「MCP は試した、自社サーバーも 1 本立てた、でも全社に広げる稟議が通らない」——情シス・セキュリティ部門の責任者から、ここ 2 ヶ月でこの相談が一気に増えました。背景には、MCP が 2025 年 12 月に Anthropic から Linux Foundation 傘下の Agentic AI Foundation(AAIF)へ寄贈されたという大きな転換点があります。
Anthropic、Block、OpenAI が共同設立し、Google、Microsoft、AWS、Cloudflare、Bloomberg が支援メンバーに加わった AAIF は、MCP を「一企業のプロジェクト」から「業界標準」に格上げしました。これにより、エンタープライズ案件でも MCP を選定対象に正式に乗せられるようになった一方で、ガバナンス設計を求められるようになっています。
なぜ「ガバナンス設計」が論点になったのか
これまで MCP は「Claude Desktop で動かす個人開発の延長」として扱われていました。しかし AAIF 移管以降、状況が変わっています。
- 複数ベンダーの MCP サーバーが乱立:Salesforce / Zendesk / SAP などの公式 MCP サーバーが続々登場
- 野良 MCP サーバーの安全性懸念:GitHub に公開されている MCP サーバーには、任意のシェル実行を可能にしているものすらある
- 権限境界が曖昧:AI エージェントが MCP 経由で実行した操作が、誰の権限で・何を変更したかが追跡できないケース
私たちが Cloudflare の AI Labyrinth による Bot 防御 を取り上げたのも、AI エージェントが境界を越えて動くことへの警戒感が、業界全体で高まっている証左です。エンタープライズ案件でこれを無視すると、法務・情シス・現場部門の三方から差し戻されることになります。
MCP ガバナンスの 5 レイヤー
弊社が受託で MCP ガバナンス設計を支援するときに使っているフレームを共有します。次の 5 レイヤーで論点を整理します。
レイヤー 1: ベンダー / ソース選定
MCP サーバーをどこから持ち込むかを 3 区分で扱います。
| 区分 | 例 | 承認プロセス |
|---|---|---|
| 公式(Tier 1) | Salesforce / Slack / Notion / Google 公式 | 情シス簡易レビューで OK |
| AAIF 認定(Tier 2) | AAIF カタログ掲載済み | セキュリティチームのチェックリスト適用 |
| 野良 / 自社実装(Tier 3) | GitHub OSS、自社開発 | フルレビュー(コード監査・脆弱性スキャン・PoC) |
Tier 3 を「やってはいけない」とするのではなく、「プロセスを定めれば使ってよい」とするのがポイントです。野良を全面禁止にすると、現場の創意工夫が止まります。
レイヤー 2: 認証・権限
MCP サーバーの呼び出しは、人ベースではなくエージェントベースで権限管理する必要があります。
- エージェントごとにサービスアカウントを発行
- 権限は OAuth スコープ + RBAC で 2 段に絞る
- 機密データへのアクセスは、人間承認を必須化(HITL)
Lyft が AI コーディングに HITL を組み込んだ事例 と同じ思想を、MCP 呼び出しにも適用するのが現実的です。
レイヤー 3: 監査ログ
「誰が・何を・いつ・どの結果で」を、MCP プロトコルレベルで記録します。
audit_log:
trace_id: <UUID>
agent_id: <agent>
user_id: <user_on_behalf>
mcp_server: <server_name>
tool_called: <tool>
arguments: <hash> # PII を含む場合はハッシュ化
result_summary: <truncated>
timestamp: <ISO 8601>
policy_evaluations: [<rule_id>: pass/fail]ポイントは、「何を呼んだか」だけでなく「なぜそれが許可されたか」まで残すこと。後から監査人が「このアクセスは妥当だったか」を再現できるようにします。
レイヤー 4: コスト / 利用上限
MCP サーバー経由の AI 呼び出しは、従量課金が読みづらい典型です。次のガード設定を入れておくのが定石です。
- エージェントごとの月次トークン上限
- 1 リクエストあたりの最大トークン
- 異常検知(前日比 5x 超で自動停止)
レイヤー 5: 廃止 / 入れ替え計画
AAIF の進化が早いため、「使い続けるか」を半年ごとに見直すプロセスを最初から組み込みます。サンセット期限を設けず導入すると、技術的負債が積み上がり、3 年後に塩漬けになります。
ベンダー選定で必ず聞くべき 7 質問
クライアント企業が外部の MCP サーバーや MCP プラットフォーム(homula 等の Hub 系サービス)を選定する際、私たちが必ず投げるチェックリストを共有します。
- AAIF の Tier 認定を取得しているか
- SOC 2 Type II / ISO 27001 を保有しているか
- データ保管リージョンを日本国内に閉じられるか
- ログを顧客テナントに引き渡せるか(インシデント対応用)
- プロトコル互換性のサポート期限はいつまでか
- 価格モデル(呼び出し数 / トークン / シート)の上限は明示されているか
- 撤退時のデータ持ち出しサポート(再構成可能な形式)はあるか
7 つすべてに即答できないベンダーは、エンタープライズ案件では候補から外すのが安全です。
受託で取りに行く案件の型
MCP ガバナンス設計を起点とした受託案件は、いま次の 3 つの型で動きやすい状況です。
| 案件の型 | 期間 | 単価帯 | 提供物 |
|---|---|---|---|
| ガバナンスポリシー策定 | 4〜8 週間 | 200〜500 万円 | ポリシー文書・承認フロー・ログ要件 |
| 監査基盤構築(ログ・ダッシュボード) | 8〜12 週間 | 600〜1,200 万円 | ログ収集・可視化・アラート |
| MCP プラットフォーム選定 + PoC | 6〜10 週間 | 400〜900 万円 | 候補比較・PoC 結果・推奨案 |
「ガバナンスは一度作って終わり」ではなく、半年ごとの見直し契約を併走で取れるかが、長期パートナー化の分岐点になります。
まとめ — MCP は「使うか」から「どう使い続けるか」へ
AAIF 移管によって MCP は技術選定対象から外せない存在になりました。しかし同時に、ガバナンス設計を伴わない MCP 導入は、3 年後に必ず破綻します。
弊社では、MCP ガバナンスポリシー策定・監査基盤構築・プラットフォーム選定支援をワンストップで提供しています。「MCP は触ったが全社化の稟議が通らない」「ベンダー選定の比較表を作りたい」という相談は、お問い合わせフォーム からお声がけください。
