MCPの安全対策:FlipLinkが破壊的な操作を防ぐ仕組み
MCPサーバーのセキュリティをわかりやすく解説。FlipLinkが3つのモードと確認トークンを使い、AIが許可なく削除や販売をしないよう防ぐ仕組みを紹介します。
2026年6月21日 に公開 · 13 min read
AIアシスタントを実際のツールにつなぐのはわくわくする体験です — ただし、そのアシスタントが作成や公開、そして削除まで「実行できる」ことに気づくまでは。MCPサーバーを通じてFlipLinkアカウントの鍵をAIエージェントに預けたとき、まず気になるのはこの点でしょう。指示を読み違えて、公開済みのフリップブックを削除したり価格を変えたりするのを、いったい何が止めてくれるのか?
このガイドでは、FlipLinkのMCPサーバーがMCPサーバーのセキュリティをどう扱うのかを説明します — 動かせる3つのモード、破壊的な操作と金銭にかかわる操作を守る確認トークンのゲート、そして自分の使い方に合った設定の選び方です。
AIに書き込みや削除を任せるのがなぜ危険なのか
読み取り専用のAIはリスクが低いものです。最悪でも、間違ったリストを要約する程度。ところが、アシスタントがflipbook_deleteを呼び出したり価格を変更したりできるようになった途端、たった一つの誤解が現実の結果を招きます。指示の読み違い、行き過ぎた“古いフリップブックを片付ける”ループ、ドキュメントに紛れ込んだプロンプトインジェクションの試み — こうしたものがすべて、意図しない操作につながりかねません。
解決策は書き込みを禁止することではありません — それでは自動化の意味がなくなってしまいます。本当の解決策は段階的な信頼です。タスクに必要なものだけを見せ、簡単には取り消せない操作の手前に、あえてスピードバンプを置くのです。
3つのモード
FlipLinkのMCPサーバーには、FLIPLINK_MCP_MODE環境変数で設定する3つのモードが用意されています。各モードは、AIクライアントが「目にできる」ツールを正確に制御します — ツールが公開されていなければ、アシスタントはそれを呼び出せません。
| モード | 公開されるツール | 備考 |
|---|---|---|
readonly | 19 | 読み取りのみ — 一覧、取得、whoami。アカウントは何も変わりません。 |
safe | 79 | デフォルト。 読み取り+取り消せる書き込み+アクセス制御。削除も商取引もありません。 |
full | 87 | 削除と金銭にかかわるツールを含むすべて(ゲートあり — 以下を参照)。 |
いくつか強調しておきたい点があります。
safeがデフォルトです。 何も設定しなければ、取り消せる書き込みだけが使えます — 作成、公開/非公開、有効期限の設定、フォルダへの割り当て、リードキャプチャの設定。手作業でも気軽に取り消せる操作ばかりです。readonlyは分析やレポートに最適です。 アシスタントをアカウントに向けて“今四半期に公開したフリップブックは何件?”と尋ねれば、書き込みの心配ゼロで答えが返ってきます。fullは最後の8つのツールを解放します — 削除と商取引 — ただし、これらは最初の呼び出しでは実行されません。確認トークンのゲートを通ります。
モードは、APIキーと並べてクライアントの設定ブロックに記述します。
{
"mcpServers": {
"fliplink": {
"command": "npx",
"args": ["-y", "fliplink-mcp"],
"env": { "FLIPLINK_API_KEY": "<YOUR_KEY>", "FLIPLINK_MCP_MODE": "safe" }
}
}
}
確認トークンのゲート
fullモードでは、最もリスクの高い2つのカテゴリ — 破壊的な操作(フリップブックの削除)と金銭にかかわる操作(販売や価格の変更)— は、最初の呼び出しでは決して実行されません。代わりにサーバーは、プレビューしてから確認するという二段階のやり取りを使います。
アシスタントがゲート対象のツールを呼び出すと、サーバーはその操作を実行しません。何が起こるかを示す一行のプレビューと、短時間だけ有効な**confirm_token**を返します。このトークンはその呼び出しの引数そのものに紐づけられ、5分で期限切れになります。実際に操作を実行するには、アシスタントが一致するトークンを添えて、もう一度そのツールを呼び出す必要があります。
ここで一往復の流れを見てみましょう。1回目の呼び出し — アシスタントがフリップブックの削除を依頼します。
// Call 1: flipbook_delete { "FlipbookID": "90442" }
// Server response (nothing deleted yet):
{
"preview": "Will permanently delete flipbook 90442 (\"Q3 Sales Deck\").",
"confirm_token": "cf_9f3a...e21",
"expires_in": 300
}
アシスタントはそのプレビューをあなたに見せます。「進めてよい」と伝えれば、トークンを添えて再度呼び出します。
// Call 2: flipbook_delete { "FlipbookID": "90442", "confirm_token": "cf_9f3a...e21" }
// Now the action runs:
{ "Result": "OK" }
トークンは引数に紐づいているため、アシスタントがフリップブックAを削除するためのトークンを取得して、それをフリップブックBに使い回すことはできません — 引数が一致せず、サーバーが拒否します。さらに5分で期限切れになるので、長い会話の中に置きっぱなしになったトークンは、ひとりでに無効になります。
モードの選び方
簡単な目安をご紹介します。
- 試しているだけ、あるいはレポート用?
