企業はセキュリティとガバナンスのリスクに直面する中、クラウドフレアがMCPアーキテクチャを提示
Cloudflareは、エンタープライズ規模でのAIエージェント運用に向けて、中央集権型ガバナンス、リモートサーバーインフラ、コスト管理を柱としたMCPスケーリングのための参照アーキテクチャを公開した。
キーポイント
MCPエンタープライズ展開の参照アーキテクチャ公開
CloudflareがModel Context Protocol(MCP)を企業環境でスケーリングするための公式な設計パターンを提示し、実装の標準化を推進している。
ガバナンスとセキュリティの中央集権化
分散したエージェント運用に伴うリスクを軽減するため、アクセス制御と監査機能を一元管理するガバナンス枠組みを必須要件として位置づけている。
リモートサーバーインフラとコスト制御の必須化
本番環境での安定運用には、スケーラブルなリモートサーバー構成と透明性の高いコスト管理が不可欠であるとし、運用負荷の可視化を強調している。
影響分析・編集コメントを表示
影響分析
本記事は、MCP規格が実務レベルで普及する上で避けて通れない「ガバナンスとコスト管理」の課題を明確にした。Cloudflareが参照アーキテクチャを提供することで、他ベンダーや開発者はセキュリティと運用効率を両立した実装基準を得られ、エンタープライズAIエージェントの普及が加速する可能性がある。
編集コメント
技術仕様よりも運用・ガバナンスに焦点を当てたのは現実的だ。MCPが規格として定着するにつれ、次は「どう管理・監視するか」が企業ITの最重要課題になる。
Cloudflareは、エンタープライズ全体でModel Context Protocol(MCP)のデプロイメントをスケーリングするためのリファレンスアーキテクチャを提示し、本番環境対応のエージェントシステムにとっての中核要件として、集中型ガバナンス、リモートサーバーインフラストラクチャ、コスト制御を位置づけています。
この発表は、MCPベースのシステムに対する監視が強まる中に行われました。最近の研究では、プロンプトインジェクション、サプライチェーン攻撃、公開または誤設定されたサーバーなどのリスクが指摘されており、一部の研究ではMCP統合を介した任意のコード実行やデータ外部持ち出しが実証されています。
AIエージェントを外部ツールやデータソースに接続するためのオープン標準であるMCPは、エージェント向けクライアントと企業リソースとインターフェースするバックエンドサーバーを分離しています。この抽象化により、エージェントはデータを自律的に取得しアクションを実行できますが、モデル、ツール、機密システム間の新たな信頼境界も生み出します。研究者らは、単一のプロンプトが複数のシステムにわたるアクションの連鎖をトリガーし得るため、従来のLLM(大規模言語モデル)利用と比較してMCPのアーキテクチャは攻撃面を拡大すると指摘しています。
学術分析ではさらに、これらのリスクは実装の欠陥に限定されるものではなく、エージェント-ツールシステムにおける攻撃成功率を増幅し得るプロトコルレベルの設計選択に起因すると示唆されています。
Cloudflareは、ローカルにデプロイされたMCPサーバーは検証されていないソフトウェアに依存することが多く、集中型の監視がないため重大なセキュリティ上の負債となると主張しています。その代わりに同社は、MCPサーバーを自社の開発者プラットフォーム上でリモートにデプロイし、集中チームによって管理されるモデルを採用しています。
認証はCloudflare Accessによって処理され、シングルサインオン(SSO)、マルチファクター認証(MFA)、デバイスの健全性や位置情報などのコンテキスト信号と統合されます。MCPサーバーポータルは、承認されたサーバーの発見とアクセスのための統一インターフェースを提供するとともに、管理者がデータ損失防止(DLP)ルールやきめ細かなツールの公開制御などのポリシーを適用可能にします。
出典:Cloudflare
コスト管理の面では、このアーキテクチャはMCPクライアントと基盤となる言語モデルの間に配置される「AIゲートウェイ」も組み込んでいます。これにより、組織は異なるモデルプロバイダー間でリクエストをルーティングしつつ、使用制限を適用し、ユーザーごとにトークン消費量を監視することができます。
また同社は、「Code Mode」も導入しました。これはMCPツール定義の増大する複雑さに対処するために設計されています。すべてのAPI操作をモデルに公開するのではなく、Code Modeはツールインターフェースを限られた数の動的エントリポイントに集約し、モデルが必要に応じてツールを検出して呼び出せるようにします。Cloudflareによると、これによりトークン使用量を最大99.9%削減でき、コンテキストウィンドウの制限を緩和できます。
これらのアーキテクチャ制御はセキュリティとコストに関する緊急性のある懸念に対処するものの、一部のアナリストは根本的な課題が個々の機能の有無よりも、MCP(Model Context Protocol)がエージェントシステムのより広範なアーキテクチャにどのように組み込まれるかにかかっている可能性が高いと指摘している。Forresterは、MCPのようなプロトコルはガバナンスレイヤー(governance layers)と誤解されがちだが、実際にはポリシーエンジンというよりはRPCやメッセージングシステムに類似したトランスポートまたは相互運用性のメカニズムとして機能すると述べている。
この区別は、企業が集中型の制御レイヤー(control layers)の導入を本格化するにつれて重要になる。最新の研究では、ガバナンス、可観測性(observability)、ポリシー適用が、ツール統合(tool integration)やオーケストレーションレイヤー(orchestration layers)の上に位置するエージェントアーキテクチャにおける独立した「コントロールプレーン(control plane)」の課題として浮上していると示唆されている。この文脈において、CloudflareのアプローチはMCP自体に内在するものというより、制御を外部化する広範な動きの一環と見なすことができる。
著者について
Matt Foster
MattはThoughtworksのテクニカルプリンシパルである。アプリケーションモダナイゼーション(application modernization)の専門家で、顧客がレガシーなアプリケーションアーキテクチャを見直すのを支援している。Mattはヨーロッパの大小さまざまな企業で、そして最近では北米でも、多分野にわたるチームを率いてきた。Martin Fowlerとの共著でドメイン駆動設計(Domain Driven Design)やレガシー置換パターン(Legacy Displacement Patterns)に関する記事も執筆している。健全な肉体は健全な精神を育むという確信を持つ彼は、テクノロジーに没頭していないときは水泳、サイクリング、ランニングを行い、次のトライアスロンに向けて鍛錬を積んでいる。
詳細を表示 / 非表示
原文を表示
Cloudflare has outlined a reference architecture for scaling Model Context Protocol (MCP) deployments across the enterprise, positioning centralized governance, remote server infrastructure, and cost controls as key requirements for production-ready agent systems.
