コンテンツにスキップ

MCP Server連携#

FutureVuls MCP Server は、MCP (Model Context Protocol) に対応した AI エージェントや MCP クライアントから、FutureVuls の脆弱性・資産・タスク情報を参照できる連携機能です。 Claude Code などの AI エージェントに接続することで、自然言語での問い合わせによって脆弱性情報の確認や調査ができます。

現在、MCP Server で利用できる機能は情報の参照(読み取り)のみです。MCP 経由で FutureVuls 上のデータが変更されることはありません。

MCP Server連携の利用イメージ

設定方法#

設定の大まかな流れとしては以下の通りとなります。

  1. オーガニゼーション設定で MCP Server 連携を有効化
  2. FutureVuls API トークンを準備
  3. MCP クライアントに FutureVuls MCP Server を登録

MCP Server 連携はデフォルトで無効です

MCP Server 連携はオーガニゼーション単位で管理されており、初期状態では無効です。

オーガニゼーションの管理者が有効化するまで、MCP Server は利用できません。

MCP Server連携の有効化#

オーガニゼーション設定 > 高度な設定 > セキュリティ を開きます。 MCP Server連携 のカードにあるトグルをオンにすると確認ダイアログが表示されるため、記載された重要事項を確認のうえ承認してください。 承認するとトグルの表示が MCP Server連携: 有効 に変わり、設定完了です。

操作にはオーガニゼーションのオーナーまたは CSIRT 権限が必要です。

有効化する前にご確認ください

本機能を有効化すると、接続した MCP クライアントや Claude などの AI エージェントが、API トークンの権限の範囲で脆弱性・資産・タスク情報などにアクセスできるようになります。取得されたデータは、接続先を通じて、その背後の LLM プロバイダにも送信されることがあります。組織のセキュリティを担保するため、必ず以下をご確認ください。

  • API トークンを発行できる所属ユーザは、全員が本機能を利用できるようになります。
  • 信頼できる MCP クライアントや AI エージェントのみに接続してください。信頼できない接続先では、プロンプトインジェクションなどにより意図しないデータ送出のリスクが高まります。
  • IP アドレスアクセス制限との併用を強く推奨します。設定していない場合は、社外ネットワークからも MCP Server へ接続が可能になります。
  • 送信されたデータが保存や第三者共有、モデル学習などに利用されるかどうかは、接続先のプラン・契約・設定・データ利用ポリシーによって異なります。FutureVuls はこれらの接続先での取り扱いを制御できないため、事前に接続先のポリシーをご確認のうえ、お客様の責任とガバナンスのもとでご利用ください。また、連携を無効化した後も、接続先がすでに取得したデータは接続先側に残ることがあります。
  • MCP 経由のアクセスは、トークンを発行したユーザによる通常の API アクセスとして監査ログに記録されます。
  • 本設定は FutureVuls が提供する MCP Server 機能の有効・無効のみを切り替えます。API トークンによる通常の FutureVuls API の利用は、本設定の状態にかかわらず可能です。

FutureVuls API トークンの準備#

MCP Server の認証には、既存の FutureVuls API トークンをそのまま使用します。MCP Server 専用のトークンや追加の認証設定は不要です。

トークン種別 プレフィクス 発行場所 参照できる範囲
グループトークン fvgr- グループ設定 > トークン グループ内のサーバ・脆弱性・タスクなど
グループセットトークン fvgs- グループセット設定 > トークン グループセット内の横断情報
オーガニゼーショントークン fvog- オーガニゼーション設定 > トークン オーガニゼーション情報・監査ログなど

現在、MCP Server で利用できる機能は読み取りのみのため、API 権限が「読み込み」のトークンを推奨します。 トークンの発行手順は「FutureVuls API」をご参照ください。

トークン種別と利用できるツール

接続時に指定したトークンの種別によって、MCP クライアントから利用できるツールが自動的に切り替わります。

まずはグループトークンでの利用をお勧めします。

MCP クライアントの設定#

FutureVuls MCP Server のエンドポイントは以下の通りです。

https://mcp.vuls.biz/mcp

認証には HTTP ヘッダ Authorization に API トークンを指定します。

以下のコマンドで FutureVuls MCP Server を登録します。$TOKEN には発行した API トークンを設定してください。

export TOKEN="fvgr-xxxxxxxx"

claude mcp add --transport http --scope user \
  futurevuls-mcp-server https://mcp.vuls.biz/mcp \
  --header "Authorization: $TOKEN"

登録後、以下のコマンドで接続状態を確認できます。Connected と表示されれば設定完了です。

claude mcp list

Claude Code のセッション内では /mcp コマンドで、接続状態と利用できるツールの一覧を確認できます。

その他の MCP クライアント

その他の MCP クライアントの設定手順は準備中です。準備が整い次第、本ページに追加します。

利用例#

MCP クライアントに接続すると、以下のような問い合わせを自然言語で行えます。

  • 対応期限が近い脆弱性タスクの一覧化と優先順位の相談
  • 特定の CVE の影響を受けるサーバの調査
  • グループ内のサーバごとの脆弱性状況の要約

利用できる機能#

トークン種別ごとに参照できる情報は以下の通りです。いずれも参照(読み取り)のみです。

トークン種別 参照できる情報
グループトークン (fvgr-) サーバ(資産)、CVE、タスク、パッケージ・CPE、SBOM、lockfile、サプライチェーンリスク、スキャン取込情報、ロール
グループセットトークン (fvgs-) グループセット横断のサーバ、CVE、タスク、パッケージ・CPE、サプライチェーンリスク
オーガニゼーショントークン (fvog-) オーガニゼーション情報、グループ一覧、グループセット一覧、監査ログ、プライベート EOL 情報

IP アドレスアクセス制限を利用している場合#

オーガニゼーションで IP アドレスアクセス制限を設定している場合、MCP Server 経由のアクセスも MCP クライアントを実行しているマシンの接続元グローバル IP アドレスで判定されます。

許可リストに含まれない IP アドレスからのアクセスは、ツール実行時に認証エラーとなります。MCP クライアントを実行する環境の接続元 IP アドレスが許可リストに登録されていることをご確認ください。

制限事項#

  • MCP Server で利用できる機能は情報の参照(読み取り)のみです。タスクの更新などの書き込み操作はできません。
  • MCP Server 経由のアクセスにも、FutureVuls API のレートリミット(API トークンごとに 20 リクエスト/分、IP アドレスごとに 200 リクエスト/分)が適用されます。詳細は「レートリミット」をご参照ください。
  • トークン種別と一致しないツールは利用できません。