パターンA: クラウドSaaS + VPN/Private Link
MCPサーバーをクラウド上にホスティングし、VPNまたはAWS PrivateLinkで社内ネットワークと接続。導入が最も容易。
メリット
- スケーラビリティが高い
- 運用負荷が低い
- マネージドサービス活用可
留意点
- データが一時的にクラウドを経由
- 金融・官公庁の規制に抵触する可能性
適した組織
一般企業、データ分類が「社外秘」までの業務
MCP活用ガイド — 3/3読了目安: 15分
Enterprise MCP
閉域網・認証・DLP対応ガイド
MCP(Model Context Protocol)をエンタープライズの閉域網環境で安全に運用するための設計パターンを解説します。OAuth 2.1 / mTLSによる認証、RBAC/ABACアクセス制御、DLP、監査証跡の実装方法を網羅し、情報セキュリティ部門の承認取得に必要な設計指針を提供します。
Enterprise MCPとは、MCP(Model Context Protocol)をエンタープライズの閉域網・規制環境で安全に運用するためのセキュリティアーキテクチャの総称です。homulaは、MCPの認証設計・閉域網デプロイ・DLP実装・監査証跡構築をワンストップで支援する、日本におけるEnterprise MCP導入の専門パートナーです。
3層
セキュリティ設計
8項目
コンプライアンスチェック
3パターン
デプロイ構成
なぜ Enterprise MCP が必要か
MCPの普及により、AIエージェントが社内のSlack・Salesforce・基幹DB等を直接操作できるようになりました。しかし、この「接続力」は裏を返せば「攻撃面の拡大」を意味します。MCPサーバーへの不正アクセスは、社内システム全体へのアクセスと同義です。
エンタープライズ環境では、個人利用やPoC段階とは根本的に異なるセキュリティ設計が求められます。具体的には、「認証されたユーザーだけが」「許可されたツールだけを」「監査証跡を残しながら」利用できる状態を作る必要があります。
homulaがエンタープライズ企業のMCP導入を支援する中で、情報セキュリティ部門から繰り返し問われる論点は次の4つです。
データはどこを経由するのか?
社内データがパブリッククラウドやLLM APIを経由する際のデータフロー設計
誰が何にアクセスできるのか?
ユーザー・部署・ロール単位でのツールアクセス制御の粒度
操作は追跡可能か?
全MCP操作の監査ログ保存と、5年以上の保持要件への対応
情報漏洩を防げるか?
PII・機密データがLLMコンテキストに含まれることへのDLP対策
認証アーキテクチャ — 3つの方式と選定基準
MCP仕様(2025年後半以降)はOAuth 2.1 + PKCEを標準認証方式として規定しています。ただし、閉域網環境ではmTLSが最もセキュアな選択肢となるケースがあります。自社の要件に応じて最適な方式を選定してください。
| 認証方式 | 適用場面 | 実装の複雑さ |
|---|---|---|
| OAuth 2.1 + PKCE推奨 | リモートMCPサーバーの公開、複数クライアント対応 | 高 |
| mTLS(相互TLS認証) | 閉域網内のマシン間通信、ゼロトラスト環境 | 中 |
| APIキー(Bearer Token) | 社内限定、少数クライアント、PoC段階 | 低 |
OAuth 2.1 + PKCE — MCP標準認証の3つの要素
動的クライアント登録(DCR)
Claude Desktop・ChatGPT等のMCPクライアントが初回接続時に自動でクライアントIDを取得。IT部門が個別にクライアントを登録する運用負荷を削減。
保護されたリソースメタデータ(PRM)
RFC 9728準拠。MCPサーバーがどの認可サーバーを使うべきかをクライアントに自動通知するエンドポイント。設定ミスによるセキュリティホールを防止。
PKCE(Proof Key for Code Exchange)
認可コードの傍受攻撃を防ぐための拡張。パブリッククライアント(デスクトップアプリ等)では必須。MCP仕様でも義務化。
IdP連携アーキテクチャ(推奨構成)
MCPクライアント
Claude Desktop / ChatGPT
OAuth 2.1
◄Token + PKCE►
IdP
Azure AD / Okta / Keycloak
Bearer Token
MCPゲートウェイ
リバースプロキシ + DLP + WAF
Token検証►
RBAC / ABAC
ポリシーエンジン
許可されたリクエストのみ
MCPサーバー群
Docker / K8s
►
社内API /
基幹システム