The announcement comes amid growing scrutiny of MCP-based systems, as recent research highlights risks such as prompt injection, supply chain attacks, and exposed or misconfigured servers, with some studies demonstrating arbitrary code execution and data exfiltration across MCP integrations.
MCP, an open standard for connecting AI agents to external tools and data sources, separates the agent-facing client from backend servers that interface with corporate resources. This abstraction allows agents to autonomously retrieve data and perform actions, but also introduces new trust boundaries between models, tools, and sensitive systems. Researchers note that MCP’s architecture expands attack surfaces compared to traditional LLM usage, as a single prompt can trigger chains of actions across multiple systems.
Academic analysis further suggests that these risks are not limited to implementation flaws, but stem from protocol-level design choices that can amplify attack success rates in agent-tool systems.
Cloudflare argues locally deployed MCP servers represent a significant security liability, as they often rely on unvetted software and lack centralized oversight. Instead, the company has adopted a model in which MCP servers are deployed remotely on its developer platform and managed by a centralized team.
Authentication is handled through Cloudflare Access, which integrates with single sign-on (SSO), multi-factor authentication (MFA), and contextual signals such as device posture and location. MCP server portals provide a unified interface for discovering and accessing authorized servers, while also enabling administrators to enforce policies such as data loss prevention (DLP) rules and fine-grained tool exposure.
Source: CloudFlare
On the cost control side, the architecture also incorporates an ‘AI Gateway’, positioned between MCP clients and the underlying language models. This allows organizations to route requests across different model providers while enforcing usage limits and monitoring token consumption at a per-user level.
The company also introduced "Code Mode", designed to address the growing complexity of MCP tool definitions. Rather than exposing every API operation to the model, Code Mode collapses tool interfaces into a small set of dynamic entry points, allowing models to discover and invoke tools on demand. Cloudflare reports this can reduce token usage by up to 99.9%, mitigating context window limitations.
While these architectural controls address immediate concerns around security and cost, some analysts argue that the underlying challenge may be less about individual features and more about how MCP fits into the broader architecture of agent systems. Forrester notes that protocols such as MCP are often mistaken for governance layers, when in practice they function more like transport or interoperability mechanisms, comparable to RPC or messaging systems rather than policy engines.
This distinction becomes significant as enterprises begin to introduce centralized control layers. Recent research suggests that governance, observability, and policy enforcement are emerging as a separate "control plane" concern in agent architectures, sitting above both tool integration and orchestration layers. In this context, approaches such as Cloudflare’s can be seen as part of a wider movement toward externalizing control, rather than something inherent to MCP itself.
About the Author
Matt Foster
Matt is a Technical Principal with Thoughtworks. He specializes in application modernization and helping customers rethink their legacy application architecture. Matt has led multi disciplinary teams across businesses both large and small in Europe and more recently North America. He has penned articles on the subjects of Domain Driven Design and Legacy Displacement Patterns in collaboration with Martin Fowler. A firm believer in a healthy body, promoting a healthy mind, when Matt is not immersed in technology he can be found swimming, biking or running towards his next triathlon.
Show moreShow less
関連記事
真のAIシフトは新モデルではなく、制御である
AIの利用が加速する中、OpenAIは、システム構築よりも大規模な管理が課題だと指摘している。
AgentCore Gateway を用いた MCP クライアント向けの安全な認証コードフロー構築
AWS は、Kiro などのエージェント型コーディングアシスタントと企業システム間での安全なアクセスを実現するため、AgentCore Gateway を活用した認証コードフローの構築方法を公開しました。
Amazon Bedrock AgentCore Gateway の MCP サポート拡張
AWS は、企業向けに Amazon Bedrock AgentCore Gateway で Model Context Protocol(MCP)サーバーの運用を支援する機能を強化しました。これにより、大規模環境での細粒度アクセス制御、ツール利用状況の可視化、データ漏洩防止、および集中型認証管理が可能になります。