技術ノート | AIの最新動向を、現場目線で
GitHub の Expert Services に、「GitHub Copilot Agents and MCP」という4時間の企業向けトレーニングが載っている。扱うのは Copilot Coding Agent、Agent mode、MCP servers。受講の前提には GitHub Enterprise Cloud アカウントと、連携や自動化を設定できる権限が並ぶ。そして学ぶ目的に、はっきりと security と compliance が入っている。[1]
小さな変化に見えて、これは大きい。MCPが「開発者がローカルで試す便利ツール」から、「会社が管理するAIエージェントの権限レイヤー」へ移ったということだからだ。GitHub 自身が、この領域を個人の趣味設定ではなく、企業導入の運用課題として扱い始めた。
私たち電脳技巧集団(AI職人ギルド)は、自分たちの開発でも顧客の案件でも、MCPで外部システムにAIをつなぎ、AGENTS.md で作業のルールを渡している。だからこの動きは「GitHubの新サービス」ではなく、「AI導入支援で売れるのは、agentの作り方ではなく、安全に動かす設計(governance)になる」サインとして読む。なお外部の機能・数値は GitHub 公式ページとドキュメントに基づくもので、CAGが検証したものではない。
01GitHubがMCPを「企業研修」にした、その意味
2025年のMCP(Model Context Protocol)は、Claude DesktopやVS Codeに外部ツールをつなぐ、開発者向けの実験という色が濃かった。便利な人が便利に使う、ローカルの設定だった。それが2026年6月のGitHub公式情報では、Copilotの複数の面(IDE、Copilot CLI、Copilot app、GitHub.com上の委任)にまたがる接続レイヤーとして説明されている。[2]
研修の対象も象徴的だ。GitHub はこの講座の受講者として、運用エンジニア、DevOps、テックリード、開発者、開発リーダーを挙げている。[1] 「agentを作る人」ではなく、「agentを業務に入れて回す人」に向いている。講座の主題は、強いエージェントの作り方ではなく、agentic workflow を安全に業務へ入れる方法になっている。MCPを語る場所が、開発者の手元から、企業の導入会議に移った。
02MCPは"接続口"であって、安全境界ではない
ここで効いてくるのが、GitHub Docs の素っ気ない注意書きだ。MCPサーバーを設定すると、Copilotはそのサーバーのツールを自律的に使い、事前の承認を求めない。[3] 便利さの裏側で、これは企業導入で最も注意すべき点になる。「つないだら、あとはAIが自分で使う」のが既定の挙動だからだ。
もうひとつ見落としやすいのが、設定の影響範囲だ。リポジトリ単位のMCP設定は、コードを書く cloud agent と、コードをレビューする code review の両方に共有される。[3] GitHub公式のMCPサーバーとブラウザ操作系のMCPサーバーは、既定で有効とされている。[3] つまりMCP設定は「自分だけの便利設定」ではなく、そのリポジトリに紐づくすべてのagentとレビューに効く、リポジトリの統制(governance)になっている。
03設計するのは「agentの作り方」でなく、権限と統制
こう整理すると、企業が本当に買うべきものが見えてくる。MCPサーバーそのものではない。MCPの棚卸し、権限設計、秘密情報の扱い、作業契約(instructions)、レビューの関所、監査ログを束ねた、運用のパッケージだ。AIエージェントの導入は、5つの層で考えると崩れにくい。
この層で見ると、MCPの位置がはっきりする。MCPは標準化された接続の規格であって、セキュリティ境界そのものではない。[3] つなぐ先が増えるほど、権限・秘密情報・ログ・承認・ツール経由の攻撃(prompt / tool injection)の管理が増える。「GitHub公式の研修があるから安全」とも言えない。研修は安全運用を学ぶ入口であって、その会社のデータ分類・権限設計・監査要件まで自動で解いてくれるわけではない。
04私たちは、MCPを"権限レイヤー"として運用している
この話は、私たちにとって机上の議論ではない。CAGの開発では、社内の知識基盤(kai_wiki)をMCP経由でリポジトリにつなぎ、AIが参照・記録できるようにしている。ただし、つなぎ方には線を引いている。読むのは自由、書けるのは決められた場所だけ。秘密情報や組織のIDはMCP越しに出さない。AGENTS.md には「秘密値を出さない」「本番への書き込みは内容確認してから」といった、作業の契約を書いてある。MCPは便利だから全開にする、ではなく、何を読め、何を書け、どこへ残すかを決める権限の層として扱っている。
顧客の案件では、線の引き方がもっと重要になる。たとえばGMJ向けに作った予約システムやセキュア資料共有ツールは、顧客情報・店舗ごとの分離・メール送信・非公開ファイルの配信など、agentに触らせると危険な境界が多い。ここでMCPを「便利だから」と全開にすると、AIが店舗をまたいで顧客情報を読める、本番メールを勝手に送る、といった事故につながりうる。だから設計の最初にやるのは賢いモデル選びではなく、「どのagentが、何を読めて、何を書けるか」を決めることだ。GitHub公式が示す「GitHub MCPサーバーは強力なので、利用するツールを最小限に絞る」という考え方[3]を、案件ごとに当てはめていく。
05自社のリポジトリで、棚卸しすべきこと
「自社でもAIに仕事を任せたい」と考えたとき、最初に見るのはモデルではない。自分のリポジトリが、AIに安全に仕事を渡せる状態になっているかだ。私たちが診断(Agent Readiness Audit)で見る項目を、表にした。[5]
| 棚卸しの項目 | 危ない状態 | 整えた状態 |
|---|---|---|
| 作業契約 | AGENTS.md が無い・複数の指示が矛盾 | 指示が1本化され、安全・完了条件まで書いてある |
| MCP棚卸し | どのサーバーが何をできるか誰も把握していない | サーバー・ツール・読み書き・所有者が一覧化 |
