Connect with us

ソートリーダー

LLMsとMCPサーバー: リモートアクセスにおけるセキュアなAIの新しいブループリント

mm
Published
Updated

大きな数の組織がLarge Language Models(LLMs)を採用している。LLMsは自然言語を解釈し、トラブルシューティングを支援し、管理者を遅くする繰り返しのタスクを自動化することに優れている。当AIアシスタントが「プライマリLinuxクラスターに接続し、失敗したログインを確認する」という指示を受け取り、すぐに完全にオーケストレーションされたアクションを実行する場合、効率と生産性の向上は明らかである。

このトレンドの一部として、LLMsは、チームがハイブリッド、クラウド、およびオンプレミス環境全体でリモート接続と特権アクセスを管理するために使用するツールの中で最も機密性の高いコーナーに進出している。リモートアクセスシステムは、信頼、アイデンティティ、および運用コントロールの交差点に位置する。管理者セッションを管理し、認証を仲介し、機密ワークロードをそれらを実行する責任がある人々に接続する。

リモートアクセスにおけるAIの仲介レイヤーの必要性

このLLMsの特権ワークフローへの拡張は便利ですが、問題もある。いくつかのAIツールは、コマンドを実行するかホストに接続するために、単に資格情報を取得し、LLMに渡す。こちらは簡単なショートカットですが、潜在的に危険なものである。モデルがパスワードまたはキーを受け取ると、全特権境界が崩壊する。組織は資格情報のガバナンスを失い、監査可能性が信頼できないものとなり、LLMは環境の核心へのアクセスを持つ新しい、不透明なアクターとなる。

さらに、モデルは操作された入力によって影響を受けることができ、資格情報の公開をさらにリスクにする。上に加えて、LLMsのコンテキストデータに対する欲求は、キー、トークン、および管理パスを守るシステムのリスキーな伴侶としてそれらを描写する。最終的に、LLMs(およびそれらを利用する関連AIツールとモデル)は非常に役立つかもしれないが、決して秘密を保持または処理することを許可されるべきではない。彼らはまだそのように信頼するには十分に成熟していない。

これらの懸念と脆弱性の光に、CIO、CISO、および運用リーダーにとっての中央的な質問が現れる:私たちはLLMsをどのように有効化し、配置することができるか、それでも私たちの特権ワークフローに近づかないようにすることができるか?

幸いなことに、答えが現れてきている。それは建築物の弱点を強みに変えるものである:モデルコンテキストプロトコル(MCP)サーバー。

MCPサーバー:インフラストラクチャーとのLLMsの相互作用の再定義

MCPサーバーは、セキュアな仲介者として機能し、LLMsがアクションを要求することを許可するが、資格情報またはそれらのアクションを必要とする特権パスに触れることはない。組織がAI支援運用に深く進むにつれて、MCPスタイルのアプローチは、安全でスケーラブルな統合のブループリントとして現れている。

MCPサーバーは、多くのセキュリティアーキテクトが長い間必須であると主張してきた懸念の分離を導入する:AIが支援するが、制御されたシステムが実行する。LLMに直接アクションを実行する権限を与えるのではなく、モデルは意図(例:「ここに接続する」、「ログを収集する」、「このポリシーを確認する」)を表現することのみに限定され、MCPサーバーはこれらのリクエストを解釈し、ポリシーを適用し、検証されたツールにルーティングする。重要なのは、このアプローチは、NIST AIリスク管理フレームワークで説明されている原則と一致する。つまり、ツールの境界、仲介された許可、および人間によるエスカレーションを強調する。

この設計が特に影響力があるのは、LLMが機密情報を受け取ることがないためである。認証は、内部でセキュアな資格情報インジェクションを介して処理される。結果として、LLMは結果のみを見て、秘密自体は見ない。LLMは何が起こったかを説明し、問題のトライアジを支援し、人間を次のステップに導くことができるが、自身で認証することはできない。

セキュリティ研究は、AIモデルとローカルツールの間のトランスポートレイヤーが攻撃面の重要な部分であることを強調している。例えば、OWASPのLLMアプリケーションのためのトップ10は、不確実なプラグインの相互作用(特にオープンローカルホストHTTPエンドポイントを介して公開されるもの)が、信頼できないローカルプロセスによって特権アクションをトリガーできることを強調している。MCPスタイルのアーキテクチャは、これを回避するために、名前付きパイプなどのOS強制、ユーザースコープチャネルに依存する。 このアプローチは、ENISAのより広範な警告と、高特権環境でそれらが導入するリスクと一致する。

MCPサーバーのもう1つの重要な利点は、リモートセッション内でアクションを実行する能力である。セキュアな仮想チャネルまたは同等のメカニズムを使用して、MCPサーバーはRDPまたはSSH環境内で直接操作を実行できるが、脆弱なMFAバイパススクリプトに依存する必要はない。このアプローチは、利便性とガバナンスを組み合わせる。管理者は強力な自動化を得るが、ゼロトラストの原則を犠牲にすることはない。

これらの特性は、安全なAI統合がどのようなものかを再定義する。組織は、AIを機密システムの周りにラップするのではなく、間に堅牢なレイヤーを配置し、AIが何を要求し、受け取ることができるか、また何を見ることができないかを定義する。

