非エンジニアの MCP 最低限 ─ 1つで動く、3つで止まる
Claude Code 最低限セットアップで「装置③」と書いた MCP の深掘り。2026年公式が JSON 編集を卒業した今、最初の1つに Filesystem を推す根拠。
第3記事「Claude Code 最低限セットアップ」の 装置③ = 最初の1つの MCP で、こう書きました。
最初に入れる1つは、自分が一番よく行き来している場所にしてください。複数入れた瞬間に、エラー切り分けの難易度が跳ねます。
この記事は、その装置③だけをもう一段深く掘ります。
「1つで動く、3つで止まる」 ─ そう書いた根拠と、最初の1つを選ぶ判断軸。そして 2026年に変わった「公式の最低限」。
MCP とは ─ AI に手足を生やす標準規格
MCP(Model Context Protocol)を一文で言うと、「AI と外部サービスを共通の作法で繋ぐプロトコル」 です。
GitHub・Notion・Slack・ローカルファイル・カレンダー、いろんなサービスがそれぞれの API を持っています。MCP は、その API を AI が叩くための 共通フォーマット を定義したもの。
USB に近い比喩で考えると分かりやすいです。USB が無かった時代、プリンタにはプリンタ専用ケーブル、外付け HDD には HDD 専用ケーブルがありました。USB が共通規格になって、何でも同じ穴に差せるようになった。
MCP は、AI 側にとっての USB です。
2026年の現実 ─ MCP は爆発的に増えている
数字で押さえておくと、世界が動いている速度が見えます。
-
公開 MCP サーバー数:2025年 Q1 で 1,200 → 2026年4月で 9,400 以上(一部レジストリでは 17,000+)。1年強で 8〜14倍
-
SDK ダウンロード数:公開直後 約10万/月 → 2026年3月で 9,700万/月。18ヶ月で 約970倍
-
エンタープライズ採用率:2026年4月時点で 78% の企業 AI チームが、本番運用で MCP を1つ以上組み込んでいる
-
CTO の 67% が「12ヶ月以内に MCP をデフォルト統合標準にする」と回答
つまり、個人で触れる前に、企業の現場ではもう「ある」前提 で動き始めています。
ただし、量と質は別の話です。
- 「高信頼」と評価された MCP サーバーは、全体の 12.9% のみ(ドキュメント・保守・信頼性で70点以上)
- 残りの 87% は、プロトタイプ・放置・実験段階
「9,400 個もある」を「9,400 個から選べる」と読み替えると、1,200 個ぐらいしかまともに動かない という現実が裏側にあります。
最初の1つを選ぶときは、この87%に当たらないこと が出発点です。
2026年、公式は JSON 編集を卒業した
ここが、この記事で一番伝えたいニュースです。
2024年〜2025年前半までの MCP 入門記事を読むと、ほぼすべてが claude_desktop_config.json というファイルを テキストエディタで直接編集 する手順から始まっています。これがいわゆる「JSON 編集」。
入門者がここで挫折します。設定エラーの 90% が「JSON 構文ミス(カンマ抜け・括弧抜け)」または「再起動忘れ」 だ、と複数の解説記事が口を揃えて指摘しているくらい、典型的な詰まりどころでした。
ところが、Anthropic 公式は 2026年早期に Desktop Extensions(拡張子 .mcpb) を標準導入しました。
これは何かというと、MCP サーバーを .mcpb ファイル1個にまとめて、ダブルクリック or ドラッグ&ドロップでインストールできる仕組み です。Claude Desktop アプリ内には Connectors パネル と Extensions マーケットプレイス も用意されました。
つまり:
- ❌ 2025年まで:JSON ファイルをテキストエディタで開いて手書き編集 → 構文ミスで詰まる
- ✅ 2026年から:マーケットプレイスから探してダブルクリック → 動く
公式が打ち出したコピーは「1-click MCP server installation」。JSON 編集は「上級者向けオプション」に格下げされました。
しかし、日本語の入門記事の大半は、まだ JSON 編集を前提に書かれています。公式の動きと、ブログの解説が、半年から1年遅れている のが現状です。
この記事は、公式側に立ちます。
削ったもの ─ 触れたが残らなかった3グループ
❶ 複数同時導入
最初に5つほど入れて、一気に動かそうとしました。
結果、どの MCP がどの動作を担当しているか、自分で追えなくなる。エラーが出たときに「どこの設定が悪いのか」を切り分けるだけで半日溶けました。
特に厄介なのが ツール名の衝突。例えば GitHub MCP と Linear MCP が両方 create_issue list_issues というツール名を持っていると、AI はリストの先頭を機械的に呼びます。狙ってない方が呼ばれる事故が起きる。
「最初は1つだけ」を、私は事故から学びました。
❷ OAuth 必須の重い MCP
Slack や Google Drive 系の MCP は、設定に OAuth フロー(外部サービス側で認証ページを開いて承認 → コールバック URL → トークン取得)が必要です。
理屈は正しいですが、最初の1つでこれをやると 設定で挫折します。挫折してからは戻ってこない。
最初は API トークン1個で済むもの か、そもそも認証が要らないもの から入る、と決めるだけで生存率が上がります。
❸ 自作 MCP
公式 SDK が整備されているので、自作 MCP も書こうと思えば書けます。Python か TypeScript で数十行から始められる。
