MCP エコシステム: Intelligence Brief
本稿は
ai-coding-agents-landscape.mdの MCP セクション(§3「MCP エコシステムの確立」)を深掘りする位置付けである。同ファイルでは SDK ダウンロード数・AAIF 寄贈・サーバー数など表面的指標にとどまっていた内容を、仕様変遷・セキュリティ・A2A 連携・レジストリ・実践統合パターンまで展開する。
Key Judgments
MCP は事実上のユニバーサルスタンダードとして確立した (High Confidence) — 月間 9,700 万超の SDK ダウンロード、10,000+ のアクティブサーバー、主要クラウドベンダー全社の参加、AAIF への寄贈による中立的ガバナンスの確保。プロトコル自体の地位は確定しており、残る課題は品質・セキュリティ・ガバナンスの成熟度にある。
MCP エコシステムのセキュリティは構造的に脆弱であり、短期での改善は見込めない (High Confidence) — OAuth 採用率わずか 8.5%、82% の実装がパストラバーサル脆弱、53% が静的シークレットに依存(Astrix Security 調査)。OWASP MCP Top 10 が体系化され CVE も実証済みだが、エコシステム全体の底上げには 2026-06 仕様の DPoP 拡張以降もなお時間を要する。
MCP と A2A は統合ではなく補完関係で安定する (Medium-High Confidence) — MCP が「エージェント↔ツール」、A2A が「エージェント↔エージェント」の棲み分けが確立。両者とも Linux Foundation 傘下。統合は非現実的だが、ディスカバリ層(Server Card / Agent Card)の共通化は進む可能性がある。
MCP ベースのコンテキスト提供は、コーディングエージェントの品質を根本的に変える (Medium Confidence) — Augment Code Context Engine MCP の 300 Elasticsearch PR 評価で correctness が 5 倍改善、総合 30-80% の品質向上。ただし単一ベンダーのベンチマークであり、独立検証はまだない。
公式レジストリが npm/PyPI 的な中心的役割を担い、レジストリの分断は段階的に収束する (Medium Confidence) — 2025-09 に公式レジストリがプレビューローンチ、2025-10 に API 安定性フリーズ。Smithery(937+ リポジトリ)はホスティング+付加価値で差別化する方向だが、公式レジストリの求心力が強まっている。
Developments
1. MCP 仕様の変遷
1.1 リリースタイムライン
| バージョン | リリース日 | 主要変更 |
|---|---|---|
| 2024-11-05 | 2024-11-25 | 初期リリース。JSON-RPC 2.0、stdio / HTTP+SSE トランスポート、Tools・Resources・Prompts・Sampling・Logging |
| 2025-03-26 | 2025-03-26 | Streamable HTTP が HTTP+SSE を置換。OAuth 2.1 ベース認可フレームワーク導入。セッション管理(Mcp-Session-Id)追加 |
| 2025-06-18 | 2025-06-18 | Elicitation(サーバー→ユーザーへの構造化質問)、構造化出力(structuredContent + outputSchema)、OAuth Resource Indicators (RFC 8707)、JSON-RPC バッチング廃止、セキュリティベストプラクティス文書化 |
| 2025-11-25 | 2025-11-25 | 非同期操作、ステートレス設計、サーバーアイデンティティ、公式レジストリ統合。MCP 1 周年記念リリース |
| 次期(予定) | 2026-06(暫定) | Transport WG の stateless protocol 提案、DPoP 認証拡張、Server Cards(ディスカバリ)、MCP Extensions フレームワーク |
出典: MCP Specification Changelog, One Year of MCP Blog (2025-11-25), MCP Blog - Transport Future (2025-12-19), January Core Maintainer Update (2026-01-22)
1.2 Streamable HTTP への移行
2025-03-26 で HTTP+SSE(2 エンドポイント方式: /sse + POST)が deprecated となり、単一エンドポイント /mcp の Streamable HTTP に統一された。
変更の本質:
- 旧: クライアントが SSE エンドポイントで永続接続を確立 → サーバーがイベントをプッシュ。POST で別途リクエスト送信
- 新: 単一の HTTP POST/GET エンドポイント。サーバーは必要に応じて SSE ストリーミングをオプションで使用可能
移行の利点:
- 接続管理の簡素化(2 エンドポイント → 1 エンドポイント)
- ファイアウォール・プロキシとの互換性向上(標準 HTTP POST)
- セキュリティ面: SSE の永続接続に伴う攻撃面の縮小
