# AIエージェント向けモデルコンテキストプロトコル (MCP) – Docker版
{% hint style="info" %} Keeperシークレットマネージャー (KSM) でAIエージェントとの連携機能を利用するには、ロールに「アプリケーションの作成およびシークレットの管理」の[ポリシーが設定](/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies.md)されている必要があります。 {% endhint %} {% hint style="danger" %} この機能を有効にすると、KeeperとサードパーティのAIツールやサービスとの連携を許可することになります。Keeperはゼロトラストアーキテクチャを維持しており、ボルト内のレコードにはアクセスせず、処理も行いません。 ただし、サードパーティのツールと共有されたデータについては、それぞれのツールのセキュリティ、プライバシー、コンプライアンスの方針が適用され、Keeperの方針は適用されません。これらの連携の設定、管理、監査は、組織の内部ポリシーや適用される法規制に従って、利用者自身の責任で行ってください。 リスクを抑えるため、AIエージェントに付与するアクセス権は、目的の作業を完了するうえで必要な最小限のフォルダにとどめてください。 {% endhint %} ## モデルコンテキストプロトコル (MCP) によるAIエージェント統合 Keeperシークレットマネージャーはモデルコンテキストプロトコル (MCP) を通じてAIエージェントと統合できます。これにより、AIエージェントがKeeperのボルト内の特定のフォルダにだけ安全にアクセスできるようになります。この仕組みは、AIエージェントにアクセスを許可する情報を明確に制限できるゼロトラスト型の設計です。 MCPは、AIアシスタントとKeeperシークレットマネージャーの間にセキュアな橋渡し役として機能します。これにより、AIがパスワードや秘密情報を使って作業を支援できるようになります。また、機密性の高い操作には人間による確認を取り入れることで、最高レベルのセキュリティ基準を維持します。 **GitHub:** **Docker Hub:** ### 主なメリット * **ゼロトラストアーキテクチャ**: AIエージェントにはボルト内の特定フォルダのみを割り当て * **ユーザーの承認**: 機密操作時にユーザー確認を要求 * **エンタープライズ対応**: 監査ログやコンプライアンス機能を完備 * **マルチプラットフォーム対応**: Linux、macOS、Windowsで動作 * **Dockerネイティブ**: コンテナによる簡単なデプロイが可能 ### AIアシスタントでできること (KSM MCP統合時) #### シークレット操作 * **シークレットの一覧表示**: アクセス可能なシークレットを確認 * **シークレットの検索**: タイトル、URL、ユーザー名などで検索 * **シークレットの取得**: 特定のシークレット値を取得 (マスク解除には確認が必要) * **シークレットの作成**: 新しいシークレットエントリを登録 * **シークレットの更新**: 既存の情報を修正 * **シークレットの削除**: シークレットを削除 (確認あり) #### ファイル管理 * **添付ファイルの一覧表示**: シークレットに添付されたファイルを確認 * **ファイルのアップロード**: ファイルをシークレットに添付 * **ファイルのダウンロード**: 添付ファイルを取得 * **ファイルの削除**: 添付ファイルを削除 #### ユーティリティ機能 * **パスワード生成**: 条件を指定して安全なパスワードを生成 * **TOTPコードの取得**: 現在のワンタイムパスワードを取得 * **KSM表記法の実行**: Keeper表記法を使って高度な操作を実行 * **ヘルスチェック**: サーバーの状態や接続状況を確認 ## セットアップとインストール #### 1. シークレットマネージャーアプリケーションの作成 管理者は、まずロールの強制ポリシーでシークレットマネージャーへのアクセスを有効にします。有効にすると、Keeperボルトの左ナビに **\[シークレットマネージャー]** が表示されます。 [ロールの強制ポリシーでシークレットマネージャーを有効にする](/jp/enterprise-guide/secrets-manager.md) Keeperボルトから以下を実行します。 1. 左ナビで **\[シークレットマネージャー]** をクリック 2. 右上の **\[+ アプリケーションを作成]** をクリック 3. **アプリケーション名**を入力 (例: Claude Desktop) 4. **アプリケーションのフォルダアクセス**で、このアプリケーションがアクセスする**共有フォルダ**を選択 5. **アプリケーションのレコード権限**を設定 (必要に応じて**編集**、または読み取り専用) 6. **アクセストークンの生成**をクリック — ただし**このトークンは使用しません**。破棄し、次の手順でBase64構成を生成します

