はじめに

生成 AI 、皆さん使っていますか?
AWS であれば Amazon Q Developer、Sysdig であれば Sysdig Sage など、多くの SaaS サービスが自社サービスと連携する生成 AI サービスを提供しています。

これらの AI の課題は、そのサービスの知見に特化しており、複数の SaaS サービスを連携した知見を得ることが難しいということです。

例えば、ユーザー作成支援や、設定支援などであれば、それぞれの AI で十分なことが多いと思います。

しかし、組織として活用する際には別の課題が出てきます。
たとえば、リスク検知後の調査などを考える際には、それぞれの生成 AI だと不十分です。

なぜなら、多くの SaaS サービス内の知見や、社内環境に関する知見を統合した知見が必要となるためです。

今回は、2025年 6月 30日に新しく登場した Sysdig MCP Server についてブログにまとめます。

MCP Server とは

MCP Server が実現しようとしている複数のサービスの AI 連携については、使って覚える Model Context Protocol などのブログを参照してください。

MCP (Model Context Protocol) は、生成 AI 用の拡張機能であり、生成 AI エージェントが必要とする形で、SaaS 内や、自社のデータを渡すことが可能となります。

Sysdig MCP Server は、Sysdig が収集、管理しているデータを MCP Server として公開して、外部 AI エージェントとして連携することが可能です。

MCP Server は大きく HTTP と STDIO (Standard I/O) のインターフェイスを持ちますが、Sysdig MCP Server は Docker で仮想化された STDIO インターフェイスを持ちます。

複数サービスとの統合

生成 AI エージェントは、Sysdig 連携だけが可能となる訳ではありません。

多くの生成 AI エージェントは、Multi Server MCP Client という機能を有します。
これは、複数の MCP Server と連携する MCP Client を簡単に実現するものです。

生成 AI の提供がない SaaS サービスであっても、MCP Server が提供されることも多く、Backlog MCP ServerをClaude Codeから利用する のブログにあるように、課題管理ツールの Backlog も、Backlog MCP Server を提供しています。

これらを通じて、課題管理、脆弱性管理、クラウドと複数の情報を参照する生成 AI エージェントを作成することも可能です。

Sysdig MCP Server

話題を戻して、Sysdig MCP Server について見ていきます。

Sysdig MCP Server は、2025年 7月 10日現在、以下で示す機能を有しています。

  • Events Feed (3 件)
    • list_runtime_events
      • ランタイムセキュリティイベントの一覧を取得
    • get_event_info
      • 特定のセキュリティイベントの詳細を取得
    • get_event_process_tree
      • 特定のセキュリティイベントのプロセスツリーを取得
  • Inventory (2 件)
    • list_resources
      • リソースの一覧を取得
    • get_resource
      • 特定リソースの詳細を取得
  • Vulnerability Management (8 件)
    • list_runtime_vulnerabilities
      • ランタイム脆弱性スキャンの一覧を取得
    • list_accepted_risks
      • リスク保有の一覧を取得
    • get_accepted_risk
      • 特定のリスク保有を取得
    • list_registry_scan_results
      • コンテナレジストリスキャンの一覧取得
    • list_vulnerability_policies
      • 脆弱性ポリシーの一覧取得
    • get_vulnerability_policy_by_id
      • 特定の脆弱性ポリシーを取得
    • list_pipeline_scan_results
      • CI パイプラインスキャンの一覧取得
    • get_scan_result
      • スキャンの詳細取得
  • Sysdig Sage (1 件)
    • sysdig_sysql_sage_query
      • 自然言語を用いてクエリ検索した結果を取得
  • Sysdig CLI scanner (1 件)
    • run_sysdig_cli_scanner
      • Sysdig CLI スキャナを実行して、コンテナイメージや IaC ファイルの脆弱性を分析

Sysdig MCP Server には合計 15 件のツールが実装されており、生成 AI エージェントはこれらのツールを用いて、リスク管理に関する知見を活用した回答をユーザーに返すことが可能となります。

ユースケースの例

たとえば、以下のような活用が考えられます。

アラートドリブンのスキャン

Backlog と連携して、アラートドリブンで調査をすることが可能です。

Sysdig MCP Server には、脆弱性管理や、リソース一覧、CI パイプラインと連携したスキャン結果の取得などのツールが実装されています。

アラート発生時に自動的に関連する脆弱性やリソース情報を集約し、Backlog の課題と関連して調査するなど、管理者は多岐にわたるツールを切り替えることなく、一元的に調査・対応することが可能になります。

管理者は自然言語を利用して、なぜアラートが発生したのか、インサイトを得ることが期待できます。

脆弱性管理

Sysdig はシステムの脆弱性の一覧や、その詳細、リスク保有状況などを管理しています。

これらの情報を活用し、組織状況に応じた脆弱性対応が可能となります。

Backlog 課題でのやり取りや、Sysdig 内での保有状況、Sysdig で検知しているリスクなど、多くの情報を統合したインサイトを管理者に提供してくれることが期待できます。

また、アラートが発生した際には、脆弱性情報なども活用した調査が期待できます。

Sysdig MCP Server の提供する未来

生成 AI が登場する前は、インターネットから知見を得る際に、検索サイトでキーワードを入力し、いろいろなサイトを確認していました。

これが、Gemini などの汎用 AI を活用した検索が行われるように進化してきました。

組織の課題解決にも、汎用 AI の活用が進んできていると考えています。
生成 AI が登場する前は、SaaS サービスが提供するダッシュボードを確認するなど、管理者の能動的な調査が行われてきました。

これらの活動は、組織の汎用 AI と、各種 SaaS サービスの MCP サービスの連携により対応が可能になる未来が来ると考えています。

Sysdig は、CNAPP (Cloud Native Application Protection Platform) として、組織のクラウド活用を包括的にサポートするサービスです。

この機能と連携する汎用 AI は、セキュリティに関する深い知見を得ることができるようになります。

まとめ

Sysdig MCP Server は、アイレット社内でも活用を検討しており、脆弱性管理や調査に関する情報を提供してくれる素晴らしい拡張機能です。

ユーザーは、Sysdig MCP Server と連携する汎用 AI を活用して、AI と対話しながら組織のセキュリティ課題に取り組むことが可能となります。

アイレットは、Sysdig 運用サービス などの Sysdig に関する知見や、生成 AI エージェントに対する深い知見を有しています。
クラウドのセキュリティ管理にお困りの際は、ぜひお声掛けください。