Claude Desktop／Claude Code で参照したい OSS まとめ｜セキュリティ観点でフォーク前に確認すること

Anthropic社が提供するClaude Desktopおよびターミナル一体型開発ツールClaude Codeの登場により、AIがローカル環境や外部SaaSのコンテキストを直接参照する「エージェント型ワークフロー」が現実のものとなりました。これを支える基盤がModel Context Protocol (MCP)です。

しかし、GitHub上で公開されている多くのMCPサーバやOSSを無批判に導入することは、社内データへのフルアクセス権限を不明なコードに明け渡すリスクを伴います。本記事では、実務者が導入を検討すべき主要OSSを整理し、導入前に確認すべきセキュリティ要件、および「フォークして自社管理すべき」判断基準を詳説します。

Claude Desktop / Claude Code 連携 OSS の全体像と MCP プロトコル

Model Context Protocol (MCP) とは何か

MCPは、AIアプリケーションと外部のデータソース、あるいはツールを接続するためのオープンな標準規格です。従来、AIに特定のアクション（DB参照やファイル操作）をさせるには、個別にAPI連携コードを記述する必要がありました。MCPは、クライアント（Claude Desktop等）とサーバ（OSSツール）間の通信を規格化することで、設定ファイル一つでAIに「新しい能力」を追加することを可能にします。

Claude Desktop によるローカル拡張の仕組み

Claude Desktopは、ローカルマシン上の claude_desktop_config.json を読み込み、指定されたMCPサーバ（多くはNode.jsやPythonで記述されたOSS）をバックグラウンドプロセスとして起動します。これにより、ClaudeのチャットUIから「ローカルのGitログを分析する」「SQLiteからデータを抽出する」といった操作がシームレスに行えます。

SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャに見られるような、厳格なID管理・権限管理の概念は、これらローカルで動くAIツール群に対しても同様に適用されるべきです。

Claude Code が OSS 参照において果たす役割

Claude Codeはターミナル上で動作するエージェントであり、MCPサーバを介さずともローカルファイルシステムやシェルコマンドを直接実行する能力を持ちます。ここで参照されるOSSライブラリやパッケージが汚染されている場合、AIが「良かれと思って」実行したコマンドが、深刻な脆弱性やデータ侵害を引き起こす可能性があります。

実務で採用すべき主要 MCP / OSS カテゴリ別まとめ

現在、Anthropic公式リポジトリやコミュニティによって多くのMCPサーバが公開されています。その中でも、実務において利用価値が高く、信頼性の比較的高いものをカテゴリ別に紹介します。

【開発・インフラ】Git、Docker、PostgreSQL 連携

• Git MCP Server: ローカルリポジトリの履歴取得、コミットメッセージ生成、ブランチ操作を可能にします。
• PostgreSQL / MySQL MCP: データベースのスキーマ情報を読み取り、自然言語によるクエリ実行（Read-only推奨）を可能にします。
• Docker MCP: コンテナの状態確認、ログのストリーミング、コンテナの再起動などを指示できます。

【ドキュメント・検索】Google Drive、Notion、Slack 連携

• Google Drive / Docs MCP: 権限を付与したフォルダ内の文書をClaudeが読み取り、ナレッジとして活用します。
• Slack MCP: 特定チャンネルの投稿を要約したり、メッセージを送信したりできます。
• Notion MCP: ページの内容取得や追記が可能です。

【ブラウジング・解析】Puppeteer、Sequential Thinking

• Puppeteer MCP: Claudeが実際にブラウザを操作し、最新のWeb情報をスクレイピングしたり、スクリーンショットを撮って視覚的に解析したりします。
• Sequential Thinking: 複雑な問題を解決するために、AIが自身の思考プロセスを整理・分岐させるためのツールです。

主要 MCP サーバ OSS の機能比較表

※詳細は MCP公式サイト のドキュメントを参照してください。

セキュリティ観点での OSS 選定とフォーク判断基準

オープンソースのMCPサーバは、誰でも作成し公開できるため、意図的なバックドアや、開発者の不注意による脆弱性が含まれている可能性があります。特にClaudeがツールとして実行する場合、AI自身はコードの「挙動」を理解しようとしますが、その背後で動くOSSバイナリの「悪意」までは検知できません。

なぜ「そのまま使う」のが危険な場合があるのか

多くのMCPサーバは npx や pip install 経由で直接実行するよう案内されています。しかし、これは実行のたびにリモートからコードを取得することを意味し、依存パッケージが乗っ取られた場合に防ぐ手段がありません。

サプライチェーン攻撃を防ぐ 5 つのチェック項目

1. 依存関係の透明性: package.json や requirements.txt に、不審な、あるいはメンテナンスされていないパッケージが含まれていないか。
2. バイナリ実行の有無: ソースコードが公開されていても、実行時に外部からバイナリをダウンロードする挙動がないか。
3. 権限の過不足: 例えば、ファイル読み取り専用で十分なツールに、書き込み権限（fs.writeFile 等）が含まれていないか。
4. 通信先のハードコード: プロキシを介さず、開発者のサーバーや未知のドメインへ情報を送信するコードが含まれていないか。
5. 更新頻度とコミュニティ: Anthropic公式、または信頼できる企業・組織によってメンテナンスされているか。

