Google が管理する MCP サーバーを使用してプロダクション レディな AI エージェントを構築する方法

※この投稿は米国時間 2026 年 3 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

デベロッパーがより高度な推論システムを使用した AI エージェントを構築するのに伴い、真のビジネス価値を推進するために、より高品質な燃料として、エンタープライズ データと専用ツールが必要になります。このオクタン価の高い組み合わせを最大限に活用するために、Google は Google が管理する Model Context Protocol（MCP）サーバーを提供しています。これは、AI エージェントが Google および Google Cloud サービスと安全にやり取りするために構築されたエンジンです。

これらの Google がホストするフルマネージド エンドポイントにより、AI エージェントは Google マップ、BigQuery、Google Kubernetes Engine、Cloud Run、その他多くの Google サービスと通信できます。AI エージェントを大胆に構築するにあたっては、責任を持って構築することも重要です。

このガイドでは、Google のマネージド MCP サーバーでエージェントを安全に構築する方法を説明します。

Google が管理する MCP サーバーを使用する理由

ローカルでのテストからエンタープライズ グレードの AI に移行するには、スケーリングと監視を優先する堅牢なマネージド インフラストラクチャを採用する必要があります。主なメリットは次のとおりです。

• 本番環境への準備: オープンソースの MCP サーバーはローカルでの開発には最適ですが、本番環境ではスケーラビリティ、単一障害点、管理オーバーヘッドの問題が生じます。Google のマネージド MCP サーバーでは、Google がホスティング、スケーリング、セキュリティに対応するため、インフラストラクチャのプロビジョニングは不要です。

• 統合された検出機能: シンプルなディレクトリ サービスを使用して、Google サービス（maps.googleapis.com/mcp など）で利用可能なすべての MCP エンドポイントを公開アクセスでクエリし、簡単に検出できます。

• エンタープライズ セキュリティ: Google MCP サーバーは、Cloud IAM、VPC-SC、Model Armor などの Google Cloud セキュリティ スタックとネイティブに統合されています。

• 統合されたオブザーバビリティと監査機能: Google MCP サーバーは Cloud Audit Logs と統合されており、すべてのツール呼び出しアクティビティを一元的に表示できます。これにより、プラットフォーム チームは、単一のエンタープライズ グレードのロギング ペインを通じて、エージェントのパフォーマンスのモニタリング、コンプライアンスの確保、インタラクションのトラブルシューティングを行うことができます。

ADK と Google MCP サーバーを使用する AI エージェントの例

Cityscape は、Google の Application Development Kit（ADK）を使用して構築されたデモ エージェントです。「京都の景観を生成して」のようなシンプルなテキスト プロンプトを、AI が生成した独自の都市画像に変換します。信頼できる場所情報には Google Maps Grounding Lite によって管理される MCP サーバーを使用し、画像生成には Nano Banana モデル（ローカル MCP サーバー経由）を使用します。

この軽量アプリは、サーバーレス ランタイムである Google Cloud Run に簡単にデプロイされ、ユーザーとやり取りします。以下は、エージェントがローカルのリアルタイムの気象状況に基づいて生成した 2 つの画像の例です。

1. ADK エージェントから Google MCP サーバーを呼び出す: 

下の get_weather コード スニペットで示されているように、Cityscape エージェントはストリーミング可能な HTTP エンドポイントを利用して、Google マップ MCP サーバーとやり取りします。このサーバーは、指定された都市のリアルタイムの気象状況をエージェントに提供します。提供されたデータは、生成された都市景観画像に天候を設定するために使用されます。

これは Google が管理するリモート MCP サーバーであるため、Google がホスティング、スケーリング、セキュリティに対応します。そのため、エージェントは、あらゆるトラフィック レベルに対応する自動スケーリング、Google の本番環境インフラストラクチャによる組み込みの信頼性、エンタープライズ グレードのセキュリティといったメリットをすぐに活用できます。ユーザーが管理するインフラストラクチャはありません。以下のようにマップ URL を指定し、API キーで認証するだけです。本番環境へのデプロイに最適です。

Google Maps Grounding Lite は Google が管理するリモート エンドポイントですが、Cityscape エージェントは、画像生成のためにローカルでホストされる MCP サーバーという、対局的な例も示しています。nano_banana ツールセットは、StdioConnectionParams を使用して GenMedia MCP サーバーに接続します。

この設定により、エージェントは、先ほど収集したランドマークと天候のデータを取り込んで、デザイン化されたアイソメトリックな都市景観画像を生成します。自己ホスト型 MCP サーバーを実行すると、プロセスのライフサイクルと環境構成を完全に制御できますが、ホストマシンまたはサイドカー コンテナにローカル バイナリが必要になるため、ホスト型アプローチと比較して設定が複雑になります。