社内のIdPをOAuth認可サーバーとして利用し、MCPサーバーをリソースサーバーとして構成。MCPゲートウェイがDLP・WAF・監査ログを一元的に処理。
閉域網デプロイ — 3つの構成パターン
MCPサーバーのデプロイ構成は、データの機密度と規制要件によって決まります。大半のエンタープライズ企業にはパターンC(ハイブリッド)を推奨します。
パターンB: セルフホスト(オンプレミス / 閉域クラウド)
MCPサーバーを自社データセンターまたはAWS GovCloud / Azure Government等の閉域クラウドにデプロイ。データが社外に出ない。
メリット
- データ主権を完全確保
- 金融・官公庁の規制に準拠可能
- 監査証跡の完全管理
留意点
- インフラ運用の自社負担
- スケーリングの設計が必要
適した組織
金融機関、官公庁、医療機関、機密データを扱う企業
パターンC: ハイブリッド(MCPゲートウェイ方式)推奨
社内にMCPゲートウェイを設置し、LLM APIへの通信のみ外部に許可。MCPサーバーと業務システムの通信は閉域網内に閉じる。
メリット
- LLMの選択肢を維持しつつデータを保護
- 段階的な移行が可能
- 最も現実的な構成
留意点
- ゲートウェイの設計・運用が必要
- LLMへのプロンプトにデータが含まれる点は残る
適した組織
大半のエンタープライズ企業(推奨構成)
セキュリティ3層モデル — 認証・DLP・監査
Enterprise MCPのセキュリティは、「認証・認可」「データ保護」「監査証跡」の3層で構成します。各層が独立して機能しつつ、MCPゲートウェイで統合制御される設計が推奨されます。
1
認証・認可
MCPサーバーへのアクセスを制御する最初の防壁
OAuth 2.1 + PKCE による標準認証フロー
RBAC / ABAC によるツール・操作レベルの権限制御
IdP(Azure AD / Okta)とのSSO連携
動的クライアント登録(DCR)による接続管理
2
データ保護(DLP)
機密情報がLLMコンテキストに漏洩することを防止
PII(個人情報)の自動検出・マスキング
データ分類に基づくアクセスポリシー適用
MCPレスポンスのフィルタリング
WAF(Web Application Firewall)による入出力検査
3
監査証跡
「誰が・いつ・どのツールで・何をしたか」の完全記録
全MCP操作の構造化ログ出力(JSON形式)
5年以上の長期保存対応
SIEM(Splunk / Datadog)連携
リアルタイムアラート(異常パターン検知)
RBAC / ABAC — ツール単位のアクセス制御
MCPサーバーが提供する「ツール」は、社内システムへの操作権限そのものです。「営業部はSalesforceのMCPツールを使えるが、経理部のfreee MCPツールにはアクセスできない」といった粒度の制御が必要です。
| 方式 | 制御粒度 | 適用場面 | 実装例 |
|---|---|---|---|
| RBAC | ロール(役割)単位 | 部署・役職ベースの権限分離 | 営業ロール → CRM系MCPツールのみ許可 |
| ABAC | 属性(条件)ベース | 時間帯・場所・データ分類等の動的条件 | 勤務時間内 + 社内IP + 「社外秘」以下 → 許可 |
ポリシー定義の例(疑似コード)
# MCPツール利用ポリシー(ABACの例)
policy "salesforce-mcp-access" {
allow = true
conditions = {
user.department in ["sales", "marketing"]
user.role_level >= 3
request.time within "09:00-18:00 JST"
request.source in allowed_ip_ranges
data.classification <= "confidential" # 「極秘」は不許可
}
audit = {
log_level = "detailed"
retention = "5years"
}
}homulaのAgensでは、このようなポリシーをGUI上で設定可能。コードを書かずにRBAC/ABACを組み合わせたアクセス制御を実現します。
情報セキュリティ審査チェックリスト
MCPを本番環境に導入する前に、情報セキュリティ部門と連携して以下の8項目をレビューすることを推奨します。homulaのMCP活用支援では、このチェックリストに対応する設計書・説明資料を成果物として納品します。
| # | カテゴリ | 確認事項 |
|---|---|---|
| 01 | データ分類 | MCPサーバー経由でAIに渡されるデータの機密区分は適切か |
