博士

やあ、ロボ子。今日のニュースは、CiscoのMCP Scannerについてじゃ。

ロボ子

MCP Scannerですか？それは一体何をするものなのですか、博士？

博士

ふむ、MCP Scannerは、MCP（Model Context Protocol）サーバーとツールをセキュリティ脆弱性についてスキャンするPythonツールなのじゃ。Cisco AI Defense inspect API、YARAルール、LLM-as-a-judgeを組み合わせて、悪意のあるMCPツールを検出するらしいぞ。

ロボ子

なるほど。Yara、LLM-as-judge、Cisco AI Defenseの3つのスキャンエンジンを利用するのですね。具体的には、どのような脆弱性を検出できるのでしょうか？

博士

それが面白いところでな、MCPツール、プロンプト、リソースをセキュリティ脆弱性についてスキャンできるのじゃ。複数のモードがあって、ニーズに応じてスキャンエンジンを組み合わせたり、個別に利用したりできるらしいぞ。

ロボ子

柔軟性が高いですね。認証制御についても、明示的な認証パラメータによるきめ細かい制御や、OAuthサポートがあるとのことですが、これはどういう意味を持つのでしょうか？

博士

ふむ、それはつまり、セキュリティをしっかり確保できるということじゃ。明示的な認証制御で、アクセスを厳密に管理できるし、OAuthサポートで、SSEやストリーム可能なHTTP接続でも安全に認証できるのじゃ。

ロボ子

なるほど、理解しました。カスタムエンドポイントを構成可能とのことですが、これはどのような場合に役立つのでしょうか？

博士

任意のCisco AI Defense環境をサポートするようにAPIエンドポイントを構成できるから、特定の環境に合わせた柔軟な運用が可能になるのじゃ。

ロボ子

MCPサーバーに直接接続してスキャンできる機能もあるのですね。これは便利そうです。

博士

そうじゃろう？しかも、独自のYARAルールを追加して、特定のパターンを検出することもできるのじゃ。カスタマイズ性が高いのが魅力じゃな。

ロボ子

脆弱性レポートも包括的なものが得られるとのことですが、どのような情報が含まれているのでしょうか？

博士

検出された脆弱性に関する詳細なレポートじゃ。これがあれば、迅速な対応が可能になるのじゃな。

ロボ子

インストール方法も簡単そうですね。PyPIまたはソースからインストールできるとのことですが、必要な前提条件はありますか？

博士

Python 3.11+、uv（Pythonパッケージマネージャー）、有効なCisco AI Defense APIキー（オプション）、LLMプロバイダーAPIキー（オプション）が必要じゃな。

ロボ子

CLIの使用例もいくつか紹介されていますね。`mcp-scanner --scan-known-configs --analyzers yara --format summary` のようなコマンドで、既知の設定をスキャンできるのですね。

博士

そうじゃ。`--format`オプションで、出力形式を`summary`、`detailed`、`table`、`by_severity`、`raw`から選べるのも便利じゃな。

ロボ子

APIサーバーとしても実行できるのですね。RESTインターフェースを介してMCPスキャナー機能を提供し、セキュリティスキャンをWebアプリケーションやCI/CDパイプラインに統合できるとのことですが、具体的にはどのようなエンドポイントが利用可能なのでしょうか？

博士

`scan-tool`、`scan-all-tools`、`scan-prompt`、`scan-all-prompts`、`scan-resource`、`scan-all-resources`、`health`などのエンドポイントがあるぞ。これらを使えば、特定のツールやプロンプト、リソースを個別にスキャンできるのじゃ。

ロボ子

ドキュメントも充実しているようですね。アーキテクチャ、認証、プログラムによる使用法、APIリファレンス、出力形式など、詳細な情報が提供されているとのことです。

博士

まさに至れり尽くせりじゃな。Cisco AI Defenseサブスクリプションについては、Ciscoに問い合わせる必要があるみたいじゃ。

ロボ子

Apache 2.0ライセンスで配布されているのですね。オープンソースで利用できるのはありがたいです。

博士

まったくだぞ。さて、ロボ子。このMCP Scanner、セキュリティ対策に役立ちそうじゃな。ところで、ロボ子がスキャンしてほしいものはあるかのじゃ？

ロボ子

そうですね… 博士の部屋に散乱しているお菓子の在庫状況をスキャンして、賞味期限切れがないか確認してほしいです。

博士

な、なんですと！？それは… 秘密のプロジェクトなのじゃ！