AI エージェントに社内ネットワークを触らせる前に!Codex・MCP トンネル時代の Web セキュリティで確認すべき 5 つのポイント

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

この記事の著者

ゼノクリース合同会社 代表(Web
斎藤 智樹

X:@TomokiSaito0920
スタンディングテックのWEB開発コース主任講師を務める。

他のコラム(企業の AI エージェント活用で考える「実行環境」の考え方(ローカル vs リモート))で、AI エージェントをローカルやリモートで動かす場合の違いについてご紹介しました。

ここではその延長として、ローカルや社内ネットワークをトンネリングして、クラウド上の AI エージェントから扱えるようにする方法とセキュリティ上の注意点についてご紹介します。

OpenAI Codex の MCP トンネルとは

たとえば OpenAI の Secure MCP Tunnel は、社内ネットワークやオンプレミス、ファイアウォール内にあるプライベートな MCP サーバーを、ChatGPT, Codex, Responses API などの OpenAI 製品から利用できるようにする仕組みです。

公式ドキュメントでは、MCP サーバーを公開インターネットにさらしたり、インバウンドのファイアウォールポートを開けたりせず、社内側で動く tunnel-client が OpenAI 側へアウトバウンド HTTPS 接続を行い、MCP リクエストを中継する仕組みだと説明されています。

社内のナレッジベース、チケット管理、開発用 API、社内ツールなどを AI エージェントから扱えるようになれば、業務効率は大きく上がります。一方で、Web セキュリティの観点では、考えるべき範囲が一段階広がります。

これまでの Web セキュリティでは、「公開中の Web サイトに脆弱性がないか」「WordPress やプラグインを更新しているか」「フォームや管理画面は安全か」といった観点が中心でした。もちろんこれらは重要なのですが、そもそも Web 上に公開されるサイトやアプリだという前提があります。

AI エージェントが社内ネットワークや開発環境、CMS 管理環境に接続されるようになると、「AI がどこまでアクセスできるのか」「どの Secrets を読めるのか」「どのコマンドを実行できるのか」「どの社内ツールを呼び出せるのか」という点も、Web 運用のセキュリティ課題になります。

AI に「秘密情報を渡さない」だけではなく「有害なコンテンツを見せない」

ここで言う有害なコンテンツとは、シンプルに言い換えると「プロンプトインジェクションを試みるようなコンテンツがあるサイト」ということです。

OpenAI のドキュメントでは、エージェントにインターネットアクセスを許可すると、信頼できない Web コンテンツからのプロンプトインジェクション、コードや Secrets の流出、マルウェアや脆弱な依存関係のダウンロードなどのリスクが高まると説明されています。

Codex では、セットアップスクリプトの段階では依存関係のインストールなどのためにインターネットアクセスがありますが、エージェントが作業するフェーズでは、インターネットアクセスがデフォルトでオフになっています。必要に応じて、環境ごとに限定的または無制限のアクセスを有効化できる設計です。
参考: Cloud environments
参考: Agent internet access

また、Web サイトだけではなく、作業では、npm、PyPI、GitHub、Docker Hub、各種パッケージレジストリなどへのアクセスが必要になることがあります。しかし、AI エージェントが自由に外部サイトを読める状態にすると、信頼できない README、Issue、Web ページ、依存パッケージの内容から指示を受けてしまう可能性があります。

まとめ

エージェントのインターネットアクセスについて、ドメイン Allowlist を設定したり、GET、HEAD、OPTIONS のような読み取り系の HTTP メソッドに制限したり、対策をすると良いでしょう。

最初から「全部許可」ではなく、「依存関係の解決に必要なドメインだけ」「調査に必要な公式ドキュメントだけ」のように、許可範囲を小さく始めるのが安全です。

AI 活用や AI エージェントなどを社内に導入する際に気になっていることがあれば、ぜひ本サイトのコラム記事を読んだり、お問い合わせをしてみてください。

また、GMOプライム・ストラテジーではつい先日、GMO AI RAG をリリースしました。

こちらは私も開発をお手伝いしており、企業用の RAG の基盤としておすすめできるサービスです。ぜひご活用いただき、AI 活用のきっかけにしてみてください。

最新コラム、最新ニュース、おすすめセミナー等を毎月配信する公式メルマガ
「月刊KUSANAGI」の配信購読はこちら。

企業でWordPressを利用している方にも、制作されている方にもおすすめ!
WordPressやWebの情報がぎっしり詰まった情報を定期的にお届けします。

GMOプライム・ストラテジーでは、こうした AI 活用の基盤づくりから運用までを支援するサービスを提供しています。ぜひご活用いただき、AI 導入のきっかけにしてみてください。

  • MAGATAMA Stack(セキュアで高性能な汎用 RAG 製品。オンプレミスやクラウドに構築可能。パイロット版リリースを目指す開発段階)
  • AI ソリューション(業務課題の整理から PoC 開発・運用まで一貫支援)

【この記事の著者】
ゼノクリース合同会社 代表(Web
齋藤智樹

在学中から高校や予備校、IT 企業に携わり、講師とソフトウェアエンジニアとして活動。
大学卒業後 (2020年4月〜) はフリーランスエンジニアとして活動を始め、以下のような幅広い業務を行う。2021年3月に、業務を拡大させるためにゼノクリース合同会社を設立。スタディングテックの WEB 開発コース主任講師も務める。