Cisco、MCPサーバやスキルの脅威を可視化するIDE拡張機能を公開：ITニュースピックアップ

Cisco Systemsは、AIエージェントを活用するIDE向けに、MCPサーバやスキル、生成コードを対象とした多層的な分析と継続監視をするセキュリティスキャナーを発表した。

[ITmedia エンタープライズ編集部，ITmedia]

　Cisco Systemsは2026年4月21日（現地時間）、AIエージェント機能を搭載した統合開発環境（IDE）向けのセキュリティツール「AI Agent Security Scanner for IDEs」を発表した。同社のオープンソーススキャナーである「Skill Scanner」や「MCP Scanner」を統合し、Model Context Protocol（MCP）サーバやエージェントスキル、AI生成コードを対象に、多層的な分析と継続監視をするための拡張機能を提供する。

AIエージェント普及に伴う新たなセキュリティリスク

　近年、「Cursor」や「VS Code」「Windsurf」といったIDEにおいて、MCPサーバを介して外部サービスと連携し、実行機能（スキル）を呼び出し、コードを生成するエージェント機能が普及している。これに伴い、ファイルシステムやAPI、シェル操作へのアクセス権がエージェントに付与されるケースが増えている。しかし、外部ツールや依存関係の安全性が十分に確認されないまま利用されるケースが常態化しており、セキュリティの懸念が高まっている。

　MCPサーバはAIエージェントと外部環境を結ぶ中核的役割を担うが、単一のサーバがデータベースやクラウドAPI、ローカル環境への広範なアクセス権を持つ場合がある。またスキルはAIの動作を規定する再利用可能な命令群であり、任意のプロンプト挿入やスクリプト実行、意図しない設定変更につながる可能性がある。この構造は利便性を高めるが、新たな攻撃経路を生み出しているという。

　具体的なリスクとしては、ツールの説明文に潜む不正な命令による挙動の改変や、信頼されたツールの侵害による破壊的処理の実行、設定やスキル定義の改ざんによる継続的な影響、IDE自体の設定改変などが挙げられる。従来の静的アプリケーションセキュリティテスト（SAST）やソフトウェア構成分析（SCA）といった手法では、こうした挙動を十分に把握できないことが課題だった。

　今回のスキャナーは、複数の防御層を組み合わせた構成を採用している。まず、MCPサーバの構成やツール記述、エンドポイントを解析し、不審な命令や情報流出の兆候、複数ツールをまたぐ攻撃連鎖を検出する。次に、エージェントスキルの定義を対象に、コマンド注入や難読化、権限昇格の兆候を調査する。これらの解析はコードを実行せずに実施される。

　AI生成コードには「Project CodeGuard」のルール群が組み込まれ、入力検証や認証、暗号処理など複数領域にわたる安全指針に基づいた生成を促す。加えて「Watchdog」機能によって、メモリポイズニングやコンテキスト操作といったAI特有の攻撃を防ぐため、重要な設定ファイルを継続的に監視し、改変が検出された場合には差分表示や復元操作を可能にする。監視にはSHA-256とHMACによる検証が使われる。

　分析エンジンは複数組み合わされており、「ローカルファースト」を原則とした設計により、YARAによるパターン検知やPython ASTに基づくデータフロー解析はローカルで実行される。加えて、必要に応じて大規模言語モデル（LLM）による意味解析やCiscoの脅威インテリジェンス、VirusTotalによるハッシュ照合なども利用できる。

包括的なカバレッジを実現するために複数の分析エンジンを重ね合わせている（出典：Cisco Systemsの公式ブログ）

　開発者のために操作性にも配慮されており、IDEにはセキュリティダッシュボードや検出結果一覧、設定ファイルへのインライン表示などが統合されている。スキャン結果はJSONやMarkdown、CSV形式で出力可能であり、既存のセキュリティ運用への組み込みにも対応する。

　プライバシー面については、ソースコードは外部に送信されず、解析はローカル中心で実行される設計となっている。外部サービス利用時もハッシュ照合が既定であり、ファイル送信は明示的な許可が必要とされる。

　「VS Code Marketplace」から導入可能で、セットアップ後にスキャンを実行することで、MCPサーバやスキルの状態を短時間で把握できる。AI開発環境の高度化に伴い、セキュリティ対策も同様に進化が求められており、本ツールはその一端を担うものと位置付けられる。