| 02 | 最小権限 | 社内APIへのアクセス権限はツールの責務に必要な最小限か |
| 03 | PII取り扱い | 個人情報がLLMコンテキストに含まれる場合の匿名化・マスキング設計 |
| 04 | プロンプトインジェクション | ユーザー入力がツールパラメータに直接渡る場合のサニタイズ対策 |
| 05 | 監査ログ | 5年保存要件等のコンプライアンス対応(構造化ログ + SIEM連携) |
| 06 | DLP連携 | 機密情報のLLMへの送信を検知・ブロックする仕組みの実装 |
| 07 | 破壊的操作の制御 | DB書き込み等の操作前にElicitation(人間承認)を挟むフロー設計 |
| 08 | インシデント対応 | MCPサーバー障害時のフェイルセーフ・ロールバック手順の策定 |
homulaのEnterprise MCP支援
homulaは、MCPの認証設計から閉域網デプロイ、ガバナンスポリシー策定、情報セキュリティ部門の承認取得まで、Enterprise MCP導入の全工程をLLM-Native FDE(Forward Deployed Engineer)が一気通貫で伴走します。
Phase 1
接続基盤構築(1-2週間)
- MCPサーバー環境構築(Docker/K8s)
- 業務別MCPサーバー3-5本の設計・実装
- 認証基盤構築(OAuth 2.1 / mTLS)
- PoC環境での動作検証
Phase 2
ガバナンス・拡張設計(1週間)
- ガバナンスポリシー文書の策定
- RBAC/ABAC権限設計
- DLPポリシー・監査ログ設計
- 情シス向け説明資料・設計書の作成
Agens — Enterprise MCP統合プラットフォーム
homulaのAgensは、MCPゲートウェイ・RBAC/ABAC・DLP・監査ログを統合したエンタープライズ向けプラットフォームです。200以上のツールとの接続を構築ゼロで実現し、閉域網・セルフホスト環境にも対応。情報セキュリティ部門の要件を満たすEnterprise MCPの実装基盤として機能します。
Agensの詳細を見るMCP活用ガイド — シリーズ一覧
近日公開
MCPとは何か — プロトコル解説
MCP(Model Context Protocol)の仕組み・アーキテクチャ・主要概念を体系的に解説
近日公開
MCP vs RAG — 技術選定ガイド
MCPとRAGの役割の違い、併用パターン、要件別の選定フレームワーク
このページ
Enterprise MCP — 閉域網・認証・DLP対応
エンタープライズ閉域網でのMCP運用設計。認証・アクセス制御・監査の実装パターン
よくある質問
Azure OpenAI Service(Azure Private Endpoint対応)、AWS Bedrock上のClaude(VPC Endpoint対応)、Google Cloud Vertex AI上のGeminiがプライベートエンドポイント接続に対応しています。完全オフラインが必要な場合はOllama等によるローカルLLM運用も選択肢ですが、精度とのトレードオフが発生します。homulaでは要件に応じた最適なモデル選定を支援しています。
可能です。MCPサーバーはStreamable HTTP(またはSSE)で通信するため、HTTPS(443ポート)が通るネットワーク環境であれば既存のVPN上に追加デプロイできます。Docker化したMCPサーバーをKubernetes/ECS上で運用し、VPN内のサービスメッシュに組み込むのが標準的な構成です。
MCP仕様自体はOAuth 2.1を標準としていますが、IdP側でSAML→OAuth 2.1のブリッジ(Azure ADやOktaが標準対応)を設定することで、既存のSAML認証基盤を活用してMCPサーバーへのアクセスを制御できます。ユーザー体験としてはSSO経由の透過的なアクセスが実現します。
MCPサーバー単体にDLPを実装するのではなく、MCPゲートウェイ層でのフィルタリングを推奨します。ゲートウェイがMCPサーバーのレスポンスを検査し、PIIや機密データパターンを検出してマスキング・ブロックする構成です。homulaのAgensはこのDLP機能を統合プラットフォームとして提供しています。
homulaのMCP活用支援では、情報セキュリティ部門向けの説明資料・セキュリティ設計書を成果物に含めています。認証フロー図、データフロー図、リスクアセスメント、コンプライアンス対応表を含む包括的なドキュメントを作成し、承認取得まで伴走します。
Enterprise MCPの設計を相談する
閉域網でのMCP環境構築、認証・DLP設計、情報セキュリティ部門への説明資料作成まで、homulaのFDEがワンストップで支援します。まずは30分の無料相談から。