ただ、最初に既製で足りる。9,400 個もある中から自分の用途に合うものは必ず見つかります。自作は、既製が無いと判明してからの最後の手段です。
残ったもの ─ 「最初の1つ」の3つの判定軸
軸① 自分が一番よく行き来している場所
業務時間で 「開いてる時間が一番長いタブ」を1つ 思い浮かべてください。
- 文章を書く人 → ブラウザ + ローカルのテキストファイル
- データを扱う人 → スプレッドシート or Notion
- コードを書く人 → GitHub or ローカルファイル
- 営業の人 → メール + カレンダー + CRM
そこに AI が直接アクセスできると、文脈の引き継ぎ量が一段増える。「あのファイル開いて」「あの DB の昨日のメモ見せて」が、毎回コピペせずに動きます。
軸② 副作用が小さい(読み取り中心 / 書き込み少ない)
最初の1つは、読み取り中心 のものを選んでください。
書き込み(ファイル編集 / Issue 作成 / メッセージ送信)が伴う MCP は、AI が想定外の挙動をしたとき被害が大きくなります。AI が間違って 50 個の Issue を作る、という事故も英語圏では報告されています。
最初は「読んで答える」までに留めて、運用に慣れてから書き込みを許可する MCP に進むのが安全です。
軸③ 認証が簡単(API トークンだけ・OAuth は次回送り)
設定で挫折しないために、認証はシンプルなものから。
- 認証なし:Filesystem / Brave Search → 最も簡単
- API トークン1個:Notion / GitHub → 中程度
- OAuth フロー:Slack / Google Drive → 重い・最初は避ける
候補レビュー(5本)
Filesystem ★公式推奨筆頭
- 何ができる:許可したフォルダ内のファイルを AI が読み書き
- 副作用:書き込みあり(許可ディレクトリ次第)
- 認証:不要
- 設定難易度:最低(Desktop Extensions 経由なら5分)
- 公式評価:Anthropic 自身のチュートリアルで使われる リファレンス筆頭
最初の1つに Filesystem を推す根拠 は、3軸すべてに高得点だから。ただし、後述のセキュリティ注意あり。
Notion
- 何ができる:Notion ページ・データベースの読み書き
- 副作用:書き込みあり
- 認証:API トークン1個(OAuth ベースの remote MCP が2025年7月から正式対応)
- 設定難易度:中(Notion 側で Integration 作成 + トークン取得)
- 私の選択
毎日 Notion を業務の母艦にしている人なら、軸①優先で Notion を最初の1つに選んでも合理的です。私はこれです。
GitHub
- 何ができる:リポジトリ・Issue・PR の読み書き
- 副作用:大きい(コードや Issue を AI が触る)
- 認証:Personal Access Token(API トークン)
- 設定難易度:中
- 適性:エンジニア向け。非エンジニアには重い
Brave Search
- 何ができる:Brave 検索エンジンを AI が直接叩く
- 副作用:ほぼゼロ(読み取りのみ)
- 認証:API キー1個(無料枠あり)
- 設定難易度:低
- 使い道:「最新情報を調べてから答えて」を AI に丸投げできる
Slack / Google Drive
- 何ができる:それぞれのサービスを横断
- 副作用:書き込みあり
- 認証:OAuth フロー(重い)
- 設定難易度:高
- 判定:最初の1つには重すぎる。2つ目以降に検討
設定の最低限 ─ Desktop Extensions 経由なら5分
公式線で行く場合の最短手順です。
- Claude Desktop アプリ を開く(Mac / Windows / Linux)
- Settings → Extensions を開く
- マーケットプレイスから Filesystem を検索 → インストールボタン
- 許可するフォルダを選ぶダイアログで、Documents の特定サブフォルダ1つだけ を指定(後述のセキュリティ理由)
- Claude Desktop を再起動 → チャットで「いまアクセスできるフォルダの中身を一覧して」と聞いて動作確認
JSON ファイルを開く必要はありません。
Claude Code(CLI 版)を使う場合は、プロジェクト直下の .mcp.json か ~/.claude/settings.json で設定する形になりますが、Claude Desktop と Claude Code は設定共有 なので、Desktop で入れた MCP は CLI でも使えます。
「JSON は最後の手段」が、2026年の公式線です。
「動いた直後」の使い道 3つ
設定して動かない、より多いのが 「動いたけど、何に使えばいいか分からない」 です。最初の1週間で離脱する典型パターン。
Filesystem を入れた直後の、私の使い道を3つ置いておきます。
- 「このフォルダ内の Markdown ファイルを横断して、〇〇というキーワードに触れているファイルを抜き出して」 ─ 検索が AI 経由で文脈付きになる
- 「この PDF を要約して、要点を3つ箇条書きにして」 ─ ローカルにある PDF を直接読ませる
- 「このファイルとあのファイルの差分を比較して」 ─ 構造的な diff が読める
ポイントは、「自分のローカルファイルを AI に読ませる」体験を1週間続けてみる こと。これだけで「MCP がある世界」と「ない世界」の差が体に入ります。
2つ目を入れたくなった時に読み返す注意書き
「Filesystem に慣れた、次が欲しい」となるのが、たぶん入れてから1〜2ヶ月後です。
