この記事を読むと
- MCPとはAIアプリが外部ツールやデータへ接続するための標準だと理解できます。
- MCPサーバーをNotionに接続する時の権限設計、セキュリティチェックリスト、承認フローの考え方がわかります。
- OpenAI Agents SDKとn8nを使ったGmail稟議自動化の実務イメージを持てます。
この記事の監修者
宮﨑 一旗
宅地建物取引士 / 連続起業家 / 株式会社ライフワンネクスト取締役
宅地建物取引士(登録番号:(神奈川)第129630号)。補助金SEOメディア「補助金プラス」運営、AIスタートアップAtlas株式会社共同創業者。不動産・住宅領域のSEO/LLMOコンサルティングと記事監修を行う。
プロフィールを見るMCPとはAI実務で何を解決する仕組みか
MCPとは、AIアプリケーションと外部システムをつなぐための共通プロトコルです。Model Context Protocol公式ドキュメントは、MCPをAIアプリがデータソース、ツール、ワークフローへ接続するためのオープン標準と説明しています。
| 検索で知りたいこと | 実務での答え | 最初に見る設定 |
|---|---|---|
| mcpとは aiで何が変わる? | AIがNotion、Gmail、GitHub、社内DBなどを同じ考え方で呼び出せるようになります。 | どのMCPサーバーを許可するか |
| MCPサーバーとは? | 外部ツールの機能をAIアプリへ公開するプログラムです。 | 公開するtools/resources/prompts |
| 危険ではない? | 権限が広すぎると危険です。最小権限、承認、ログ、緊急停止をセットで設計します。 | OAuth/APIキー、操作権限、監査ログ |
AIエージェントを業務で使い始めると、すぐに「社内データを読ませたい」「Notionを更新させたい」「Gmailの下書きを作らせたい」という要望が出ます。MCPは、この接続を毎回バラバラの独自実装で作るのではなく、AIアプリと外部ツールの間に共通の接続層を置くための考え方です。
ただし、MCPは魔法の自動化ボタンではありません。便利になるほど、AIが見られるデータ、実行できる操作、失敗した時の責任範囲が重要になります。この記事では、MCPの基本を説明したうえで、Notion権限設計、MCPセキュリティチェックリスト、OpenAI Agents SDKの承認フロー、n8nとGmailを使った稟議自動化まで、実務で使える粒度に落とします。
MCPとはAIアプリと外部ツールをつなぐ標準
MCP仕様は、LLMアプリケーションと外部データソース・ツールを統合するためのオープンプロトコルとしてMCPを説明しています。よく使われるたとえは「AIアプリのUSB-Cポート」です。ChatGPTやClaudeのようなAIアプリが、ファイル、DB、検索、Notion、Gmail、GitHub、n8nなどへ接続するための共通口と考えるとわかりやすいです。
従来は、AIアプリごとに「Notion連携」「Gmail連携」「社内API連携」を個別に作り込む必要がありました。MCPでは、外部システム側がMCPサーバーとして機能を公開し、AIアプリ側がMCPクライアントとしてそれを呼び出す構造になります。これにより、同じツールを複数のAIアプリから使いやすくなります。
MCPサーバーとは何をするものか
MCPのサーバー概念では、MCPサーバーはAIアプリに対して標準化されたインターフェースで能力を公開するプログラムと説明されています。代表的には、ファイルシステム、データベース、GitHub、Slack、カレンダーなどをAIに使わせるための入口になります。
| MCPで公開するもの | 役割 | 例 |
|---|---|---|
| Tools | AIが実行できる操作です。 | Notionに行を追加、Gmail下書きを作成、GitHub Issueを検索 |
| Resources | AIが参照できる情報です。 | 社内ドキュメント、DBの読み取り結果、ファイル一覧 |
| Prompts | 決まった業務手順や文脈を渡す仕組みです。 | 稟議文の要約、商談メモ整理、障害報告テンプレート |
実務上のポイントは、MCPサーバーを増やすこと自体ではありません。どのMCPサーバーを誰に許可するか、どの操作をAIに許すか、更新・削除・外部送信の前に承認を挟むかを決めることです。ここを飛ばすと、MCPは便利な標準ではなく、広すぎる操作権限の集まりになります。
