株式会社AuthleteAuthleteを活用したMCP対応認可サーバーの構成図

株式会社Authlete（オースリート、本社：東京都千代田区、代表取締役：川崎貴彦、以下Authlete）は、OAuth・OpenID Connect (OIDC) バックエンドサービス「Authlete 3.0」に最新のModel Context Protocol（MCP）仕様(https://modelcontextprotocol.io/specification/2025-11-25/basic/authorization)に採用されたOAuth Client ID Metadata Document（CIMD）仕様(https://www.authlete.com/ja/developers/cimd/)、さらにMCP対応認可サーバーの実運用時のセキュリティ強化と開発効率化を実現する機能を実装しましたのでお知らせします。

SaaSベンダーや医療・金融・法務などのデータを活用したビジネスを展開する企業、小売・Eコマース事業者など、保有するデータや機能をMCPによってAIエージェントに提供するサービス事業者や公的機関は、Authleteを活用することで、OAuthに準拠した認可機能をMCPサービス基盤にセキュアかつ効率的に実装できます。

MCPは、AI（人工知能）アプリケーションから外部システムへの接続に関するオープンソース標準です。2024年にAnthoropic社が提唱したMCPは、Amazon Web Services、Cloudflare、Google、Microsoft、OpenAIなどの大手ITベンダーに相次いで採用され、2025年11月には最新版が公開されました。

MCPサーバー（MCPを通じてデータや機能を提供するシステム）をインターネット上に公開するサービス提供者は、セキュリティを担保するために、顧客やパートナーが利用するMCPクライアントにアクセス権限を付与するためのOAuth認可サーバーを自社に構築する必要があります。

MCPの最新版に採用されているOAuth仕様には、CIMDの他、Authleteが従来より対応している「OAuth 2.1 IETF DRAFT」「Authorization Server Metadata (RFC 8414)」「Dynamic Client Registration Protocol (RFC 7591)」「Resource Indicators for OAuth 2.0 (RFC 8707)」があります。

CIMDとは

OAuthの認可フローにおいて、認可サーバーが、クライアントから提示されたURLからクライアントの情報（クライアントメタデータ）を取得する仕組みです。CIMDを用いると、これまで一般的だった、認可サーバーにおけるクライアント情報の事前登録が不要となります。そのため、特にMCPのような、クライアントと認可サーバーの動的な連携が想定されている場合に有用です。

セキュリティ強化を実現するAuthleteの機能

認可サーバーのCIMD対応にあたっては、同仕様が可能にする「動的なクライアント登録」を実現するだけではなく、意図しないクライアントからの登録を防ぎ、さらに取得したクライアントメタデータの内容を適切に処理するためのしくみが必要です。そこで、Authleteでは、CIMD仕様に準拠したAPIの提供に加え、以下の機能を独自に実装しています。

開発効率化を支援するAuthleteの機能

- 意図しないクライアントからの登録の防止：ドメインやURLを事前に「許可リスト」として登録し、クライアントIDとして受け入れるURLを制限できます。- 取得したクライアントメタデータの内容の調整：セキュリティ要件を「メタデータポリシー」として定義し、取得したクライアントメタデータに適用・調整した上で、クライアント情報を登録できます。

セキュリティ強化に加えて、サービス事業者における認可サーバーの開発を効率化するために、以下の設定を提供しています。

- メタデータキャッシュの無効化：取得したクライアントメタデータをキャッシュせずに、リクエスト処理のたびに取得するように設定することで、認可サーバー開発時の利便性が向上します。- HTTPスキームの許可：クライアントIDを示すURLのスキームとしてhttpsに加えてhttpスキームも許容するように設定することで、クライアントメタデータをホスティングするWebサーバーを構成しやすくなります。

これらの機能の詳細については、開発者向けドキュメント（https://www.authlete.com/ja/developers/cimd/）をご覧ください。

サービス事業者がMCP対応認可サーバー構築・運用にAuthleteを活用する利点

- OAuth仕様実装の簡素化：CIMDを含めたOAuthの複雑な処理をAuthleteに移管することで、MCPの認可サーバーの実装を簡素化し、OAuth処理にかかるセキュリティを担保できます。CIMDを含めた各種OAuth設定は、Authleteの管理コンソールから簡単に変更できます。- 認可サーバー構成の自由度向上：AuthleteはOAuthのプロトコル処理とトークン管理をWeb APIで提供するヘッドレスなサービスであるため、MCPサービスの要件に応じて柔軟に認可サーバーを構築・運用できます。- OAuth仕様の進化に追随：MCPが採用している認可仕様は今後も継続的に更新される見込みです。OAuthの処理をAuthleteに移管することで、最新仕様への追随を省力化できます。- セキュリティ強化と開発効率化：Authleteの独自機能である許可リストやメタデータポリシーによって、MCPサーバーを公開するためのセキュリティ対策を備えた認可サーバーを構築できます。また、キャッシュの無効化やHTTPスキームの許可設定による開発の効率化が、MCPサービス基盤の迅速な展開を可能にします。Authlete管理コンソール

CIMDの実装を含むMCP対応の認可サーバーの構築に、Authleteを無償でお試しいただけます。弊社Webサイト（https://console.authlete.com/register）からご登録ください。

また、CIMDの実装について、2026年2月18日（水）に主催の「OAuth & OpenID Connect勉強会ー最新MCP仕様対応認可サーバー構築ハンズオン(https://www.authlete.com/ja/news-jp/mcp-authorization-server-handson)」で解説します。参加者は、Authleteを活用してCIMDを含むOAuth仕様を実装して、MCPに対応した認可サーバーの構築を体験できます。このイベントの詳細と参加登録は、https://authlete.connpass.com/event/380872/ をご覧ください。

Authleteについて

Authleteは、認可システムへのOAuth 2.0およびOpenID Connect (OIDC)の実装を迅速化・簡素化するWeb APIを提供しています。国際標準の仕様策定に携わる専門家によって開発された 「Authlete」はOpenID認定を取得済みで、高度なセキュリティ仕様であるFAPIやCIBA、またOpenID for Verifiable Credentials Issuanceなどの最新仕様にも対応しています。Authleteのソリューションは、金融、メディア、小売、テクノロジー、コンサルティングなど多様な業界で、国内外のスタートアップから中堅・大企業まで幅広く採用されています。