MCPlatoMCPlato
ブログに戻る
MCP
AIエージェント
Model Context Protocol
コンテキスト・ブロート
セキュリティ
MCPlato

MCP:16ヶ月で9700万インストール──プロトコル戦争は終わったが、コンテキスト・ブロートとセキュリティ危機はまだ始まったばかり

MCPは16ヶ月で9700万インストールを達成した。なぜプロトコル戦争が終わったのか、そして次の戦いとなるコンテキスト・ブロートとセキュリティ危機について解説する。

公開日 2026-04-13

MCP:16ヶ月で9700万インストール──プロトコル戦争は終わったが、コンテキスト・ブロートとセキュリティ危機はまだ始まったばかり

プロトコル戦争は終わった。MCPが勝った。だが、標準を勝ち取ることと、平和を勝ち取ることは同じではない。

はじめに

2026年3月、Model Context Protocol(MCP)は、ほとんどのオープン標準が到達できない境界線を越えた:わずか16ヶ月で9700万インストールという記録を樹立した [1]。これはニッチな開発者のトレンドではない。インフラ級の採用であり、4750%という成長曲線がMCPをAnthropicの実験から、AIツール統合のデファクトスタンダードな言語へと変貌させた [2]

今日エージェントを構築しているなら、ほぼ間違いなくMCPの上に構築している。OpenAI、Microsoft、Google、AWSはすべて同じテーブルに賭けを置いた。プロトコル戦争──少なくとも「どのワイヤーフォーマットを使うか」という章──は事実上終わった。

しかし歴史は教えてくれる。標準を勝ち取る瞬間が、しばしば本当の問題の始まりであることを。HTTPが勝ち、その後数十年をかけてフィッシングやDDoSと闘った。TCP/IPが勝ち、ファイアウォールやゼロトラストを中心に産業全体を築いた。MCPは今、その「HTTPの瞬間」に到達した──普及がプロトコルを不可視にし、その周囲のリスクを無視できなくする瞬間だ。

これらのリスクは2つの形をしている:

  1. コンテキスト・ブロート:開発者が熱心に数十のMCPサーバーを1つのエージェントセッションに接続するにつれ、ツールスキーマとメタデータが利用可能なコンテキストウィンドウの40〜50%を静かに消費し、推論品質を低下させ、コストを押し上げている [6]
  2. セキュリティ危機:MCPサーバーそのものが新たな攻撃対象面になった。2026年初頭、実際の攻撃が示したのは、悪意あるあるいは侵害されたサーバーがデータを流出させ、サンドボックスを脱出し、リモートコードを実行できるということである [7]

この記事では両方の危機を解きほぐし、MCPの次のフェーズがプロトコル設計ではなく、ワークスペースレベルのガバナンスによって定義される理由を説明する。

MCPの爆発:数字で見る

2026年4月が転換点のように感じる理由を理解するために、採用曲線をたどってほしい:

マイルストーンインストール数備考
2024年末~200万AnthropicがMCPをオープンソース化;Claudeエコシステムの早期導入者
2025年中期~2200万OpenAIとMicrosoftがネイティブMCPサポートを発表
2025年末~4500万AWSとGoogle CloudがMCPコネクタをリリース
2026年2月~6800万Azure MCP Server 2.0が安定版に到達 [8]
2026年3月9700万MCPがエージェントフレームワーク全体のデファクトスタンダードに

市場の文脈が、この速度を説明している。AIエージェント市場は2026年に115.5億ドルに達する見込み [3]であり、AIオーケストレーションも同年に139.9億ドルに向かっている [4]。企業はもはや「エージェントを使うべきか?」と問わない。「47のSaaSツールを12の異なるモデルに接続するために、564個のカスタムアダプターを書かずにどうやるか?」と問っている。

MCPは、その問いにエレガントなシンプルさで答えた:単一のプロトコル、JSON-RPCワイヤーフォーマット、そして宣言的なツール発見メカニズム。適切な時期に現れた適切な抽象化である。

しかし、普遍性は新たな問題を生む。あらゆるCRM、データベース、CIパイプライン、ブラウザ自動化ツールがMCPサーバーとして公開されると、開発者は自然にそれらを重ねる。1つのエージェントセッションが、Postgres MCPサーバー、GitHub MCPサーバー、Slack MCPサーバー、Stripe MCPサーバー、さらに十数個をロードすることもある。個々は有用だ。しかし集合的に、それらが強化するはずのもの──モデルの推論能力──に負担をかける。

コンテキスト・ブロート:ツールの豊かさがもたらす隠れたコスト

コンテキスト・ブロートとは何か?