後方互換性: サーバーが旧クライアントをサポートする場合は、旧 SSE/POST エンドポイントと新 /mcp エンドポイントを並行運用することが推奨されている。
TypeScript SDK v1.10.0 (2025-04-17) が最初に Streamable HTTP をサポート。
出典: Auth0 - Why MCP Moved Away from SSE, Cloudflare - MCP Transport, fka.dev - Why MCP Deprecated SSE
1.3 Elicitation と構造化出力(2025-06-18)
Elicitation: サーバーがツール実行中にクライアント(ユーザー)へ情報を要求する仕組み。elicitation/create リクエストでメッセージと JSON Schema を送信し、ユーザーの回答を待つ。これにより、パラメータ不足時の多段階対話が可能になった。
構造化出力: ツール結果を structuredContent フィールドで JSON オブジェクトとして返却。outputSchema でバリデーション可能。後方互換のため TextContent ブロックにもシリアライズ済み JSON を含める。
セキュリティ強化: OAuth Resource Indicators (RFC 8707) の実装を義務化。悪意あるサーバーがアクセストークンを不正取得するベクタを遮断。
出典: Cisco Blogs - What’s New in MCP, Forge Code - MCP 2025-06-18
1.4 次期仕様に向けた SEP プロセス
MCP は Spec Enhancement Proposal (SEP) プロセスで仕様変更を管理。seps/ ディレクトリに PR で提出し、コアメンテナがレビュー。
2026-01 時点のアクティブ SEP:
- DPoP 拡張: 認証トークンの Proof-of-Possession(推測: mTLS の代替として軽量な DPoP を採用)
- Multi-turn SSE: Transport WG 主導。ストリーミングの柔軟性向上
- Server Cards: ディスカバリ機構。A2A の Agent Card に類似するサーバーメタデータ記述
- SEP-1502 Extensions Framework: MCP 拡張仕様のディレクトリ構造と標準化
- SEP-1865 MCP Apps: MCP サーバーがインタラクティブ UI を提供する仕組み
コアメンテナ体制 (2026-01): Inna Harper・Basil Hosmer が退任。新任に Peter Alexander (Anthropic)、Caitie McCaffrey (Microsoft)、Kurtis Van Gent (Google Cloud)。マルチベンダーガバナンスが実体化。
出典: SEP Guidelines, January Core Maintainer Update (2026-01-22), GitHub SEP-1502, GitHub SEP-1865
2. ガバナンスと AAIF
2.1 Agentic AI Foundation(AAIF)
2025-12-09、Linux Foundation 傘下に Agentic AI Foundation (AAIF) が設立。エージェンティック AI のオープンスタンダード策定を目的とする。
組織構造:
- Governing Board: 戦略投資・予算配分・新プロジェクト承認を担当
- 個別プロジェクト: 技術的方向性の完全な自律権を保持(MCP は MCP コアメンテナが引き続き管轄)
- プラチナメンバー: AWS、Anthropic、Block、Bloomberg、Cloudflare、Google、Microsoft、OpenAI
3 つの創設プロジェクト:
| プロジェクト | 提供元 | 概要 |
|---|---|---|
| MCP | Anthropic | AI モデルとツール・データ・アプリケーションを接続するユニバーサルプロトコル |
| goose | Block | ローカルファースト AI エージェントフレームワーク。MCP ベースの拡張可能ツール統合 |
| AGENTS.md | OpenAI | AI コーディングエージェントにリポジトリ固有のガイダンスを提供する標準ファイル |
意義: 競合する Anthropic・OpenAI・Google が同一ファウンデーションに参加したことで、プロトコルの「中立性」が担保された。ベンダーロックインへの懸念が大幅に緩和。
出典: Linux Foundation Press Release (2025-12-09), OpenAI - AAIF (2025-12-09), Anthropic - Donating MCP (2025-12-09), TechCrunch (2025-12-09)
3. A2A Protocol との連携
3.1 MCP と A2A の棲み分け
| 観点 | MCP | A2A |
|---|---|---|
| スコープ | エージェント ↔ ツール/データ | エージェント ↔ エージェント |
| 通信パターン | クライアント-サーバー(エージェントがクライアント) | ピアツーピア(エージェント間) |
| ディスカバリ | Server Cards(SEP 進行中) | Agent Card(.well-known/agent.json) |
