概要
https://workos.com/blog/best-practices-securing-mcp-model-agent-interactions
詳細内容
## Best practices for securing MCP model-agent interactions
https://workos.com/blog/best-practices-securing-mcp-model-agent-interactions
WorkOSは、モデルとエージェント間の相互作用における新たなセキュリティリスク(プロンプトインジェクション、特権昇格、データ流出など)を特定し、厳格な検証ゲートウェイ、最小特権、暗号化などの多層防御による具体的な対策を詳述します。
**Content Type**: Tutorial & Guide
**Scores**: Signal:4/5 | Depth:4/5 | Unique:3/5 | Practical:5/5 | Anti-Hype:5/5
**Main Journal**: 86/100 | **Annex Potential**: 82/100 | **Overall**: 84/100
**Topics**: [[AIエージェントセキュリティ, プロンプトインジェクション対策, 最小特権原則, DLP, mTLS]]
モデルとエージェント間の相互作用は、AIシステムがインフラと対話する新たなパラダイムを提示しますが、同時に予測不能な出力、特権の非対称性、文脈依存性、そして不可視の自律性といった、従来のAPI通信にはない深刻なセキュリティリスク(プロンプトインジェクション、過剰特権エージェント、MitM攻撃、リプレイ攻撃、横方向の移動、データ流出、サプライチェーンリスクなど)を生み出します。ウェブアプリケーションエンジニアにとって、これらの脅威を理解し、多層的な防御戦略を導入することは不可欠です。
この新たな攻撃面を防御するため、以下のような具体的かつ実践的な対策が求められます。プロンプトインジェクションに対しては、ユーザー入力をコマンドではなく単なるデータとして扱い、モデルの出力を厳格なJSONスキーマなどで検証し、異常なリクエストをブロックする「検証ゲートウェイ」を導入します。過剰特権エージェントの防止には、最小特権の原則を徹底し、エージェントには必要な権限のみを与え、スコープを限定した一時的な認証情報(STSトークンなど)を使用することが重要です。また、CI/CDパイプラインでIAMポリシーの変更をレビューすることも欠かせません。
MitM攻撃やリプレイ攻撃を防ぐためには、mTLSによる通信暗号化と相互認証、メッセージ署名、そして一回限りのノンスとタイムスタンプの導入で通信の完全性と新鮮さを保証します。データ流出リスクに対しては、モデルへの機密情報の提供を最小限に抑え、DLP(データ損失防止)チェックを送信ペイロードに適用し、大規模なデータ出力や高リスクなデータには人間による承認ステップを設けるべきです。エージェント間の横方向の移動を制限するためには、厳格なアクセス制御リスト(ACL)、IDベースのルーティング、信頼ゾーンによるエージェントの分離、異常な挙動の監視と自動隔離を実装します。サプライチェーンリスクには、エージェントが使用するライブラリやコネクタのSBOM(ソフトウェア部品表)管理、依存関係の固定と署名検証、サンドボックス化による分離を徹底することが有効です。
これらの多層防御は、認証とリクエスト署名、スキーマ・文脈・ノンスチェックを行う検証ゲートウェイ、最小特権を持つサンドボックス化されたエージェント、厳格な監査ログ、監視・検出と自動化、高リスク操作における人間レビューといった防御的アーキテクチャによって実現されます。WorkOSのようなプラットフォームは、これらの実践を支援するエンタープライズレベルのIDおよびセキュリティ基盤(認証・認可、監視、監査ログ、セッション管理)を提供し、回復力のあるAIエージェントエコシステムの構築に不可欠なセキュリティバックボーンとなります。モデルとエージェント間の安全な相互作用は、これからのAIインフラを強固にするための鍵です。