MCPサーバーがエージェントに自身を登録するたびに、スキーマを提供する:その能力、パラメータ、返却型、制約の構造化された記述。ドキュメントが充実したサーバーでは、これらのスキーマが数千トークンに及ぶこともある。10個や20個のサーバーに掛け算し、システムプロンプトや会話履歴を加えると、最初のユーザーメッセージが到着する前に、コンテキストウィンドウの40%〜50%がツールメタデータによって消費される [6]という事実に迅速に気づくだろう。

これがコンテキスト・ブロートである。MCPのバグではなく、ツールの豊かさと有限なコンテキストウィンドウが出会うことで生じる創発的特性である。

その影響

  • 推論の劣化:Chain-of-Thoughtの余地が減ることで、ハルシネーションが増え、計画が浅くなる。
  • レイテンシーの増大:大きなプロンプトは、time-to-first-tokenを増加させる。
  • コストの上昇:ほとんどの推論プロバイダーはトークン単位で課金する。ブロートは直接的にコスト増となる。
  • ツールブラインドネス:モデルがスキーマに圧倒されると、間違ったツールを選んだり、能力を完全に見落としたりする可能性がある。

プログレッシブツール発見と緩和策

コミュニティは、ブロートに対抗するための2つのアーキテクチャパターンの周りに結集し始めている:

プログレッシブツール発見は、スキーマの注入を、モデルが実際に意図を示すまで遅らせる。起動時に20個すべてのサーバースキーマを読み込むのではなく、エージェントは軽量なインデックスを保持する。ユーザーが「Q1の収益を確認して」のように尋ねた時だけ、エージェントは分析と財務ツールのスキーマを引き出す。残りはプロンプトから完全に除外される。

コンテキスト・ブロートの緩和はさらに一歩進む。これには以下が含まれる:

  • スキーマ圧縮:例、フォーマットヒント、冗長な説明を取り除く。
  • 階層的名前空間:ツールを意味的カテゴリにグループ化し、モデルがより高い抽象レベルで推論できるようにする。
  • 動的アンロード:数ターン使用されていないツールスキーマをコンテキストウィンドウから追い出す。

これらは贅沢な最適化ではない。少数のツールを超えてスケールしようとする本番エージェントスタックにとって、生存メカニズムである。

セキュリティ危機:MCPサーバーが攻撃対象面となるとき

コンテキスト・ブロートがMCP導入の静かな税金なら、セキュリティは突然の衝撃である。2026年初頭、一連の実際の事例が、MCPサプライチェーンはすでに攻撃を受けていることを証明した。

2026年のインシデントポートフォリオ

1. 偽Postmark MCPサーバー(隠れたBCC情報窃取)

メール配信サービスのPostmarkを模倣したタイポスクワッティングMCPサーバーが公開レジストリに出現し、警戒していない開発者によってインストールされた。呼び出されると期待通りメールを送信した──しかし、すべてのメッセージを攻撃者が管理するアドレスに静かにBCCしていた。MCPサーバーはホストプロセスの権限で実行されるため、この窃取はユーザーにもエージェントにも見えなかった [7]

2. Anthropic Filesystem-MCPのサンドボックス脱出

広く使用されているファイルシステムMCPサーバーの脆弱性が、攻撃者がシンボリックリンクと相対パストラバーサルを使って意図されたディレクトリサンドボックスから脱出することを可能にした。脱出後、サーバーはホスト上のどこでも機密ファイル──SSHキー、環境ファイル、ブラウザクッキー──を読み取ることができた [7]

3. MCP InspectorのRCE

プロトコル開発の標準的なデバッグツールであるMCP Inspectorに、リモートコード実行脆弱性が見つかった。開発者は統合テストの際に、しばしば信頼できない第三者のサーバーに対してInspectorを実行するため、このバグは攻撃者が開発者のマシン上で任意のコードを実行する簡単な道を作った [7]

なぜこれらのインシデントが重要なのか

MCPサーバーは受動的なライブラリではない。それらはアクティブな実行コンテキストである。エージェントがツールを呼び出すと決定すると、制御をMCPサーバーに渡す。そのサーバーが悪意のあるもの、侵害されたもの、あるいは単にバグのあるものであれば、爆発半径はホストプロセスの完全な権限となる。

したがって、脅威モデルはREST APIというより、ブラウザ拡張機能やVS Codeプラグインに近い。ワイヤーフォーマットを信頼するだけでなく、自分のマシン上で実行されているコードを信頼しなければならない。そしてMCPエコシステムはコミュニティサーバーで爆発的に拡大しているため、その信頼対象面は、ほとんどの組織の監査能力を上回る速度で拡大している。

MCPlato統合:MCP時代のワークスペースレベルガバナンス

ここまで説明してきた問題──コンテキスト・ブロートとセキュリティ危機──は、プロトコルレベルのバグではない。それらはオーケストレーションとガバナンスの課題である。JSON-RPCフィールドを変更したり、新しい認証ヘッダーを追加したりしても修正できない。プロトコルの上に、ツールがどのように発見され、読み込まれ、隔離され、監査されるかを管理する層が必要だ。

それがMCPlatoが設計された問題である。

MCPlatoは、MCPを緩やかなCLI統合の集合ではなく、統治された能力層として扱うAIネイティブワークスペースである。ユーザーにとってそれがどう表れるかを見てみよう:

ネイティブMCP統合とセッションレベルの隔離

MCPlatoでは、すべてのAIセッションが独自のワークスペース境界内で実行される。MCPサーバーはグローバルではなく、セッションごとにアタッチされる。セッションAでファイルシステムMCPサーバーをロードしても、セッションBからは見えない。これにより設計上、爆発半径が封じ込められる。侵害されたり、異常な動作をしたりするサーバーがプロジェクト境界を越えて漏洩することはない。なぜなら、ワークスペースそのものが隔離のプリミティブだからだ。