| トランスポート | Streamable HTTP / stdio | JSON-RPC / gRPC(v0.3〜) |
| ガバナンス | AAIF(Linux Foundation) | Linux Foundation(Google が寄贈) |
| サポーター数 | 全主要クラウド + MCP コミュニティ | 150+ 組織 |
設計思想: MCP が「エージェントが外界と対話する方法」を標準化するのに対し、A2A は「エージェント同士が協調する方法」を標準化する。両者は補完関係にあり、多くのシステムが両方を使用する。
3.2 A2A v0.3 の主要変更
A2A v0.3 (2026) は安定した API インターフェースの提供を目指した重要リリース:
- gRPC サポート追加: JSON-RPC に加えて Protocol Buffers ベースの gRPC トランスポート。server streaming RPC によるストリーミング操作対応
- Agent Card の拡充:
preferredTransport/additionalInterfacesで対応トランスポートを宣言。capabilities フィールドでエージェント能力を構造化記述 - セキュリティカード署名: Agent Card に暗号署名を付与し、改竄検知を可能に
- 3 層アーキテクチャ: Layer 1(基本メッセージング)、Layer 2(抽象的な能力・振る舞い)、Layer 3(プロトコルバインディング: JSON-RPC / gRPC / HTTP REST)
出典: A2A Protocol Spec, Google Cloud Blog - A2A Upgrade, IBM - A2A, Koyeb - A2A and MCP
3.3 MCP + A2A の統合パターン(推測含む)
現時点で両プロトコルの統合は初期段階だが、以下のパターンが想定される:
- Gateway パターン: A2A でエージェント間を接続し、各エージェントが MCP で専用ツール群にアクセス
- Hierarchical パターン: オーケストレータエージェントが A2A でサブエージェントに指示、サブエージェントが MCP でツール実行
- Hybrid Discovery: A2A Agent Card と MCP Server Card を組み合わせ、エージェント・ツール両方のディスカバリを統一
※ 統合パターンは実装事例が限定的であり、上記は仕様からの推測を含む。
4. レジストリエコシステム
4.1 公式 MCP Registry
2025-09-08 にプレビューローンチ。registry.modelcontextprotocol.io で公開。
特徴:
- MCP サーバーの「App Store」的な位置付け
- REST API 提供:
GET /v0.1/servers?search=<query>でサーバー検索 - JSON メタデータでサーバー情報を構造化記述
- コミュニティ主導のモデレーション(ガイドライン違反サーバーの denylist 化)
- 2025-10 に API 安定性フリーズ: 開発者が安心して統合可能
出典: MCP Registry Preview Blog (2025-09-08), Registry API Docs, Nordic APIs - MCP Registry API
4.2 Smithery
最大のサードパーティ MCP マーケットプレイス。MCP サーバーのディスカバリ・インストール・管理を提供。
デプロイモデル:
- Hosted/Remote: Smithery インフラ上にデプロイ。ツール呼び出し回数等の利用メトリクスを記録
- Local: Smithery CLI でローカルマシンにインストール・実行
GitHub 組織: 937+ リポジトリ(2026-02 時点)。事実上のデフォルトレジストリとして機能してきたが、公式レジストリの登場により位置付けが変化しつつある。
出典: Smithery.ai, Smithery Docs, WorkOS - Smithery AI
4.3 その他のレジストリ・ディレクトリ
| 名称 | 種別 | 特徴 |
|---|---|---|
| MCP Market (mcpmarket.com) | エンタープライズ商用 | 有料サーバー、SLA 付き |
| Composio | 統合プラットフォーム | 250+ 統合、マネージド認証 |
| Glama | ディレクトリ | コミュニティキュレーション |
| mcp-get | パッケージマネージャ | npm ライクな CLI インストール |
出典: Composio - Smithery Alternatives, Medium - 17+ MCP Registries
5. セキュリティ
5.1 OWASP MCP Top 10
OWASP が MCP 固有のセキュリティリスクを体系化。エージェンティック AI のセキュリティフレームワークとして注目。
| # | リスク名 | 概要 |
|---|---|---|
| 1 | Tool Poisoning | ツールのメタデータ・説明文に悪意ある指示を注入。LLM がツール説明を信頼する性質を悪用 |
| 2 | Rug Pull | 初期は正常動作し、信頼獲得後に悪意ある挙動に変更 |
| 3 | Server Spoofing | 正規サーバーを偽装し、トラフィックを傍受 |
| 4 | Tool Shadowing | 偽のツールを挿入し、正規ツールの呼び出しを横取り |