LLM + MCPアーキテクチャーの運用上の利点

この設計の運用上の利点は大きい。MCPを介してAIを仲介することで、ITチームは、環境の設定、構成の標準化、そしてマルチセッションタスクを、シンプルな自然言語でオーケストレーションできる。これは、特にコンテキストスイッチングがすべてを遅くするハイブリッド環境で、問題の特定と解決の間の時間を大幅に短縮する可能性がある。

これらの改善は、業界の予測と推奨事項とも一致する。Gartnerは、LLM支援のIT運用がハイブリッドインフラストラクチャ管理の主要な加速器であると指摘し、チームがより迅速に効果的に動作できるようにしている。モデルはログを分析し、複雑なデータセットを要約し、人間をトラブルシューティングのステップに導くが、MCPレイヤーは、すべてのアクションがコンプライアンス且つ追跡可能であることを保証する。

結果は、単にスピードの向上のみではなく、より強力なガバナンスである。当LLMが一貫してタスクを同じ堅牢なパスウェイを介してルーティングする場合、組織は信頼性の高い監査トレイル、再現可能なワークフロー、および人間とAIの活動の間の明確な帰属を見つける。

文化的な利点もある。ITチームは、無駄な作業(例:ログのレビュー、繰り返しのチェック、退屈な管理ステップなど)を「オフロード」することで、エネルギーと焦点をより高価値の仕事に向けることができる。これは、ハイブリッドインフラストラクチャの広がりによって薄く伸ばされた運用グループで、効率と士気の両方を改善することができる。

最後に、MCPアーキテクチャーは複数のLLMsをサポートできるため、組織は単一のプロバイダーに縛られることはない。商用、オープンソース、またはオンプレミスのモデルを選択できる。規制上の必要性とデータガバナンスの好みに応じて選択できる。

まだ注目が必要なセキュリティリスク

利点が大きいことは間違いないが、MCPを介した環境でもリスクフリーではないことを認識することが重要である。4つの懸念を強調する:

  • 以前にも指摘したように、プロンプトインジェクション(直接および間接)は最大の懸念事項であり、LLMsに対する最も広く文書化された攻撃クラスの1つである。
  • メタデータの公開も懸念事項である。MCPサーバーは資格情報を保護するが、チームがデータ最小化の強い慣行を施行しない場合、プロンプトと応答はホスト名、内部パス、およびトポロジパターンを漏らす可能性がある。
  • MCPベースのシステムは新しいマシンアイデンティティを追加する:ツールサーバー、仮想チャネル、エージェントプロセス。 業界の調査によると、マシンアイデンティティは多くの組織で人間のアイデンティティよりもはるかに多く、そしてこれらのアイデンティティの不適切な管理は、侵害の成長する源となっている。
  • 最後に、AIサプライチェーンは無視できない。モデル更新、ツール拡張、および統合レイヤーには、継続的な検証が必要である。 ENISAの分析は、AIシステムが従来のソフトウェアスタックよりも広く、より脆弱なサプライチェーンを導入することを強調している。

次の12ヶ月:実用的進路

特権環境でLLM駆動の自動化を探求する組織は、MCPスタイルの仲介を期待されるベースラインとして見なすべきである。リーダーは、次の実用的ステップを講じることができる:

  • 資格情報にアクセスできるLLMsを定義する内部ガバナンスモデルを確立する。
  • AI駆動の特権アクションがすべて、資格情報に直接アクセスするのではなく、MCPスタイルのレイヤーを介してルーティングされることを保証する。
  • AI駆動のワークフローを既存のPAMフレームワークに統合する。
  • ツールの境界を定義してテストするために、ポリシーとしてのコードを採用する。
  • データ最小化を優先する。
  • プロンプト操作、モデル動作、ローカルインターフェイスの強化に焦点を当てたAI特有のレッドチームテストを実施する。

最終的な言葉

LLMsはリモートアクセスと特権運用を再定義し、新しいレベルのスピード、ガイダンス、自動化を提供している。しかし、この潜在力を安全に解き放つには、規律あるアーキテクチャアプローチが必要である:AIモデルと機密システムの間にセキュアで監査可能な仲介レイヤーを配置する。MCPサーバーはこの構造を提供する。AIが「鍵」を渡さずに支援できるようにする。イノベーションとガバナンスを現代のゼロトラストの期待と一致する方法で組み合わせる。

責任を持って利益を上げるためにAIを活用しようとする組織にとって、MCPスタイルの設計は、実用的で前向きのブループリントを表す。ここで、LLMsは人間の専門知識を増幅させるのではなく、特権アクセスとワークフローを意図せずながら危険にさらす。

Related Topics:
mm

Devolutionsの社長兼CEOであるデビッドは、会社の企業戦略をリードし、イノベーション、セキュリティ、ユーザビリティに焦点を当てた製品開発を監督しています。2004年にDevolutionsをソフトウェアコンサルティング会社として設立した後、デビッドは2010年に会社の焦点を強力で使いやすいITソリューションの開発に切り替えました。今日、Devolutionsは140以上の国で100万以上のユーザーをサポートし、SMBの特権アクセス管理とITセキュリティの信頼できるリーダーとして認識されています。会社の旅について反省する中で、デビッドは会社の成功をソフトウェアアーキテクチャに対する深い専門知識、起業家精神、そして顧客満足度への執念的なコミットメントに帰しています。