Edison Watch
管理者ガイド

MCP 検疫

ユーザーデバイスで新しく検出された MCP サーバーを、管理者がレビューするまで自動的に保留します。

MCP 検疫 は管理者が制御する機能で、ユーザーのマシンで新しく検出された MCP サーバーを、管理者のレビューが完了するまで保留します。これがないと、ユーザーが AI クライアントに追加した MCP サーバーはすぐに動作し、組織から見えない シャドー MCP としてデータ漏洩の潜在的な原因になります。

管理者は検疫を有効にするかどうかを決めることができ、Settings からいつでも有効化・無効化できます。

仕組み

  1. Edison Watch デスクトップアプリが、サポートされているすべての AI クライアントの MCP 設定ファイルを監視します。
  2. 認識されないサーバーが現れた場合、アプリが設定を書き換えてローカルで無効化します。
  3. ダイアログがユーザーに通知します。
    • 管理者 には Add to EdisonSkip for Now が表示されます。
    • 一般ユーザー には Request ApprovalSkip for Now が表示されます。複数のサーバーが保留されている場合、一括の Add All / Request All / Skip All ボタンが表示されます。
  4. 保留中のリクエストは、管理者の Overview ページでレビューできます。
  5. Approve を押すと、次の検出サイクルでサーバーが許可されます。Reject を押すと無効のままとなり、ユーザーは後で再申請できます。Skip for Now の後は、サーバーのフィンガープリントが変わらない限り、ユーザーに再度プロンプトは表示されません。
Quarantine dialog on the desktop app

以前に承認済みのサーバーは、ダイアログなしで静かに検疫されます - レビューが求められるのは本当に新しいサーバーだけです。

サポートされている AI クライアント

Stable (エンドツーエンドテスト対象):

  • Claude Code
  • Cursor (Cursor プラグインを含む)
  • VS Code
  • Codex CLI

Beta (サポート対象ですが、カバレッジが少ない - 問題があれば報告してください):

  • Claude Desktop
  • Claude Cowork
  • Windsurf
  • Zed
  • JetBrains IDE (IntelliJ、PyCharm、WebStorm)

自動検疫の有効化

自動検疫は管理者が制御する 組織レベル の設定です。新しい組織ではデフォルトで オン です。

  • オンボーディングチェックリストから: 新しい管理者には、初回サインイン時に Enable auto-quarantine for MCP servers ステップが表示されます。
  • Settings から: Settings → General → MCP Auto-Quarantine にアクセスします。切り替えると、組織内のすべてのデスクトップクライアントに即座に同期されます。

検疫リクエストのレビュー

保留中の検疫リクエストは、管理者の Overview ページの Quarantine Requests に表示されます。各行には、サーバー名、ソースアプリ (Cursor、Claude Code など)、申請者のメール、申請時刻、ユーザーが提供した理由 (ある場合) が表示されます。

各リクエストには 3 つのアクションがあります。

  • Approve - サーバーを組織に追加します。同名のサーバーが既に存在する場合、コンフリクトを解決するよう求められます。
  • Reject - ユーザーは後で別のリクエストを送信できます。
  • Verify - サーバーのツールリストを調査して、承認する内容を確認できます。

自動検疫の無効化

設定を off に切り替えると、今後新しいサーバーが検疫されることはなくなりますが、既に検疫されているサーバーは、管理者が承認するかユーザーが手動で削除するまで無効のままです。

自動検疫がオフの状態では、ユーザーの AI クライアントに追加された MCP サーバーは - ユーザー自身が追加したものでも、プロンプトインジェクションによる指示で追加されたものでも - 管理者からは見えないシャドー MCP として動作します。

制限事項

デスクトップアプリが動作している必要があります。 検疫は Edison Watch デスクトップアプリによって強制されます。アプリが動作していないと、そのマシンでは監視が行われません - アプリが閉じているときに AI クライアントに追加された MCP サーバーは、次回アプリを起動して追いつくまで通常通り動作します。現在、デスクトップアプリのウィンドウが閉じていたり、まだ起動されていなくても自動検疫が動作し続けるようにする バックグラウンドデーモン を開発中で、このギャップを埋める予定です。

MCP 以外のプラグインは対象外です。 Claude Code や Cursor などのクライアントの一部拡張は MCP サーバーではなく、MCP プロトコルを介さないインストールスクリプトやネイティブプラグインです。Edison Watch は MCP サーバーとして宣言されたもののみを可視化・検疫できるため、こうした他のプラグインタイプは対象外となります。

関連

Managing Servers

承認済みサーバーの設定、有効化、ピン留めを行います。

Security Model

検疫が Lethal Trifecta 防御全体にどのように位置付けられるか。

Previous

サーバーの管理

Next

ポリシールール

On this page