| 5 | Prompt Injection | ツール出力経由でモデルの振る舞いを操作 |
| 6-10 | (その他) | コンテキストスプーフィング、メモリ参照攻撃、隠蔽チャネル等 |
出典: OWASP MCP Top 10, Adversa AI - Top 25 MCP Vulnerabilities
5.2 実証済み CVE と攻撃事例
| CVE / 事例 | 対象 | 影響 | 時期 |
|---|---|---|---|
| CVE-2025-6514 | mcp-remote(437K DL) | OAuth メタデータ経由の OS コマンドインジェクション → RCE | 2025 中期 |
| CVE-2025-68143/68144/68145 | Anthropic Git MCP Server | パス検証バイパス・引数インジェクション → RCE | 2025 |
| CVE-2025-54136 (MCPoison) | Cursor | MCP 経由の永続的 RCE。v1.3 (2025-07) で修正 | 2025-07 |
| Supabase Cursor 事例 | Supabase + Cursor | サポートチケットに SQL インジェクションを埋め込み、統合トークンを窃取 | 2025 中期 |
| Invariant Labs PoC | Claude Desktop / Cursor | SSH 鍵・設定ファイルの窃取に成功 | 2025 |
5.3 防御策
- mcp-scan (Invariant Labs): Tool Pinning(ツール説明のハッシュ化 → 変更検知)で Rug Pull を検出
- RFC 8707 Resource Indicators: OAuth トークンの不正利用を防止(2025-06-18 で義務化)
- サンドボックス実行: MCP サーバーのファイルシステム・ネットワークアクセスを制限
- 最小権限原則: ツールごとにスコープを明示的に定義
統計(Astrix Security, 2025): MCP 実装 2,614 件の分析で、82% がパストラバーサル脆弱なファイルシステム操作、67% がコードインジェクション関連の API、34% がコマンドインジェクション関連の API を使用。53% が長寿命の静的シークレット(API キー等)に依存し、OAuth 採用はわずか 8.5%。
出典: AuthZed - MCP Breach Timeline, Dark Reading - Microsoft & Anthropic MCP Servers, Practical DevSecOps, Astrix Security, Elastic Security Labs
6. 実践統合パターン
6.1 コーディングエージェントの MCP 実装比較
| ツール | MCP の位置付け | 特徴 |
|---|---|---|
| Claude Code | 基盤(foundational) | サブエージェントごとの MCP 設定、ツール検索機能、プラグインバンドル型サーバー |
| Cursor | プラグインシステム | 40 ツール上限、キュレーション済みリストからのワンクリックセットアップ |
| GitHub Copilot | 拡張機能 | VS Code 統合、MCP Registry からのサーバーインストール |
| Xcode 26.3 | エージェントプラグイン基盤 | Claude Agent SDK / OpenAI Codex を MCP 経由で接続。Apple 初のエージェンティック AI 対応 |
| Gemini CLI | 完全対応 | Apache 2.0、GEMINI.md カスタマイズ |
出典: amitkoth.com - Claude Code vs Cursor Enterprise, Apple Newsroom - Xcode 26.3 (2026-02-03), GitHub Docs - MCP in Copilot
6.2 Augment Code Context Engine MCP
Augment Code (2026-02-06) が Context Engine を MCP 経由で公開した事例は、MCP が「モデル非依存のコンテキスト層」として機能する先例。
仕組み:
- セマンティック検索: キーワード検索ではなく、依存関係・アーキテクチャパターン・コード間の関係性を理解
- 精密なコンテキスト選択: タスクに関連する情報のみをサーフェス
- MCP 経由のユニバーサル統合: Cursor・Claude Code・Zed・Kilo Code・Roo Code 等
ベンチマーク結果(Augment Code, 2026-02):
- 評価方法: 300 Elasticsearch PR × 3 プロンプト = 900 試行
- 評価軸: correctness, completeness, best practices, code reuse, unsolicited documentation
- Cursor + Opus 4.5: 総合 71% 改善。completeness +60%、correctness 5 倍
- 全エージェント平均: 30-80% 品質改善、トークンコスト削減、完了時間短縮
- MCP 有効時はツール呼び出し回数・会話ターン数が一貫して減少
