AIエージェントセキュリティのAstrix、MCPサーバの認証情報リスクを多数で確認 長期APIキー依存に警鐘、オープンソース対策ツールを公開

Astrix Securityのリサーチチームは、AIエージェントがツール・データ・システムへアクセスするための基盤技術であるModel Context Protocol（MCP）サーバのセキュリティ実態をまとめた「State of MCP Server Security 2025」を発表しました。5,200超の公開リポジトリを分析した結果、GitHub上で推定2万件規模にまで導入が拡大する一方で、ハードコードされた長期認証情報に広く依存する「危険な初期設計」が横行している実態が明らかになりました。具体的には、MCPサーバの88％が認証を要求する一方で、53％が静的APIキーやPersonal Access Token（PAT）といった長期資格情報に依存し、継続的ローテーションが不可欠にもかかわらず安全性が担保されにくい状況です。委任の推奨枠組みであるOAuthを用いる実装は8.5％にとどまり、APIキーの79％は単純な環境変数経由で渡されていました。これは、Verizonの最新DBIRが指摘する「資格情報露出がアカウント侵害の主要因」という広範な課題とも符合します。

この構造的リスクに対処するため、Astrixはオープンソースの「MCP Secret Wrapper」をGitHubで公開しました。同ツールは、実行時にボルトからシークレットを取得することでハードコードされた認証情報を排除し、サーバやエンドポイントに資格情報を残さない運用へ移行させます。Astrix SecurityのResearch Team LeadであるTal Skverer氏は、「現在の資格情報の扱いは時限爆弾だ」と警告し、露出しやすい長期かつ粗粒度の認証情報と、エージェントに過度に広い権限を与える設計が、攻撃の発生確率と影響度を同時に引き上げていると強調しました。同氏はまた、ラッパーによるハードコード排除は重要な第一歩にすぎず、許可範囲の過大や資格情報の長期化そのものは別途是正が必要だと述べています。

Astrixの研究チームは、直ちに取り組むべき対策として、ハードコードされた資格情報を実行時取得へ置き換えること、非人間アイデンティティ（NHI）に対する最小権限の徹底、そして利用状況の継続監視によるリアルタイム異常検知を推奨しています。さらにエンタープライズがAIエージェントの導入を安全に拡大できるよう、Astrixはエージェントのための「Agent Control Plane（ACP）」を提供しています。ACPでは、すべてのAIエージェントに短期資格情報とポリシー定義のアクセスを付与し、最小権限・条件付き・ジャストインタイム（JIT）権限を強制することで、生産性向上と安全性の両立を実現します。

Astrix Researchによる今回の報告は、MCPサーバが急速にエコシステムの中核となる一方、初期段階の実装が抱える脆弱な資格情報管理という根本課題を可視化し、実装者と組織に対して「設計段階からのセキュア化」への転換を促すものです。企業は、短期化・委任・最小権限・継続監視を前提とした運用標準へシフトすることで、エージェント時代のID境界を強化できます。

Astrix Securityについて
Astrix Securityは、AIエージェントとそれを支える非人間アイデンティティ（NHI）のライフサイクル全体を保護し、従来のIAMを拡張して現代のAI攻撃面を統治するプラットフォームを提供します。人間のIDを100とするとNHIは100倍にのぼる一方で可視化が遅れ、最大のブラインドスポットになっています。Astrixは、すべてのAIエージェントとNHIを継続的に発見し、過剰権限の是正、リアルタイム脅威対応、新規エージェントの責任ある導入を“セキュア・バイ・デザイン”のガードレール（例：エージェンティックJITアクセス）で支援。Workday、NetApp、Priceline、Figma、HubSpot、Workatoなどのエンタープライズに信頼されています。