メッセージMCPトンネル

MCPトンネルのセキュリティ

MCPトンネルデプロイメントのための強化ガイダンス、認証情報のローテーション、侵害対応、および廃止手順。

MCPトンネルはリサーチプレビュー段階です。お試しいただくにはアクセスをリクエストしてください。

トンネルアーキテクチャは強力なデフォルト設定（アウトバウンドのみの接続、エンドツーエンド暗号化、IP検証）を提供しますが、トンネルスタック全体のセキュリティは、その構成方法と運用方法にも依存します。このページでは、推奨される強化策、侵害対応、およびトンネルの廃止方法について説明します。

ベストプラクティス

すべてのMCPサーバーでOAuthを必須にする。 MCP認可仕様に記載されているとおり、各アップストリームMCPサーバーがOAuthを要求するように構成します。OAuthは、トンネルのトランスポート認証に加えて多層防御を提供し、データレイヤーでのユーザーレベルの認可を可能にします。
組織でSSOを有効にする。 トンネル、フェデレーションルール、サービスアカウントはClaude Consoleで管理されます。SSOにより、これらを変更できる管理者に対してIDプロバイダーのセッション制御が適用されます。
upstream.allowed_ipsを制限する。 MCPサーバーをカバーする最小限のCIDR範囲を使用します。これはプロキシの主要なSSRF防御です。
ログを監視する。 トンネルスタックからの警告、エラー、異常なトラフィックパターンに対してアラートを設定します。
認証情報をローテーションする。 サーバー証明書とトンネルトークンを定期的にローテーションし、侵害が疑われる場合は直ちにローテーションします。
イメージを最新に保つ。 新しいプロキシリリースを追跡し、SHA-256ダイジェストでイメージを固定します。
ネットワーク到達範囲を制限する。 プロキシとcloudflaredは、ネットワーク要件に記載されている宛先にのみ到達できるようにする必要があります。NetworkPolicy（Kubernetes）またはホストファイアウォールルール（Compose）を使用します。
MCPサーバーのスコープを制限する。 各サーバーは、その目的に必要なツールとデータのみを公開する必要があります。
保存時の認証情報を保護する。 秘密鍵とトンネルトークンに対して、組織のシークレット管理プラクティスを適用します。

侵害が疑われる場合の対応

トンネルトークン、TLSキー、またはプロキシホストが侵害されたと思われる場合：

トンネルスタックを停止する
アップストリームMCPサーバーを切り離す
アップストリームMCPサーバーを、それらを使用しているManaged Agentセッションから削除し、Messages APIリクエストのmcp_serversブロックでそれらのURLを渡すのを停止します。
トンネルをアーカイブする
アーカイブすると、トンネルトークンが無効化され、ドメインが切り離されます。Consoleで、MCP tunnelsリストからトンネルをアーカイブします。代わりにAPI経由でアーカイブする場合は、トンネルのアーカイブを参照してください。
Anthropicに連絡する
侵害の疑いをAnthropicサポートに報告します。
ダウンストリームの認証情報をローテーションする
新しいトンネルを再プロビジョニングし、影響を受けたMCPサーバーが発行したOAuthトークンをすべてローテーションします。
サービスを復元する前にログを確認する
新しいトンネルをオンラインにする前に、侵害が疑われる期間のプロキシ、cloudflared、およびMCPサーバーのログを調査します。

トンネルを廃止する

トンネルを廃止し、保存されているすべての認証情報を削除するには、以下の手順に従います。

トンネルスタックを停止する
トンネルをアーカイブする
Consoleで、MCP tunnelsリストからトンネルをアーカイブします。
保存されている認証情報を削除する

Was this page helpful?

ベストプラクティス

すべてのMCPサーバーでOAuthを必須にする。 MCP認可仕様に記載されているとおり、各アップストリームMCPサーバーがOAuthを要求するように構成します。OAuthは、トンネルのトランスポート認証に加えて多層防御を提供し、データレイヤーでのユーザーレベルの認可を可能にします。

組織でSSOを有効にする。 トンネル、フェデレーションルール、サービスアカウントはClaude Consoleで管理されます。SSOにより、これらを変更できる管理者に対してIDプロバイダーのセッション制御が適用されます。

upstream.allowed_ipsを制限する。 MCPサーバーをカバーする最小限のCIDR範囲を使用します。これはプロキシの主要なSSRF防御です。

ログを監視する。 トンネルスタックからの警告、エラー、異常なトラフィックパターンに対してアラートを設定します。

認証情報をローテーションする。 サーバー証明書とトンネルトークンを定期的にローテーションし、侵害が疑われる場合は直ちにローテーションします。

イメージを最新に保つ。 新しいプロキシリリースを追跡し、SHA-256ダイジェストでイメージを固定します。

ネットワーク到達範囲を制限する。 プロキシとcloudflaredは、ネットワーク要件に記載されている宛先にのみ到達できるようにする必要があります。NetworkPolicy（Kubernetes）またはホストファイアウォールルール（Compose）を使用します。

MCPサーバーのスコープを制限する。 各サーバーは、その目的に必要なツールとデータのみを公開する必要があります。

保存時の認証情報を保護する。 秘密鍵とトンネルトークンに対して、組織のシークレット管理プラクティスを適用します。

侵害が疑われる場合の対応

トンネルトークン、TLSキー、またはプロキシホストが侵害されたと思われる場合：

トンネルスタックを停止する
アップストリームMCPサーバーを切り離す
アップストリームMCPサーバーを、それらを使用しているManaged Agentセッションから削除し、Messages APIリクエストのmcp_serversブロックでそれらのURLを渡すのを停止します。
トンネルをアーカイブする
アーカイブすると、トンネルトークンが無効化され、ドメインが切り離されます。Consoleで、MCP tunnelsリストからトンネルをアーカイブします。代わりにAPI経由でアーカイブする場合は、トンネルのアーカイブを参照してください。
Anthropicに連絡する
侵害の疑いをAnthropicサポートに報告します。
ダウンストリームの認証情報をローテーションする
新しいトンネルを再プロビジョニングし、影響を受けたMCPサーバーが発行したOAuthトークンをすべてローテーションします。
サービスを復元する前にログを確認する
新しいトンネルをオンラインにする前に、侵害が疑われる期間のプロキシ、cloudflared、およびMCPサーバーのログを調査します。

トンネルを廃止する

トンネルを廃止し、保存されているすべての認証情報を削除するには、以下の手順に従います。

トンネルスタックを停止する
トンネルをアーカイブする
Consoleで、MCP tunnelsリストからトンネルをアーカイブします。
保存されている認証情報を削除する

Was this page helpful?