実績: ある企業顧客が 4-8 ヶ月見積もりのプロジェクトを 2 週間で完了(推測: Context Engine による大規模コードベースの理解力向上が主因)。
出典: Augment Code Blog - Context Engine MCP (2026-02-06), SiliconAngle (2026-02-06), Augment Code Product
6.3 エンタープライズ統合パターン
パターン 1: ツールチェーン統合 MCP サーバーを介して既存の開発ツールチェーン(Jira、GitHub、Slack、CI/CD)をエージェントに接続。Atlassian が remote MCP server を構築し、AI がイシュートラッカーを直接読み取る事例。
パターン 2: セキュリティ・コンプライアンス層 SOC 2 Type 2、GDPR、SOX が AI エージェント操作の監査ログ・データアクセス制御・追跡可能性を義務化。MCP 上にアクセス制御プロキシを設置するパターン。
パターン 3: クラウドネイティブデプロイ
- Azure Functions MCP (Microsoft, 2026-01): Azure Functions を MCP サーバーとしてデプロイ
- Cloudflare Agents: Cloudflare Workers 上で MCP サーバーを運用。Streamable HTTP ネイティブ対応
- Solo.io AgentGateway: MCP トラフィックのゲートウェイ。認証・レート制限・監視を一元化
出典: InfoQ - Azure Functions MCP (2026-01), Microsoft Developer Blog - Connect Once, Solo.io - AAIF
7. 採用シグナルと市場動向
7.1 定量指標
| 指標 | 値 | 時期 | 出典 |
|---|---|---|---|
| SDK 月間ダウンロード(Python + TS) | 9,700 万+ | 2026-01 | Pento (2025-12) |
| PyPI 月間ダウンロード | 7,690 万 | 2026-02 | PyPI Stats |
| アクティブ MCP サーバー | 10,000+ | 2026-01 | 各種推計 |
| MCP クライアント | 300+ | 2025 末 | Pento (2025-12) |
| AAIF プラチナメンバー | 8 社 | 2025-12 | Linux Foundation |
| A2A サポート組織 | 150+ | 2026 | Google Cloud Blog |
7.2 Anthropic 2026 Agentic Coding Trends Report
Anthropic (2026-01-21) が発表した調査レポートの主要知見:
AI 利用の実態:
- 開発者は業務の 60% で AI を統合
- 完全委任(“fully delegate”)は 0-20% にとどまる
- 80-100% のタスクで人間がアクティブに監視
タスクスコープの急速な拡大:
- 6 ヶ月前: コード設計/計画への AI 利用 1% → 現在 10%
- 6 ヶ月前: 新機能実装 14% → 現在 37%
- マルチステップエージェントワークフロー: 57% の組織がデプロイ
8 つのトレンド(3 カテゴリ):
- Foundation Trends: エンジニアの役割がコード記述からエージェント協調へシフト
- Capability Trends: マルチエージェント連携の標準化、タスクの自律性拡大
- Impact Trends: セキュリティファーストアーキテクチャの必要性、非エンジニア職種への拡張
@toms_dome (2026-02-12) の言及への検証: X での引用「60% of work uses AI, 0-20% fully delegated」は Anthropic レポートの数値と一致。レポート原文(PDF)で確認済み。ただし「0-20% fully delegated」は自己申告ベースであり、実際の委任度合いの測定方法は開示されていない点に留意。
出典: Anthropic - Eight Trends (2026-01-21), Anthropic PDF Report (2026-01-21), SemiAnalysis - Claude Code is the Inflection Point
7.3 AI コーディングエージェント市場
- AI コードツール市場: 2025 年 $11.28B、2026 年 $34.58B、2032 年 $91.3B 予測(CAGR 17.5%) — Grand View Research (2026-01)
- GitHub Copilot がシェア 42%、Cursor が 18%(18 ヶ月で獲得)
- 91% のエンジニアリング組織が少なくとも 1 つの AI コーディングツールを採用 — Anthropic (2026-01-21)
出典: Grand View Research (2026-01), DigitalOcean - Copilot vs Cursor
8. ロードマップ
8.1 MCP 次期仕様(2026-06 暫定)
2025-12-19 のブログ投稿で、次期仕様リリースが 2026 年 6 月に暫定設定されていることが公表された。Q1 2026 で SEP をファイナライズする計画。
