セキュリティーに関する考慮事項

データベース・ツールMCPサーバーの安全な使用を確保するには、次のベスト・プラクティスに従います。

ネットワーク・セキュリティ

• MCPサーバーエンドポイントにはHTTPS経由でのみアクセスします。
• MCPクライアントがMCPサーバーおよびIAM OAuthエンドポイントに安全にアクセスできることを確認します。
• プライベート・データベースを使用する場合は、ネットワーク・セキュリティ・グループおよびプライベート・エンドポイントを構成して、信頼できるソースへのアクセスを制限します。

資格証明およびシークレット管理

• パスワードベースの認証を使用する場合は、OCI Vaultを使用してデータベース資格証明を安全に格納します。
• 長期間の資格証明の管理を回避するには、可能な場合はリソース・プリンシパルまたはトークンベースの認証を使用します。
• クライアント構成またはコードに資格証明を直接埋め込まないでください。

トークンおよびセッション管理

• 短期間のOAuthアクセス・トークンを使用して、エクスポージャ・リスクを低減します。
• 使用パターンに基づいて、適切なトークンの有効期限を構成します。
• トークンの有効期限が切れるか無効になったときに、ユーザーを再認証します。

最小権限によるアクセス権

• ユーザーの職責に基づいてIAMアプリケーション・ロール(MCP_User、MCP_Operatorなど)を割り当てます。
• ロールベースの制御を使用して、MCPツールセットおよびSQLレポートへのアクセスを制限します。
• データベース・ユーザー権限を、ツールに必要な操作のみに制限します。

ツールとSQLの実行

• 無制限のアドホックSQL実行よりも、事前定義およびパラメータ化されたSQL (カスタム・ツールおよびSQLレポート)を優先します。
• MCPツールセットで使用されるSQLおよびPL/SQLスクリプトを検証および確認して、意図しないデータ・アクセスまたは変更を防止します。
• ツールの説明とパラメータを明確に定義し、MCPクライアントとLLMによる正しい使用をガイドします。