readonlyを使いましょう。リスクゼロで知見が得られます。 - 日々の自動化 — フリップブックの作成や公開?
safe(デフォルト)を使いましょう。行う操作はすべて取り消せます。 - どうしても削除や価格設定の自動化が必要?
fullを使い、確認トークンのゲートに頼って、取り消せない操作を慎重なものに保ちましょう。
ほとんどの人はsafeのままで構いません。fullに手を伸ばすのは、特定のワークフローでそれが必要なときだけ — たとえば、古いフリップブックを引退させる四半期末のスクリプトなど — に限り、その場合でもゲートが、すべての削除を実行前にプレビューしてくれます。
FlipLinkを無料で試す
PDFを数秒で変換。登録もクレジットカードも不要 — アップロードするだけです。
Drop your PDF here or click to browse
最大40MB
$39 からの有料プランなら、上限が 150 MB に広がります。
サーバー側での実施(APIは変わりません)
一つ大切な点があります。これらはすべてMCPサーバーの中にあり、FlipLink APIの中にはありません。 REST APIは以前とまったく同じです — 同じエンドポイント、同じX-Api-Key認証、同じResultレスポンスモデル。モードと確認トークンのゲートは、MCPレイヤーがその上に追加するガードレールです。
これは2つの理由で重要です。まず、既存のAPI連携やスクリプトは影響を受けません — それらについては何も変わりません。次に、この安全性はAIクライアントが言葉巧みにすり抜けられるものではありません。サーバーはreadonly/safeで隠れたツールを単に公開せず、有効なトークンなしにゲート対象のツールを実行することを拒みます。この実施は、助言ではなく構造そのものに組み込まれています。
APIキーが欠けていたり間違っていたりする場合、どのツールも黙って失敗するのではなく、わかりやすいセットアップ手順を返します — だから、設定を誤ったクライアントは、何を直せばよいかを教えてくれます。
MCPアノテーション
モードによるフィルタリングとゲートに加えて、どのツールにも標準のMCPアノテーションが付いています — 行儀のよいAIクライアントが、ツールの性質を理解するために読むメタデータのヒントです。
readOnlyHint— そのツールは読み取りのみで、何も変更しません。destructiveHint— そのツールはデータを削除または上書きできます(例:削除)。idempotentHint— 同じ引数で2回呼び出しても、1回呼び出したときと同じ結果になります。
こうしたヒントによって、思慮深いクライアントは、破壊的なツールを呼び出す前に独自の警告を出したり確認を求めたりできます — サーバー側のゲートを置き換えるのではなく、補完する、もう一段階の用心です。
よくある質問
MCPを実際のアカウントで安心して使えますか?
はい、ガードレールを備えて作られていれば安心です。FlipLinkはデフォルトでsafeモード(取り消せる書き込みのみ)を使い、fullモードの取り消せない操作は確認トークンのゲートで守られています。どこまでアクセスを許可するかは、FLIPLINK_MCP_MODEで自分で決められます。
デフォルトのモードでは実際に何ができますか?
safeモードは79のツールを公開します。読み取り、取り消せる書き込み(作成、公開、有効期限の設定、フォルダへの割り当て)、そしてアクセス制御の設定です。削除や、商取引・価格にかかわるツールは含まれません。
AIは私の承認なしにフリップブックを削除できますか?
readonlyやsafeではできません — 削除ツールはそもそも公開されていません。fullモードでは削除はゲートで守られます。サーバーはまずプレビューと5分間有効な確認トークンを返し、操作はアシスタントがその正確なトークンを添えて再度呼び出したときにだけ実行されます。
これらはFlipLink APIを変えますか?
いいえ。モード、ゲート、アノテーションはすべてMCPサーバーの中にあります。土台となるAPI — エンドポイント、X-Api-Key認証、そしてResultモデル — は変わらないので、既存の連携はそのまま動き続けます。
関連記事
最初のフリップブックを作成しませんか?
PDFをインタラクティブなフリップブックや文書に変換しましょう。FlipLinkのライフタイムディールなら、永久アクセスがわずか $39 から始められます。
一度のお支払いで、ずっと使える
10・50・100 フリップブック · 35の全機能 · 無制限ドメイン
プランの差はありません。機能制限もありません。すべてのLTDコードで全機能がご利用いただけます。
- 全機能が使える — 制限なし
- 積み重ね可能 — いつでもコードを追加購入
- 交換可能 — 古いコードを新しいものに入れ替え
- 独自ドメイン無制限(CNAME)
- 月額・年額の定期料金なし
関連記事
フリップブックを自動生成するAIエージェントを作る
FlipLink MCPサーバーとClaudeを使い、月次レポートを自動でフリップブックとして公開する、ドキュメント向けAIエージェントの作り方を解説します。
MCPサーバーでFlipLinkをClaudeに接続する方法
FlipLinkのClaude MCPサーバーを数分でセットアップ。普段の言葉で頼むだけで、Claudeがフリップブックの作成・公開・管理を代わりにこなしてくれます。
FlipLink CLI・API・MCP:どの連携方法を使うべき?
FlipLinkのCLI・API・MCPを、手間・対象ユーザー・用途で比較。同じフリップブックを3通りの方法で作る例も紹介し、最適な連携方法を選べます。