ダイナミックMCPロードと権限の粒度

MCPlatoは、起動時にすべてのツールを事前ロードすることを強制しない。サーバーは動的にロードでき、各ロードは権限モデルを通じて制御される。あるセッションにはデータベースMCPサーバーへの読み取り専用アクセスを付与し、別のセッションには同じサーバーへの書き込みアクセスを付与することができる。モデルには、承認されたスキーマのみが表示される。これは直接的にコンテキスト・ブロートを減らし、攻撃対象面を制限する。

監査ログとツールコールの追跡可能性

MCPlatoでのすべてのMCP呼び出しはログに記録される:どのサーバー、どのツール、どの引数、どの出力、そしてどのエージェントが呼び出しを開始したか。これは単なるコンプライアンスの見せかけではない。セキュリティインシデントが発生したとき──不審なメールの送信、予期しないファイルの読み取り──監査証跡により、どのサーバーが関与し、どの会話がトリガーとなったかを正確に追跡できる。タイポスクワッティングされたMCPサーバーが溢れる世界で、追跡可能性は修復である。

マルチエージェントコンテキスト管理

MCPlatoはマルチエージェントオーケストレーションをサポートし、専門化されたエージェントがタスクの異なるフェーズを処理する。コンテキスト管理はこのアーキテクチャの中核である。MCPlatoは、すべてのツールスキーマをすべてのエージェントのプロンプトにダンプするのではなく、タスクを関連する能力サブセットのみを持つエージェントにルーティングする。「リサーチ」エージェントには検索とブラウザツールが見え、「デプロイ」エージェントにはCIとインフラツールが見える。その結果、より鋭い推論、低いレイテンシー、そしてコンテキストウィンドウ枯渇に対する意味のある保護が得られる。

設計思想:プロトコルにとらわれず、ガバナンス優先

MCPlatoのMCPへのアプローチは意図的にガバナンス優先である。プロトコル自体は健全だ──だから勝ったのだ。しかし、健全なプロトコルでも境界、予算、そして証跡が必要だ。MCPlatoは、それらのコントロールが存在するワークスペース層を提供する。

結論と展望

MCPは峡谷を越えた。9700万のインストール、すべての主要クラウドおよびモデルプロバイダーの支持、そして繁栄するオープンソースサーバーエコシステムを持って、プロトコル戦争は明確に終わった。2026年4月は、MCPが不可視のインフラになった瞬間──AIエージェントにとっての「HTTPの瞬間」──として記憶されるだろう。

しかし、不可視性はリスクをもたらす。コンテキスト・ブロートはすでにエージェントの性能を低下させ、コストを押し上げている。2026年初頭のセキュリティインシデントは、MCPサーバーは良性のユーティリティではなく、隔離、監査、そしてきめ細かい権限制御を求める実行対象面であることを証明した。

次の12ヶ月は、ワークスペースレベルのガバナンスによって定義されるだろう。開発者とプラットフォームチームは「どのプロトコルか?」と問うのをやめ、「コンテキストウィンドウやセキュリティ態勢を損なわずに、50個のMCPサーバーを安全に実行するにはどうすればよいか?」と問い始める。

その問いに答えるプラットフォーム──動的ロード、セッション隔離、監査可能性、マルチエージェントコンテキスト管理を通じて──が、エージェントスタックの次の章を定義するだろう。

プロトコル戦争は終わった。ガバナンス戦争はまだ始まったばかりだ。

参考文献

  1. DDR Innova — "MCP AI Standard Hits 97 Million Installs in 2026" http://ddrinnova.com/blog/mcp-ai-standard-97-million-installs-2026/

  2. Digital Applied — "March 2026 AI Roundup: The Month That Changed Everything" https://www.digitalapplied.com/blog/march-2026-ai-roundup-month-that-changed-everything

  3. Grand View Research — "AI Agents Market Report" https://www.grandviewresearch.com/industry-analysis/ai-agents-market-report

  4. ConvertMate — "AI Orchestration Marketing 2026" https://www.convertmate.io/research/ai-orchestration-marketing-2026

  5. Linux Foundation — "Agentic AI Foundation Unveils MCP Dev Summit North America 2026 Schedule" https://www.linuxfoundation.org/press/agentic-ai-foundation-unveils-mcp-dev-summit-north-america-2026-schedule

  6. Julien Simon on Medium — "Still Missing Critical Pieces" https://julsimon.medium.com/still-missing-critical-pieces-7a78077235e5

  7. HackerNoon — "MCP Security in 2026: Lessons from Real Exploits and Early Breaches" https://hackernoon.com/mcp-security-in-2026-lessons-from-real-exploits-and-early-breaches

  8. Microsoft DevBlogs — "Announcing Azure MCP Server 2.0 Stable Release" https://devblogs.microsoft.com/azure-sdk/announcing-azure-mcp-server-2-0-stable-release/

  9. Anthropic — "Project Glasswing" https://www.anthropic.com/glasswing