フォークを推奨するケースと回避すべきケース

以下の条件に当てはまる場合は、OSSをそのまま使わず、自社リポジトリにフォーク（内部化）することを強く推奨します。

• 書き込み権限を伴う場合: ファイル操作、DB更新、クラウドインフラ操作を行うツール。
• 機密情報を扱う場合: 顧客データやソースコードをコンテキストとしてAIに渡す際の橋渡しとなるツール。
• カスタマイズが必要な場合: 特定のディレクトリ以外へのアクセスをコードレベルで制限したい場合。

逆に、公開されている静的情報の検索ツールや、サンドボックス内で完結する計算ツールなどは、upstream（本家）を追従するコストを考慮し、そのまま利用する判断もあり得ます。
SaaSコストとオンプレ負債を断つ。バックオフィス＆インフラの「標的」と現実的剥がし方の文脈でも語られる通り、自社で保守すべき資産と、外部に委ねる資産の境界を明確にすることが重要です。

Claude Desktop への OSS 導入ステップとセキュアな設定方法

実際にMCPサーバ（OSS）を導入する際の手順と、セキュリティを確保するための設定例を解説します。

MCP サーバのインストールと Config 記述

Claude Desktopの設定ファイルは通常以下のパスに存在します。

• macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
• Windows: %APPDATA%\Claude\claude_desktop_config.json

例えば、公式の filesystem MCPを導入する場合の設定例は以下の通りです。

{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": [
"-y",
"@modelcontextprotocol/server-filesystem",
"/Users/username/project/safe_zone"
]
}
}
}

注意点: args の最後で指定するパスは、必要最小限のディレクトリに絞ってください。/Users/username 全体を許可すると、SSHキーやブラウザのCookie情報までAIの参照範囲に入ってしまいます。

環境変数の安全な管理

GitHub連携など、APIキーが必要なMCPサーバの場合、Configファイルに直接キーを書き込むのは避けましょう。OSレベルの環境変数として定義するか、あるいは信頼できるパスに置いた .env ファイルを読み込むラッパースクリプトを介して起動するのが安全です。

エラー発生時のデバッグ手順とログ確認

MCPサーバが正しく起動しない場合、Claude DesktopのUI上では「ツールが消える」だけのことが多く、原因特定が困難です。その場合は、以下のログファイルを確認してください。

• ~/Library/Logs/Claude/mcp.log (macOS)

「Command not found」や「EACCES (Permission denied)」といったエラーが出ている場合、Node.jsのパスが通っていないか、実行権限が不足していることが主な原因です。

フォーク後の運用管理とガバナンス

OSSをフォークして自社管理下に置いた場合、その後のメンテナンスが課題となります。
Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DX完全ガイドで触れているような現場主導の改善も重要ですが、インフラに近いMCPサーバについては情シスやテックリードによる統制が必要です。

Upstream の更新を追従するパイプラインの構築

GitHub ActionsなどのCIツールを利用し、本家のリポジトリに更新があった際に自動で通知を受け取る、あるいはステージング用のブランチにプルリクエストを出す構成を整えます。特にセキュリティパッチの適用は最優先事項です。

権限を最小化するためのコード修正例

フォークした最大のメリットは、コードを改変できる点にあります。例えば、server-filesystem において、特定の拡張子（.env, .pem, .key等）を持つファイルをAIが読み取ろうとした場合に、強制的にエラーを返すバリデーション層をコード内に挿入することが可能です。

社内共有 MCP サーバのホスティング検討

各社員が個別にMCPサーバをインストールするのではなく、社内ネットワーク内に「MCP Proxy」を立てる構成も検討に値します。クライアント（Claude Desktop）からのリクエストを一度Proxyで受け、承認された操作のみを実際のMCPサーバへ中継することで、ガバナンスを強化できます。

まとめ：AI 時代における OSS 活用のリスクとベネフィット

Claude DesktopやClaude Codeは、OSSとの連携によって初めてその真価を発揮します。しかし、AIが「手足」を持つということは、その手足が制御不能になった際の影響も大きくなることを意味します。

実務においては、以下の3点を徹底してください。

1. 最小権限の原則: AIに与えるパス、DBのロール、APIのスコープを最小限に絞る。
2. 動的な監視: npx による直接実行を避け、固定されたバージョンのソースコードを使用する。
3. フォークの活用: 重要なツールは自社リポジトリで管理し、セキュリティバリデーションを独自に追加する。

これらを適切に運用することで、セキュリティリスクを抑えつつ、AIによる圧倒的な生産性向上を享受することが可能になります。最新の仕様や具体的な実装例については、随時更新される Anthropic公式ドキュメント を併せて参照してください。