー管理サービスの利用方法を学びます。
    • APIキーローテーション:定期的にAPIキーを交換することで、キーの漏洩によるリスクを軽減します(定期的な鍵交換と同じです)。
    • サービス認証:ツールがサーバーの身元を確認し、クライアントが信頼できるサービスに接続していることを保証します。
  • 厳格なバックエンド永続化制御:
    • ライフサイクル管理:ソフトウェアのインストールとアンインストールを管理するように、MCPプラグインのライフサイクルを厳格に管理し、クライアントと連携します。
    • 強制的なクローズとクリーンアップ:クライアントが閉じられたときに、すべてのMCPバックエンドプロセスが完全にクリーンアップされ、問題が残らないようにします。
    • ヘルスチェックメカニズム:MCPプラグインの状態を定期的にチェックし、異常な永続化動作を早期に検出します。
    • バックグラウンドアクティビティの監視と制限:MCPバックグラウンドのすべての活動を監視および記録し、その操作と継続時間を制限します。
  • 信頼性の高いデプロイとランタイムセキュリティ:
    • 隔離環境:悪意のあるコードの脱出と横方向の移動を防ぐために、サーバーを隔離環境(コンテナ、仮想マシン、サンドボックスなど)で実行することを強くお勧めします。
    • コンテナセキュリティ:コンテナを使用する場合は、必ずセキュリティ構成を行い、root以外のユーザーでコンテナを実行し、不変のインフラストラクチャとランタイム保護を採用します。
    • リソース制限:大規模モデルの故障による無限ループや過剰な呼び出しを防ぐために、MCPプラグインにリソース使用の上限を設定します。
  • 完全なコードとデータの整合性保証:
    • 整合性検証メカニズム:デジタル署名、チェックサムなどの方法を使用して、コードが改ざんされていないことを確認します。
    • リモート検証:コードの整合性をリモートで検証するメカニズムをサポートし、セキュリティを強化します。
    • コード難読化と強化:リバースエンジニアリングされる難易度を高めます。
  • 詳細なサプライチェーンセキュリティ管理:
    • 依存関係管理:サードパーティの依存関係を安全に管理します。
    • パッケージの整合性とソース検証:参照するソフトウェアパッケージが完全で信頼できるものであることを確認します。
    • 安全なビルド:ソフトウェアのビルドプロセスが安全であることを保証します。
  • 包括的な監視とログ記録:
    • 異常検出とアラート:異常な活動を早期に検出し、報告します。
    • 詳細なログ記録:すべてのサービスアクティビティとセキュリティイベントを記録し、集中管理してログの完全性を確保し、監査機能を提供します。
  • 厳格な呼び出し環境の分離:
    • MCPインスタンスの分離:複数のMCPサーバーインスタンス間の操作が相互に隔離されていることを保証します。
    • リソースアクセス制御:各MCPサーバーにリソースアクセス境界を明確に定義します。
    • ツールの権限分離:異なる分野のツールに異なる権限セットを設定します。
  • 幅広いプラットフォームの互換性とセキュリティ:
    • システムリソースの分離:異なるオペレーティングシステムの特性に応じて、適切なリソース分離戦略を実行します。
    • クロスプラットフォーム互換性テスト:異なるオペレーティングシステムとクライアントで、MCPサーバーのセキュリティ動作が一致しているかどうかをテストします。
    • プラットフォーム固有のリスク評価:各プラットフォーム特有のセキュリティリスクを評価し、軽減策を講じます。
  • データセキュリティとプライバシーの重視:
    • データ最小化:必要なデータのみを収集および処理します。
    • データ暗号化と分離:機密データを暗号化して保存および転送し、異なるユーザーのデータが相互に隔離されるようにします。
    • 機密データの識別と処理:機密データを自動的に識別し、特別な方法で処理します。
  • 洗練されたリソースとツールのセキュリティ制御:リソースへのアクセス、サイズ、テンプレートパラメーター、ツールのコーディングプラクティス、実行環境、入出力検証、権限制御、動作制約などについて、詳細なセキュリティ要件を提示しています。
  • ユーザーインタラクションセキュリティ:
    • 明確なユーザーインターフェース:UIはAI操作の範囲と潜在的な影響を明確に表示し、直感的なセキュリティインジケーターを提供する必要があります。
    • 機密操作の確認:高リスク操作は、ユーザーによる明確な確認が必要です。
    • 透明性の高い権限要求:権限要求は、その目的と範囲を明確に説明し、過剰な権限付与を避ける必要があります。
    • 操作の可視化と情報の透明性:ツールの呼び出しとデータアクセスは可視的で監査可能である必要があり、ユーザーは非表示のラベルを表示するかどうかを選択できます。コンテキストの一貫性を確保します。
  • AI制御と監視:重要なAI操作を記録し、異常なパターンを検出し、ツールの呼び出し頻度と数を制限します。
  • ローカルストレージセキュリティ:資格情報を安全に保存し、機密ユーザーデータを隔離します。
  • アプリケーションセキュリティとクライアント認証認可:アプリケーションの整合性を検証し、認証を強制し、OAuthなどのプロトコルを安全に実装します。
  • MCPツールとサーバー管理:ツールの信頼性と整合性を検証し、安全に更新し、名前の衝突と悪意のある行為を防ぎ、信頼できるサーバーディレクトリを維持し、バージョン管理を実装します。
  • 強力なプロンプトセキュリティメカニズム:
    • プロンプトインジェクション防御:プロンプトインジェクション攻撃を防ぐために、多層防御対策を実施します。
    • 悪意のある命令の検出:プリロードされた悪意のあるプロンプトやサードパーティのMCPサーバーが提供するツールに埋め込まれた有害な命令など、潜在的に悪意のあるユーザー命令を検出し、阻止します。
    • システムプロンプトの保護と機密データのフィルタリング:システムプロンプトが改ざんされるのを防ぎ、プロンプトとコンテキストから機密の個人データをフィルタリングします。
    • コンテキストの分離とプロンプトテンプレート:異なるソースのコンテキストが相互に隔離されるようにし、安全なプロンプトテンプレートを使用します。
    • ツールの説明検証とプロンプトの一貫性検証
    • 履歴コンテキストの管理:データの蓄積と情報漏洩を防ぐために、履歴コンテキストを明確にクリーンアップするメカニズムを確立します。