MCPサーバーNotion権限設計:最初に広く許可しない
NotionをMCPから使う場合、最初に確認したいのはNotion側の権限モデルです。NotionのAuthorizationガイドは、内部接続は静的APIトークン、個人アクセストークンはユーザースコープ、公開接続はOAuth 2.0を使うと説明しています。また、Notionのcapabilitiesは、接続やトークンがNotionワークスペース内で何を見て何を実行できるかを制御します。
重要なのは、NotionのトークンをMCPサーバーに持たせた瞬間、AIアプリはそのMCPサーバー経由でNotionへ操作できるようになることです。つまり、AI側の安全設計だけでなく、Notion側のcapabilityとページ共有を小さく切る必要があります。
| 設計項目 | 推奨 | 危険な状態 |
|---|---|---|
| 接続方式 | 部署・用途ごとに接続を分ける | 1つの個人PATを全社用途に使い回す |
| capability | 読み取り、作成、更新を用途別に分ける | 最初から広い更新権限を与える |
| ページ共有 | 対象DBや親ページだけを接続へ共有する | ワークスペース全体を見える状態にする |
| 監査 | MCP経由の参照・更新・エラーを記録する | 誰が何を実行したか追えない |
たとえば稟議管理DBをAIに読ませたい場合、最初から全社Notionを接続するのではなく、稟議DBだけを共有し、AIには「検索」「要約」「下書き作成」までを許可します。最終承認、外部送信、金額変更、削除は人間の操作に残す方が安全です。
MCPセキュリティチェックリスト:本番導入前に見る6項目
MCPは外部ツール接続の標準なので、権限を誤ると影響範囲が広くなります。米NSAのMCP Security Design Considerationsも、本番環境や高リスク環境でMCPを使う際は、仕様や既知の実装課題を踏まえたリスク低減が必要だとしています。
| チェック | 確認すること | 社内で決めるルール |
|---|---|---|
| 1. サーバー棚卸し | 誰が、どのMCPサーバーを、どのAIアプリから使うか。 | 承認済みMCPサーバー一覧を作る |
| 2. 最小権限 | read/write/delete/sendを分離できているか。 | 削除・送信・支払いは初期無効 |
| 3. 承認ゲート | 機密情報送信、外部メール、DB更新の前に止まるか。 | 金額・個人情報・外部送信は人間承認 |
| 4. 監査ログ | tool名、引数、実行者、結果、エラーを保存できるか。 | 最低90日など保存期間を決める |
| 5. 秘密情報 | APIキー、OAuthトークン、メール本文、顧客情報の扱い。 | プロンプト・ログへの秘密情報混入を検知 |
| 6. 緊急停止 | 問題が起きた時にMCPサーバーやトークンを止められるか。 | 失効手順と責任者を決める |
OpenAI Agents SDK承認フロー実装:危険なtool callで止める
AIエージェントの実装では、ツール呼び出しをすべて自動実行にしないことが重要です。OpenAI Agents SDKのHuman-in-the-loopは、機密性の高いtool callの前でエージェント実行を一時停止し、人が承認または拒否してから再開する流れを説明しています。MCP連携でも、OpenAI Agents SDKのMCPドキュメントは`require_approval`でローカルMCPツールに承認ポリシーを適用できると説明しています。
実務では、承認が必要な操作を先に分類します。読み取り系の検索は自動でよい場合がありますが、外部送信、削除、金額変更、個人情報を含む更新は承認対象にします。
// 疑似コード:実装時は利用中SDKの最新版ドキュメントに合わせて調整
tool_policy = {
read_notion_db: "auto",
create_gmail_draft: "auto",
send_gmail: "approval_required",
update_contract_amount: "approval_required",
delete_record: "blocked"
}
if tool_call.requires_approval:
pause_run()
notify_reviewer(tool_call.summary)
resume_only_after_approve_or_reject()