アプリケーションを作成してフォルダへアサイン

#### 2. デバイストークンの作成 最初に表示されるデバイストークンは破棄し、**\[デバイスを追加]** をクリックして、AIエージェントに渡す新しい Base64構成を生成します。 1. 一覧から作成したアプリケーションをクリックして詳細パネルを開く 2. 右側パネルで **\[デバイス]** タブを開き、**\[デバイスを追加]** をクリック 3. **デバイス名**を入力 (例: Claude UI) 4. **取得方法**のドロップダウンを「ワンタイムアクセストークン」から**構成ファイル**に変更 5. **構成タイプ**で**Base64**を選択 (デフォルト) 6. **コピーアイコン**をクリックしてBase64文字列をクリップボードにコピー {% hint style="warning" %} **この画面を閉じる前に、Base64構成をコピーするかダウンロードしてください。** Keeperは構成内容をサーバーに保存しないため、一度閉じると同じ文字列を再度表示することはできません。 {% endhint %} [シークレットマネージャー構成のリファレンス](/jp/keeperpam/secrets-manager/about/secrets-manager-configuration.md)

Base64トークンの生成

#### 3. MCPサーバーの登録 AIエージェントの構成画面から、KeeperシークレットマネージャーのMCPサーバーを登録します。 Claude Desktop では、**\[Settings] > \[Developer]** を開き、**\[Edit Config]** をクリックします。このファイルに `ksm` サーバーを追加し、手順2で生成した Base64 構成文字列を含めます。 {% hint style="warning" %} **必ず \[Edit Config] から編集し、Finderやエクスプローラーで構成ファイルを直接開いて編集しないでください。** Claude Desktop の設定画面を経由しない編集は、次回起動時に上書きされることがあります。 {% endhint %} ```json { "mcpServers": { "ksm": { "command": "docker", "args": [ "run", "-i", "--rm", "-e", "KSM_CONFIG_BASE64=", "-e", "KSM_MCP_PROFILE=production", "-e", "KSM_MCP_BATCH_MODE=true", "-e", "KSM_MCP_LOG_LEVEL=error", "-v", "ksm-mcp-data:/home/ksm/.keeper/ksm-mcp", "keeper/keeper-mcp-server:latest" ] } } } ``` {% hint style="info" %} **macOS向けの追加手順。** Claude DesktopはシェルのPATHを引き継がないため、`docker` という短いコマンド名だけではDockerを起動できません。`"command": "docker"` を `"command": "/usr/local/bin/docker"` のようにフルパスに書き換えてください。 {% endhint %} {% hint style="info" %} **Windows**では `"command": "docker"` のままで問題ありません。変更の必要はありません。 {% endhint %}

Claude Desktopとの統合

この設定が完了すると、KeeperシークレットマネージャーのMCPサーバーとやり取りを開始できます。

KSM MCPサーバーとやり取り

パスワードの生成

ログやイベントの記録は、デバイスログ画面およびKeeper管理コンソール内で確認できます。

イベントログ

### 接続の確認 構成を保存し、Claude Desktopをいったん終了してから起動し直したうえで、KSMが接続されているか確認します。 1. **Claude Desktop**を開き、左サイドバーの\*\*\[Connectors]\*\*をクリック 2. 一覧に**ksm**があり、青いトグルがオンになっていれば接続は有効です 3. Claude に「KSMのボルトに何が保存されていますか」などと依頼し、`list_secrets` 連携の許可を求められたら **\[Allow once]** または **\[Allow always]** をクリックして許可します ### トラブルシューティング #### 再起動後も Connectors に ksm が表示されない * Claude Desktop を起動する前に**Docker Desktopが起動している**ことを確認します * **macOS**では、`command` に `/usr/local/bin/docker` のようなフルパスが指定されているか確認します (`docker` のみの指定になっていないか) * 構成を **\[Settings] → \[Developer] → \[Edit Config]** から編集したか確認します (Finder やエクスプローラーでファイルだけを直接編集していないか) * Base64構成文字列が欠けなくコピーされているか確認します (長い1続きの文字列で、スペースや改行が混じっていないこと) #### 「Error connecting to KSM」、またはコネクタが失敗と表示される * Docker Desktop を開き、エンジンが稼働している (ステータスが緑) ことを確認します * `docker pull keeper/keeper-mcp-server:latest` を手動で実行し、Dockerが正常に動いているか確認します * KSMアプリケーション作成時に選択した共有フォルダに、レコードが実際に存在するか確認します #### 構成ファイルがリセットされる / 変更が保存されない Finderやエクスプローラーからファイルだけを直接編集すると、この現象が起きることがあります。必ずClaude Desktopの **\[Settings]** から **\[Edit Config]** を開いて編集してください。 追加のセットアップ手順については、[こちらのリポジトリ](https://github.com/Keeper-Security/keeper-mcp-golang-docker)をご参照ください。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/keeperpam/secrets-manager/integrations/model-context-protocol-mcp-for-ai-agents-docker.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.