メインコンテンツへスキップ
Craft MCP ツールは複数のセキュリティ層で保護されており、あなたが許可したツールへはアクセス可能なまま、コンテンツが安全に保たれます。

セキュリティ層

1. スペース単位の MCP サーバー管理

MCP サーバーはスペースに紐づけられているため、該当スペースにアクセス権のあるログイン済みの Craft ユーザーのみがその MCP 設定を管理できます。個人プランの場合は、あなただけが自分の MCP サーバーを管理できます。

2. 秘密の MCP リンク

すべての MCP リンクには暗号学的に安全で推測不可能なランダム文字列が含まれます。これは特別な設定なしに自動で機能します。パスワード保護をしていない(つまり「公開」アクセスの)場合でも、MCP 接続は明示的に URL を共有した相手、または該当スペースにアクセスできる人だけが使用できます。

3. 任意のパスワード保護(OAuth 2.0)

URL を誤って公開してしまう可能性が心配な場合は、パスワード保護を追加できます。Imagine ページでパスワードを設定すると、MCP クライアント(例: ChatGPT、Claude)を初めて接続する際にそのパスワードの入力が必要になります。
一部の MCP クライアントは「OAuth Client ID」や「OAuth Client Secret」を求めますが、Craft の MCP ではこれらのフィールドは空のままで問題ありません。当社のパスワード保護は OAuth 2.0 の動的クライアント登録を使用しているため、URL とパスワード以外の事前設定された認証情報は不要です。
我々がパスワードベースの認証を採用したのは、事前共有のクライアントシークレットのような他の OAuth 手法が UX の観点から扱いにくく感じられたためであり、パスワードベースでも秘密のリンクとパスワードという二重の秘密を提供できるためです。

4. 読み取り/書き込み権限

エージェントを読み取り専用または書き込み専用に制限して、実行できる操作を制御できます。

5. スコープ制限

エージェントのアクセスは次のように限定できます:
  • 事前定義されたドキュメントのセット
  • スペース内のデイリーノートとタスク
  • 特定のフォルダ(v3.3.5 以降)
  • 検索条件に一致するドキュメント(v3.3.5 以降)

埋め込みコンテンツの保護

これらのセキュリティ層は、ファイルや画像へのリンクを含むドキュメント内のコンテンツも保護します。ファイルや画像自体は(MCP クライアントの制限により)個別の認証を持たないものの、それらの推測不可能なリンクは MCP サーバーで認証した後にのみ取得可能です。 MCP サーバーのパスワードを変更するたびにファイルや画像のリンクは再生成されるため、以前に共有したリンクは無効になります。

ベストプラクティス

  • 機微なコンテンツにアクセスする MCP 接続ではパスワード保護を使用する
  • MCP パスワードを定期的に確認・ローテーションする
  • 接続スコープを必要なドキュメントのみに制限する
  • 書き込み権限が不要な場合は読み取り専用を使用する
  • スペースの設定で MCP 接続の使用状況を監視する