Claude Codeに触れていると、どこかで必ず「MCP」という3文字に出会う。
「なんだこの暗号は」と思ったし、直感的に「勝手に何か操作されるんじゃないか?」という警戒心も湧いた。40代で初めてAI開発に触れる身からすると、得体の知れないものには身構えるのが普通だ。
調べてみたら、この不安は仕組みを理解すれば解けるものだった。今日はAnthropic公式ドキュメントを読みながら「MCPって何者?」「本当に勝手に動くの?」を整理した学習ノートだ。
なお、記事の内容はAnthropic公式ドキュメント(2026年4月時点)で確認できた内容だけで構成している。僕が使っているのはClaude Codeのデスクトップアプリだ。
先に結論。MCPを3行で
- MCP = Model Context Protocol。Claude Codeを外部ツール・データに繋ぐ標準規格
- 「勝手に操作される」ことはない。接続も、使い始めも、ユーザーの承認が前提
- ただし第三者が作ったMCPサーバーは自己責任で選ぶ必要がある(公式が明言している注意点)
そもそもMCPって何なのか
公式ドキュメントは次のように説明している。
Connect Claude Code to tools via MCP — Learn how to connect Claude Code to your tools with the Model Context Protocol.
引用元:Claude Code Docs – Connect Claude Code to tools via MCP
噛み砕くと、「Claudeに外部の道具(ツール)を渡すための、共通の差込口」のようなものだと僕は受け取った。
たとえるなら、ノートPCのUSB-Cポート。ポートの規格さえ決まっていれば、そこに色んな周辺機器を差せる——MCPは、AIの世界でそれを実現する規格、と理解した。
何につなげられるのか
公式のコネクタディレクトリや MCP Registry には、すでに多数のMCPサーバーが登録されている。公式ドキュメントに例として挙げられているサービスだけでも次のようなものがある。
- Stripe(決済)
- PayPal(決済)
- HubSpot(CRM)
- GitHub(コード管理)
- Canva(デザイン・プレゼン)
業務で使う定番ツールがどんどんMCP対応していて、「Claudeに話しかければ、そのツールの中身を読む・書く・まとめる」が可能になる世界が広がっている。
本題:「勝手に操作される」のか?
結論から言うと、勝手には動かない仕組みになっている。公式ドキュメントには次のように明記されている。
For security reasons, Claude Code prompts for approval before using project-scoped servers from .mcp.json files.
引用元:Claude Code Docs – MCP
直訳すると「セキュリティ上の理由から、Claude Codeは .mcp.json のプロジェクトスコープサーバーを使う前にユーザーに承認を求める」。つまり、勝手に繋げない・勝手に動かないのが前提設計だ。
さらに、リモートサーバー(OAuth認証が必要なもの)を使う場合も、/mcp コマンドでユーザーが認証フローを通す必要があると書かれている。AIが勝手にGmailやGitHubにログインしているわけではなく、認証も僕たち自身が行う設計だ。
MCPサーバーの置き場所——3つのスコープ
公式ドキュメントでは、MCPサーバーは次の3つのスコープで管理できると説明されている。
| スコープ | 読み込まれる場所 | 共有範囲 | 保存先 |
|---|---|---|---|
| Local(デフォルト) | 現プロジェクトのみ | 共有しない(自分だけ) | ~/.claude.json |
| Project | 現プロジェクトのみ | チームで共有(git管理) | .mcp.json |
| User | 全プロジェクト | 共有しない(自分だけ) | ~/.claude.json |
僕のような個人ユーザーはLocal または User スコープで、自分の手元だけで使うのが基本になる。
【重要】公式が警告している自己責任ルール
ここは強調しておきたい。公式ドキュメントには警告ボックスで次のように書かれている。
Use third party MCP servers at your own risk – Anthropic has not verified the correctness or security of all these servers. Make sure you trust MCP servers you are installing. Be especially careful when using MCP servers that could fetch untrusted content, as these can expose you to prompt injection risk.
引用元:Claude Code Docs – MCP
要約すると:
- 第三者製のMCPサーバーは「自己責任」で使ってください
- Anthropicが全てのMCPサーバーの安全性を検証しているわけではない
- 信頼できる作成者・開発元のサーバーだけを入れること
- 特に外部コンテンツを取得するサーバーはプロンプトインジェクション攻撃のリスクがある
つまり、「勝手に動かないけど、入れる判断は自分でしろよ」というのが公式の立場だ。ここを読んで、僕は「なるほど、怪しいMCPを入れなければいいだけか」と少し安心した。
43歳・財務経理の僕が使えそうな場面(推測)
ここからは実装して効果測定した話ではなく、「こう組めば業務が楽になりそう」という見立てとして読んでほしい。
1. Gmail MCP:月次報告メールの要約・下書き
月末、各部署から送られてくる大量の月次報告メールを、Claudeに「要約して」と頼めば一覧化できそうだ。返信の下書きまで任せられれば、毎月の数時間の流し読みがぐっと短くなる。
2. Googleドライブ MCP:社内資料の横断検索
「去年の監査対応でどの資料を出したっけ?」——ドライブの海に沈んだファイルを自然言語で探せるのは、経理職の日常にかなり効きそうだ。
3. カレンダー MCP:会議の空き時間提案
経営会議・監査法人対応・部門ミーティング——日程調整で消耗する時間を、Claudeに「この3人の来週の共通空き時間を3枠出して」と頼める未来は、正直ありがたい。
どれも機密情報の扱いには十分注意が必要なので、会社の生成AI利用ポリシーの範囲内で、という前提は忘れないでおきたい。
今日から始める最小の一歩
いきなり業務ツールを繋ぐ必要はない。まずは公式のコネクタディレクトリを眺めるだけで、「自分の仕事にどれが効きそうか」の感覚がつかめる。
- ブラウザで Anthropic公式のコネクタディレクトリを開く
- 気になるツール(GitHub / Google Drive / Slack など)を探す
- 公式の説明を読んで、「どこに繋がるか」「何ができるか」だけ把握する
これで、MCPが得体の知れないものから選べる道具の棚に変わる。
今日のまとめ
- MCPはClaudeと外部ツールをつなぐ標準規格(AI世界のUSB-C)
- 勝手に動くことはなく、接続・実行には必ず承認が入る
- スコープはLocal / Project / User の3種類
- ただし第三者製サーバーは自己責任。信頼できるものだけ入れる
- 最初の一歩は公式コネクタディレクトリを眺めるだけで十分
「MCP」という3文字に怯んでいた自分に、「怖くない、これは君が選んで差し込むためのポートだよ」と伝えたい。
なお、この記事の内容は2026年4月時点のもの。MCPはまだ急速に進化している分野なので、最新情報は公式で必ず確認してほしい。
参考にしたAnthropic公式ドキュメント
- Claude Code Docs – Connect Claude Code to tools via MCP
- Anthropic – Discover tools that work with Claude
コメント