🛠️ 設定方法と設定手順:セキュリティをMCPアプリケーションに統合する

このチェックリスト自体を「設定する」というよりも、開発者はこのチェックリストに記載されている各セキュリティポイントを参照して、独自のMCPアプリケーションを設定および強化する必要があります。これは詳細な健康診断レポートを受け取ったようなもので、レポートの指標と推奨事項に基づいて、「体」の調整と保護を行う必要があります。

具体的な「設定手順」は、次の手順で理解できます。

  1. チェックリストを注意深く読む:開発者は、リストに記載されている各セキュリティポイントとその重要度を示すマーク(推奨、強く推奨、必須)を注意深く読み、理解する必要があります。
  2. リスク評価:独自のMCPアプリケーションのシナリオと、関連する機密操作(暗号通貨取引が含まれているか、ユーザーのプライバシーデータへのアクセスが必要かどうかなど)について、現在最も重要で実装する必要があるセキュリティポイントを評価します。
  3. セキュリティポリシーの策定:リスク評価の結果に基づいて、詳細なセキュリティポリシーと実装計画を策定し、どのセキュリティ対策を優先的に実装する必要があるか、実際の状況に応じて選択的に実装できるかを明確にします。
  4. セキュリティ対策の実装:策定されたセキュリティポリシーに基づいて、MCP Server、Client、Hostの開発、デプロイ、実行プロセスにおいて、入力検証の実行、アクセス制御の実装、機密データの暗号化、悪意のあるプロンプトのフィルタリングなど、チェックリストに関連するセキュリティ対策を一つずつ実施します。
  5. 継続的な監視と更新:セキュリティは継続的なプロセスです。開発者は、完全な監視メカニズムを構築し、セキュリティポリシーを定期的にレビューおよび更新し、新しいセキュリティ脅威に迅速に対応する必要があります。また、MCPセキュリティチェックリストの更新にも注意を払い、最新のセキュリティ推奨事項をタイムリーに採用する必要があります。

🔗 ツールアドレス

この貴重なMCPセキュリティチェックリストは、GitHubで見つけることができます。

https://github.com/slowmist/MCP-Security-Checklist