MCPサーバー診断

診断フロー

01. ヒアリング・お見積もり

お客様のご要望や環境などをヒアリングさせていただき、診断対象の環境やアプリケーションを確認いたします。
その後、確認した情報をもとにお見積りを発行いたします。
まだ開発途中などで未確定の場合は、システム構成や設計をもとにおおよその概算見積もりを発行可能です。
予算策定や相見積もり時などにご利用いただき、発注確定後に再度正式なお見積りを実施いたします。

02. 診断の実施

実施前に禁止事項やご要望を整理し、お客様と最終確認をいたします。
その後、実際に診断対象に対して、攻撃者の視点からさまざまな手法で脆弱性を洗い出します。

03. 診断結果のご報告

診断対象の総合結果や検出された脆弱性の詳細、各脆弱性の再現方法、各脆弱性の修正案などをまとめた診断結果レポートをお渡しします。
また、ご希望に合わせて診断結果の報告会を実施することも可能です。（オプション）

04. 再診断などのアフターサポート

診断結果のご報告後、脆弱性の改修に対しても全力でサポートいたします。
また、検出された脆弱性の修正が完了できているかの再診断も実施可能ですので、お気軽にお申し付けください。

検査項目例

MCPサーバー特有のリスクからWebサーバーとして共通の脆弱性まで、状況に応じた検査項目を都度カスタマイズしてご提供いたします。

【診断例】通信自体のリスク

接続元検証不備	オリジンヘッダーを使った接続元検証によるDNSリバインディングが対策されているか検証します。
不要な通信メソッドの許可	通信に不要なメソッドの許可がされていないか検証します。

【診断例】認証・認可に関するリスク

利用する外部ツールの過剰権限	MCPプロセスや紐づくサービスアカウントが、業務上不要な強い権限（過剰スコープ）を持ったまま実行されていないか検証します。
認可制御の不備	サーバー接続後の認可の不備を突き、一般ユーザー権限で管理者用ツールが実行できないか、さらに他のユーザーとして操作を実行できないか検証します。

【診断例】内部処理に関するリスク

ディレクトリトラバーサル	ディレクトリを横断して本来アクセスできてはならないファイルにアクセスできる脆弱性がないかを検査します。
意図しないファイルのアップロード処理	意図していない形式のファイルがアップロードできないかを検査します。

【診断例】機微情報取り扱いに関するリスク

機微情報の管理不備	APIキーなどの機微情報が、キャッシュなども含め適切に管理されているか検査します。
過剰なデータ開示	MCPサーバーからのレスポンスにおいて、本来必要ではない機微情報が含まれないかを検査します。

【診断例】サプライチェーンに関するリスク

脆弱性のあるパッケージ等の使用	脆弱性の存在するパッケージ等が使用されていないか検査します。
外部へのパッケージ情報の漏洩	外部からパッケージのバージョン情報などが確認・推測できないか検査します。