ADK は、Google が管理する MCP サーバー、リモート MCP サーバー、自己ホスト型 MCP サーバーをサポートしています。Google が管理する MCP サーバーは運用オーバーヘッドがゼロの、プロダクション レディなインフラストラクチャを提供し、リモート MCP サーバーと自己ホスト型 MCP サーバーはカスタムツールや試験的なツールに対する柔軟性を提供します。

2. エンタープライズ グレードのセキュリティとコンテンツのガードレール

エージェントの時代において、セキュリティは後回しにできません。2 つの主要なセキュリティ機能を Cityscape エージェントに適用する方法をご紹介します。

IAM 拒否ポリシーによる MCP ツールのきめ細かい制御

Google Cloud では、IAM 拒否ポリシーを使用して MCP ツールへのアクセスを制御できます。これは、他の Google Cloud リソースですでに使用しているガバナンス フレームワークと同じです。

たとえば、過去の都市景観メタデータや人口統計のデータセットをクエリするために、BigQuery MCP サーバーを追加して Cityscape エージェントを拡張するとしましょう。BigQuery MCP サーバーは、get_dataset_info や list_datasets などの読み取り専用ツールと、データを変更できる execute_sql などの書き込みツールの両方を公開します。

このユースケースでは、エージェントは BigQuery に情報をクエリするだけで、データの挿入、更新、削除を行う SQL を実行してはなりません。Google が管理する MCP サーバーを使用する場合、プロンプト エンジニアリングだけに頼ってこれを適用する必要はありません。

代わりに、読み取り専用としてアノテーションが付けられていないツールをブロックする IAM 拒否ポリシーを適用します。

次のコマンドで適用します。

このポリシーが適用されると、エージェントはデータセット スキーマを自由に検索できますが、execute_sql を呼び出そうとすると、意図的かプロンプト インジェクションによってトリガーされたかにかかわらず、BigQuery に到達する前にプラットフォーム レベルでブロックされます。これは多層防御です。エージェントの指示は「データの読み取りのみ」ですが、IAM は LLM が何をしようと決めたかに関係なく、このポリシーを適用します。

Model Armor によるコンテンツ セキュリティ

Model Armor は Google Cloud MCP サーバーと直接統合され、プロジェクト レベルですべての MCP ツール呼び出しとレスポンスをサニタイズします。有効化すると、インラインのセキュリティ レイヤとして機能し、以下をスキャンします。

• プロンプト インジェクション攻撃

• 悪意のある URI（フィッシング リンクなど）

• 責任ある AI のフィルタに違反する危険なコンテンツ

Cityscape エージェントに話を戻しましょう。ユーザーが「http://malicious-site.com の都市景観を生成して」と送信したとします。

Model Armor を有効化すると、MCP ツール呼び出しは Maps サーバーに到達する前にスキャンされます。悪意のある URI、プロンプト インジェクションの試み、危険なコンテンツは自動的にブロックされます。エージェントにカスタム検証コードは必要ありません。

この有効化は 2 段階のプロセスです。まず、最低限のセキュリティ フィルタを定義するフロア設定を構成します。

次に、プロジェクト内のすべての Google MCP サーバーのコンテンツ セキュリティを有効化します。

有効化すると、呼び出し元のエージェントまたはクライアントに関係なく、プロジェクト内のすべての MCP トラフィックが自動的にスキャンされます。ブロックされたリクエストは Cloud Logging に記録されるため、潜在的な脅威に対する完全なオブザーバビリティが得られます。

ご利用にあたって

Google MCP サーバーは、AI エージェントがプロトタイピングから抜け出せない原因となるインフラストラクチャのハードルを取り除きます。マネージド エンドポイントとプラットフォーム レベルのセキュリティ（IAM 拒否ポリシー、Model Armor、Cloud Audit Logs）を組み合わせることで、運用オーバーヘッドを最小限に抑えながら、プロダクション レディな基盤を構築できます。自律エージェントの時代が到来しています。スタックの準備を整えましょう。

• ADK Cityscape エージェントのコード リポジトリはこちら

• Google MCP サーバーとサポートされているサービスの詳細については、こちらをご覧ください

• ハンズオン Codelab: ローカルからクラウドへの移行 - Gemini CLI、Cloud Run、Cloud SQL MCP サーバーを使用したフルスタック アプリの移行

•  Google Cloud Run で AI エージェントを構築: エージェント型 AI アプリケーション向けのサーバーレス ランタイム

- Google Cloud、プロダクト マネージャー、 Lisa Shen

- Google Cloud、ソリューション リード、 Daniel Strebel