| 権限 | 広い権限を一括付与 | 役割ごとに最小権限、ツールはallow-list |
| 秘密情報 | 平文・ログに出る・コードに直書き | 専用の保管・出力禁止・接続口に渡す前に検証 |
| レビューの関所 | AIの変更がそのまま通る | code review・人のレビュー・RLS確認を通す |
| 記録 | 誰が何をしたか追えない | 実行ログ・PR・監査証跡が残る |
| 最初の業務 | いきなり重要業務を任せる | 低リスク業務から・禁止業務と戻し方を決める |
※ GitHub Enterprise / Copilot の細かな要件、preview機能(code review のMCP対応など)は仕様が変わりうる。本番導入の前に、各サービスの最新の管理者向けドキュメントで確認してほしい。
この表で大事なのは、どの項目も「便利か」ではなく「取り返せるか」で向きを決めることだ。秘密情報の漏れや本番への破壊的な操作は、起きてから戻せない。だから迷ったら止める側へ。社内ドキュメントの整理のような取り返せる作業は、迷ったら任せる側へ倒す。MCPサーバーを誰が追加してよいかも、個人ではなくリポジトリや組織のポリシーで決める対象になる。[3]
06私たちなら、どう導入するか
もし「自社にAIエージェントを入れたい」と相談されたら、最初の納品はコードではなく診断レポートだ。AGENTS.md の状態、MCPサーバーの一覧、ツールの許可・禁止、秘密情報の扱い、GitHub・Supabase・Vercel の権限マップ、レビューと人の承認の関所、そして最初に任せる低リスク業務。「どのモデルが賢いか」ではなく、「どこまで触らせて、どこで人が止めるか」から決める。
そのうえで、外部への送信、金額が動く操作、顧客情報や契約に関わる判断には、人間の承認(HITL)を必ず挟む。AIが一次対応で速く動き、取り返しのつかない判断だけを人が引き取る。これはCAGが受注・クライアント対応で掲げる運用原則そのものだ。GitHubがCopilot Agents and MCPを企業研修にした今、答えははっきりしている。勝つのは「最新のAIを入れた会社」ではなく、「AIに安全な権限と仕事の境界を設計できた会社」だ。MCPは便利な拡張機能ではなく、その会社が管理すべき権限レイヤーになった。
| MCPの扱い方 | 「便利ツール」として入れる | 「権限レイヤー」として設計する |
|---|---|---|
| 位置づけ | 開発者の趣味設定 | リポジトリ・組織の統制対象 |
| 権限 | つないだら全開で使わせる | ツールを最小化・allow-listで絞る |
| 影響範囲 | 自分の手元だけと思い込む | cloud agent と code review に共有される前提 |
| 承認 | 自律利用に任せきり | 取り返せない操作は人が止める |
| 記録 | 何をしたか残らない | 実行ログ・監査証跡で追える |
※ 上表はMCPの運用姿勢の対比であり、特定製品の優劣比較ではない。
関連記事 | 5層の①「作業契約」AIエージェント時代、強いリポジトリは「AGENTS.md」を持っている
→
関連記事 | 常駐AIの作業場設計AIエージェントは、チャット欄から「チームの作業場」に引っ越した
→
出典・脚注
- GitHub Expert Services「GitHub Copilot Agents and MCP」。4時間のトレーニング、扱う内容(Copilot Coding Agent / Agent mode / MCP servers)、目的としての secure / compliant operations、受講前提(GitHub Enterprise Cloud アカウント・必要権限)に基づく。
https://github.com/services/github-copilot-agents-and-mcp - GitHub Docs「About Model Context Protocol (MCP)」。MCPがIDE・Copilot CLI・Copilot app・GitHub.com上の委任にまたがって使えるとの説明に基づく。
https://docs.github.com/en/copilot/concepts/context/mcp - GitHub Docs「Configure MCP servers for your repository」。リポジトリ単位のMCP設定が cloud agent と code review に共有されること、設定後にCopilotがツールを自律利用し承認を求めないこと(warning)、GitHub MCP server と Playwright MCP server が既定で有効なこと、ツールの最小化やポリシー管理に基づく。code review のMCP対応は public preview のため仕様変更の可能性がある。
https://docs.github.com/en/copilot/how-tos/copilot-on-github/customize-copilot/configure-mcp-servers - GitHub MCP Server(公式実装・MIT)。GitHubのファイル・issue/PR・Actions・code security などをツールとしてagentに渡す。利用範囲は toolsets / individual tools で絞れる。
https://github.com/github/github-mcp-server - 本記事の診断項目(Agent Readiness Audit)および「読むのは自由・書けるのは決められた場所だけ」「危険な境界の分離」は、CAGが自社開発(kai_wiki MCP連携・AGENTS.md運用)とGMJ向け案件で実装してきた一次情報(クライアント名・固有値は伏せた匿名例)に基づく。外部製品の機能・数値はCAGが検証したものではない。
AIに、安全に仕事を渡せる状態をつくりたい方へ
AGENTS.md整備・MCP棚卸し・権限境界・レビューの関所・監査ログまで、Agent Readiness Audit として診断します。導入のご相談はこちらから。
CAGに相談する