設計ビジョン: エージェンティックアプリケーションはステートフルだが、プロトコル自体はステートレス。ステートレスプロトコルがスケーラビリティを実現しつつ、アプリケーションレベルのステートフルセッションをサポートする。
8.2 マルチモーダル対応
動画・音声・その他のメディアタイプがファーストクラスサポートの対象。ストリーミング・チャンク化(大規模データセット・リアルタイム対話向け)、双方向通信、大規模ファイル転送の効率化が計画されている。
8.3 多言語 SDK 展開
現在の Python・TypeScript に加えて、Java・Go・C# 等のリファレンス実装が予定。Microsoft の C# SDK は既に 2025-06-18 仕様をサポート。
Open Questions
| 問い | 現状 | 展望 |
|---|---|---|
| MCP と A2A は統合されるか? | 補完関係。共に Linux Foundation 傘下 | 統合は非現実的。ただしディスカバリ層(Server Card / Agent Card)の共通化はあり得る |
| レジストリの分断は解消されるか? | 公式レジストリ + Smithery + 多数のディレクトリ | 公式レジストリが npm/PyPI 的な中心的役割を担う方向。Smithery はホスティング+付加価値で差別化か |
| セキュリティは十分か? | OWASP Top 10 が体系化されたが、OAuth 採用率 8.5% | 2026-06 仕様で DPoP 等の強化が見込まれるが、エコシステム全体の底上げには時間を要する |
| MCP は真のユニバーサルスタンダードになるか? | 主要プレイヤー全員が参加。97M+ DL | プロトコル自体は確立済み。問題は品質・セキュリティ・ガバナンスの成熟度 |
Sources
MCP 仕様・公式
- MCP Specification 2025-03-26 Changelog
- MCP Specification 2025-06-18 Tools
- MCP Blog - One Year of MCP (2025-11-25)
- MCP Blog - Transport Future (2025-12-19)
- MCP Blog - January Core Maintainer Update (2026-01-22)
- MCP Blog - Registry Preview (2025-09-08)
- MCP SEP Guidelines
- MCP Registry API Docs
AAIF・ガバナンス
- Linux Foundation - AAIF Formation (2025-12-09)
- OpenAI - AAIF Co-founding (2025-12-09)
- Anthropic - Donating MCP (2025-12-09)
- Block - AAIF Launch (2025-12-09)
- TechCrunch - AAIF (2025-12-09)
A2A Protocol
- Google Developers Blog - A2A Announcement
- A2A Protocol Specification
- Google Cloud Blog - A2A v0.3 Upgrade
- IBM - What Is A2A
- Koyeb - A2A and MCP
- Gravitee - A2A vs MCP
セキュリティ
- OWASP MCP Top 10
- Adversa AI - Top 25 MCP Vulnerabilities
- AuthZed - MCP Breach Timeline
- Astrix Security - State of MCP Server Security 2025
- Practical DevSecOps - MCP Security
- VentureBeat - Clawdbot
- Dark Reading - MS & Anthropic MCP Vulnerabilities
- Elastic Security Labs - MCP Attack Vectors
- Auth0 - MCP Streamable HTTP Security
- MCP Playground - OWASP Top 10
レジストリ
Augment Code
- Augment Code Blog - Context Engine MCP (2026-02-06)
- Augment Code - Context Engine Product
- SiliconAngle - Augment Code MCP (2026-02-06)
- Augment Code Docs - MCP Overview
Anthropic Agentic Coding Report
- Anthropic - Eight Trends 2026 (2026-01-21)
- Anthropic PDF Report (2026-01-21)
- SemiAnalysis - Claude Code is the Inflection Point
市場・エコシステム
- Grand View Research - AI Code Tools Market (2026-01)
- Pento - A Year of MCP
- PyPI Stats - MCP
- InfoQ - Azure Functions MCP (2026-01)
- Solo.io - AgentGateway