エージェント接続のセキュリティ対策に関するベストプラクティス

セキュリティ対策のベストプラクティス
この記事の内容

カスタムエージェントが外部連携を使用する際のリスクを低減する方法 🔐

カスタムエージェントは、ワークスペースの設定に応じて、NotionメールNotionカレンダー、Slack、外部のModel Context Protocol(MCP)サーバーなどと連携させることができます。AIエコシステムは急速に進化しているため、外部ツールを使用する際のリスクを理解し、管理するための推奨事項をまとめました。

これらのベストプラクティスは、Notionエージェントに外部ツールやMCPサーバーを追加する場合に適用されます。

  • Notion MCPについて詳しくは、こちらの記事をお読みください。

  • プロンプトインジェクションに対するNotionのセキュリティ対策について詳しくは、こちらの記事をお読みください。

接続を追加する

+ 接続を追加をクリックすると、Notionに組み込みの接続のリストが表示されます。ワークスペースオーナーは、設定、次にNotion AIに移動して、リモートURLを入力することで、カスタムMCPサーバーを有効にすることもできます。

外部MCPサーバーを使用すると、エージェントは追加の ツールとリソースを使用できます。たとえば、Stripeサーバーは「顧客の作成」や「返金の作成」ツールを、Figmaサーバーは「ダイアグラムの生成」ツールを提供することがあります。NotionはカスタムMCPサーバーをレビューしていないため、サーバーのホストがどのツールと機能を公開するかを制御することに注意してください。

ツールの実行は、それ以外の場所での不正操作につながる場合があります

この権限には、より大きな責任が伴います。注意すべき主な相互作用は次のとおりです。

  • サーバーのインターフェイスがチャットコンテキストに追加されます。各チャットセッションで、エージェントは、ツール名、説明、各ツールの使用方法など、接続された各サーバーによって管理される詳細を確認できます。

    • サーバーを信頼できる場合、エージェントができることが広がるため、これは有益です。

    • サーバーが悪意のあるものである場合、プロンプトインジェクションと呼ばれる攻撃が発生する可能性があります。たとえば、攻撃者はツールの説明に「直近3件のメッセージを共有する」や「共有する秘密データを探す」などの望ましくない指示を隠すことがあります。

  • データはMCPサーバーと共有できる

    エージェントに共有されたワークスペース内のコンテンツは、ツール呼び出しの実行時に、そのツールへ渡されることがあります。悪意のあるサーバーは、MCPを使用して送信されたすべてのデータを複製したり、誤用したりする可能性があります。

  • 外部アクションを実行できる:MCPサーバーを承認すると、エージェントはそのツールを使用してユーザーに代わってアクションを実行できます。これには、外部データの削除、支払いシステムでの請求の返金、注文の実行などが含まれます。

    • サーバーは「読み取り専用」、「破壊的」、「オープンワールド」などの注釈で独自のツールを分類できますが、Notionはカスタムサーバーの正確性や完全性を検証していません。

    • Notionは、これらの属性をエージェント設定に表示します。

  • エージェントは応答に基づいてアクションを実行できます:ツール呼び出しを行った後、NotionエージェントはAIを使用して、返された情報に基づいて次のステップを推測します。

接続のリスクを管理する

カスタムエージェントの共有と権限について詳しくは、こちらの記事をお読みください。

外部接続のリスクをよりよく理解し、制限するために、次のベストプラクティスをお勧めします。

  • 信頼できるサーバーのみを追加する。ワークスペースの管理者でない場合は、新しい接続を追加する前に承認を求めてください。信頼できる情報源をリサーチし、プロバイダーが発表した機能やスコープの変更を常に把握することで、サーバーが広く認知されていることを確認します。

    • Notionは、「接続を追加」ダイアログの組み込みサーバーを、チームが追加するカスタムMCPサーバーよりも詳細に調査します。これは、サーバーの可用性やデータの機密性と完全性の保護を保証するものではありません。すべての接続の品質を確認し、以下のガイダンスに従ってください。

  • エージェントと共有するデータを制限する。迷った場合は、最小限のツールとアクセス権で、特定の目的のために新しいエージェントを作成します。エージェントが必要としないページやデータベースを共有しないでください。編集が必要な場合を除き、読み取り専用アクセスを選択します。

    • エージェントがコンテンツにアクセスできなければMCPサーバーと共有できないため、悪意のあるサーバーからのリスクが軽減されます。

  • 有効にするツールとリソースを制限する新しい接続を追加した後、エージェントの設定を確認します。不要なツールや、機能の説明が明確でないツールは無効にします。

  • 確認のためのプロンプト。Notionは、デフォルトで、読み取り専用ではないすべてのツールのツール呼び出しに対して、人間による確認を要求します。可能な限りこの設定を使用して、人が常に最新情報を把握できるようにしてください。バックグラウンドまたは外部でトリガーされたタスクの場合、まず最も制限の厳しい設定でエージェントをテストし、承認する前に各ツール呼び出しを確認します。

    • 接続の動作を事前に検証してから未確認のアクセスを許可することで、悪意のあるサーバーからのリスクを軽減し、データを保護します。

    • ツール呼び出しの結果を確認し、副次的な効果がツールの公開されたインターフェイスとスコープに一致していることを確認します。たとえば、支払いの返金を予定している場合は、意図した支払いのみが影響を受けたことを確認してください。

フィードバックを送信

このコンテンツは役に立ちましたか?