この考え方を入れると、MCPは「AIに何でも任せる」仕組みではなく、「AIが下書きや候補を作り、人間がリスクの高い操作だけ判断する」仕組みに変わります。
n8n AIエージェントGmail稟議自動化:送信前に人を挟む
n8nでAIエージェントを使う場合、AI Agent nodeは外部ツールやAPIを使って判断・実行できるノードです。Gmailについても、Gmail nodeはドラフト、メッセージ、ラベル、スレッドなどの操作をサポートします。
稟議メールの実装例は次のように分けます。
- Gmail Triggerで「稟議」「承認依頼」などのメールを検知する。
- AI Agentが本文を要約し、必要な添付・金額・期限・承認者を抽出する。
- Gmail Draft operationsで返信下書きを作る。
- n8nのHuman-in-the-loop for AI tool callsを使い、送信前に承認者へ確認を出す。
- 承認された場合だけ、Gmail Message operationsで送信する。
この構成にすると、AIは稟議メール処理の下書きと整理を担当し、実際の送信や承認判断は人間が担当します。AIエージェントの自動化で事故が起きやすいのは、下書きと実行を分けない時です。
MCP導入前の社内ルールテンプレート
MCP利用ルールのたたき台
- 対象: 承認済みMCPサーバーだけを業務利用可とする。
- 権限: 読み取り、作成、更新、削除、外部送信を分けて許可する。
- 承認: 外部送信、個人情報を含む更新、金額変更、削除は人間承認を必須にする。
- ログ: tool名、実行者、引数、結果、承認者、エラーを記録する。
- 秘密情報: APIキー、OAuthトークン、顧客情報をプロンプトやログに残さない。
- 停止: 問題発生時にMCPサーバー、OAuth接続、APIキーを停止できる手順を置く。
MCPは、AIエージェントを現実の業務システムへつなぐ強い仕組みです。だからこそ、最初の導入単位は「全社AI」ではなく「稟議DBだけ」「下書き作成だけ」「承認後送信だけ」のように小さく始めるのが現実的です。
MCPとはAI時代の実務でよくある質問
MCPとはAIアプリの何ですか?
MCPとは、AIアプリが外部データや外部ツールへ接続するための共通プロトコルです。AIアプリ側はMCPクライアント、外部システム側はMCPサーバーとしてつながります。
MCPサーバーを入れればNotionを安全に使えますか?
いいえ。MCPサーバーだけでは不十分です。Notion側のcapability、ページ共有、接続方式、MCP側の承認フローとログを組み合わせて設計する必要があります。
MCPセキュリティで最初に見るべきものは?
承認済みMCPサーバー一覧、最小権限、外部送信や削除前の承認、監査ログ、秘密情報の扱い、緊急停止手順です。
OpenAI Agents SDKでMCPの承認フローは作れますか?
はい。OpenAI Agents SDKはhuman-in-the-loopの承認フローを提供しており、MCPツールにも承認ポリシーを適用できます。実装時は利用中SDKの最新版ドキュメントに合わせてください。
n8nでGmail稟議を完全自動送信してよいですか?
稟議や外部送信では、AIに直接送信させるより、下書き作成までをAIに任せ、人間承認後に送信する構成が安全です。
出典・一次情報
- Model Context Protocol: What is MCP?
- Model Context Protocol: Understanding MCP servers
- Model Context Protocol: Authorization specification
- NSA: MCP Security Design Considerations
- Notion Docs: Authorization
- Notion Docs: Connection capabilities
- OpenAI Agents SDK: Human-in-the-loop
- OpenAI Agents SDK: Model context protocol
- n8n Docs: Human-in-the-loop for AI tool calls
- n8n Docs: Gmail node
最終確認日:2026年6月19日。MCP、OpenAI Agents SDK、Notion、n8nの仕様は更新されるため、実装前に公式ドキュメントの最新版を確認してください。