株式会社Authlete（オースリート、本社：東京都千代田区、代表取締役：川崎貴彦、以下Authlete）は、OAuth・OpenID Connect（OIDC）バックエンドサービス「Authlete 3.0」において、Model Context Protocol（MCP）の最新仕様に採用されたOAuth Client ID Metadata Document（CIMD）への対応をはじめ、MCP対応認可サーバーの実運用におけるセキュリティ強化と開発効率化を実現する新機能の提供を開始した。

MCPは、AIアプリケーションが外部システムのデータや機能に安全に接続するためのオープンソース標準で、Anthropicが2024年に提唱。Amazon Web Services、Google、Microsoft、OpenAIなど大手ITベンダーに採用が広がり、2025年11月には最新版が公開されている。

MCPサーバーをインターネット上に公開する事業者は、AIエージェントなどのMCPクライアントに対して適切なアクセス権限を付与するため、OAuthに準拠した認可サーバーの構築が求められる。Authleteは、MCPが採用するOAuth仕様に対応し、SaaSベンダーや医療・金融・法務分野の事業者、小売・Eコマース企業、公的機関などが、MCPサービス基盤にセキュアな認可機能を効率的に実装できる環境を提供する。

今回対応したCIMDは、認可サーバーがクライアントIDとして指定されたURLからクライアントメタデータを取得する仕組みで、事前登録を不要とする点が特長だ。動的なクライアント連携を前提とするMCPにおいて、有効な仕組みとされている。

AuthleteはCIMD対応APIの提供に加え、実運用を見据えた独自のセキュリティ機能を実装した。具体的には、事前に登録したドメインやURLのみをクライアントIDとして受け入れる「許可リスト」機能や、取得したクライアントメタデータにセキュリティ要件を適用・調整する「メタデータポリシー」により、意図しないクライアントの登録を防止する。

また、開発効率化を支援する機能として、クライアントメタデータのキャッシュ無効化設定や、開発環境での利用を想定したHTTPスキームの許可設定も提供。これにより、MCP対応認可サーバーの迅速な構築と検証が可能となる。

Authleteは、OAuthプロトコル処理とトークン管理をWeb APIとして提供するヘッドレスなサービスであり、MCPサービスの要件に応じて柔軟な認可サーバー構成を実現できる点も強みだ。OAuth仕様の進化への追随をAuthlete側で担うことで、事業者の運用負荷軽減にもつながるとしている。

同社は、CIMDを含むMCP対応認可サーバー構築を無償で試せる環境を提供するほか、2026年2月18日にはMCP最新仕様に対応した認可サーバー構築をテーマとしたハンズオンイベントも開催予定だ。

引用元記事：https://news.nicovideo.jp/watch/nw18867044?news_ref=top_newComments