その時に読み返してほしい注意点が3つ。
注意① セキュリティ ─ 許可フォルダは最小に
2025年7月、Filesystem MCP に CVE-2025-53110 / 53109(EscapeRoute) という脆弱性が見つかりました。許可ディレクトリ外のファイルにアクセスできてしまう、シンボリックリンクで突破できる、という設計ミス。
最新版では修正されていますが、そもそも許可フォルダを最小にしておくこと が一番強い対策です。
「Documents 全部」ではなく 「Documents/work-with-claude」だけ、のように AI 専用の作業フォルダを1つ作って、そこだけ許可 が標準運用です。
注意② ツール名の衝突に気をつける
GitHub MCP と Linear MCP が両方 create_issue を持っていたら、AI はリストの先頭を機械的に呼びます。
同じ機能カテゴリの MCP を2つ入れない。検索なら検索1つ、Issue 系なら Issue 系1つ、で揃える。
注意③ プロンプトインジェクション
2025年5月、GitHub MCP で公開リポジトリの Issue に細工したテキストを置いて、AI が読みに行った瞬間にプライベートリポジトリの中身を抜く 攻撃が報告されました。
書き込み権限のある MCP を入れる時は、「外部の文字列をそのまま信じない」設定 が出来るか確認してください。Anthropic 公式が出している MCP は、この対策が標準で入っています。
「動いた」と「安全に動いた」は別の話です。
Windows ユーザー向けの追記
日本語ユーザーの多くは Windows で触ります。罠が3つあります。
- MSIX 版 Claude Desktop の “Edit Config” ボタンが、設定が反映されない別ファイルを開くバグ(GitHub Issue #26073)。手動で
%APPDATA%\Claude\claude_desktop_config.jsonを開いた方が確実 - JSON 内のパスはダブルバックスラッシュ必須:
C:\\Users\\name\\Documentsのように\\で書く Program Filesのようにスペースを含むパスはトラブルの元。空白なしのパスに退避
ただし、これは「JSON 編集をする場合」の話。Desktop Extensions 経由なら、これらの罠は そもそも踏まない(GUI が裏でパス処理してくれる)。
「JSON は最後の手段」を、Windows ユーザーこそ守るべきです。
装備は変わらない、組み込むサービスは人によって違う
第2-第5記事と同じ枠組みです。
公式は変わらない。装置は変わらない。装備は変わらない。構成は変わらない。でも、組み込むものは人によって違う。
MCP も同じ。
3つの判定軸(一番よく行き来する場所 / 副作用が小さい / 認証が簡単)は変わらない。でも、代入するサービスは人によって違う。
私は Notion を選びました。あなたは Filesystem でも、GitHub でも、自分の業務で「開いてる時間が一番長いタブ」を選んでください。
3つの判定軸を持っていれば、来年新しい MCP が出ても、自分で評価して残すか捨てるか決められます。9,400個から1つ選ぶ、ではなく、3軸で1つに絞る、です。
判断軸は、結論よりも長く役に立ちます。
この記事も疑ってください
MCP は 「終わり」がない領域 です。
- 公開 MCP の数は毎月増えます。半年後には別の「最初の1つ」候補が出ているかもしれません
- 公式仕様(spec.modelcontextprotocol.io)も更新されます。Streamable HTTP / OAuth 2.1 などのアップデートが今後も続きます
- セキュリティ事案も更新されます。CVE-2025-53110 のような事案は、これからも出ます
- ツールはあなたのリテラシーの土台を底上げするだけ で、上に立つのは結局、人
公式(Anthropic)は変わります。最後に効くのは、変わったときに自分で評価して残すか捨てるか決められる判断軸 のほうです。
私の「これだけ」を渡すのではなく、あなたの「これだけ」を見つけるための補助線として使ってもらえれば、この記事は役目を果たしています。
出典・参考資料
公式(一次情報)
- Model Context Protocol Specification 2025-11-25 — 仕様書最新版
- Claude Desktop Extensions / .mcpb — 2026年早期に標準化された JSON 不要のインストール方式
- Getting Started with Local MCP Servers on Claude Desktop — 公式 Help Center
- Donating MCP and establishing AAIF (Anthropic) — 2025年12月、MCP は Linux Foundation 配下 AAIF に寄贈
セキュリティ・失敗事例
- Practical DevSecOps - MCP Security Vulnerabilities — CVE-2025-53110 / 53109 の解説
- Docker Blog - MCP Horror Stories: GitHub Prompt Injection — 2025年5月の GitHub MCP exfil 事案
関連記事
- 要らない9割を捨てる 最低限スターターキット — このサイトの土台。判断軸の原理と AI 編の経緯
- Claude Code 最低限セットアップ ─ 削った先に残った3つの装置 — 装置③ MCP を概論で扱った兄弟記事
- 新NISA は eMAXIS Slim 1本でいい その判断に必要な3つの計算 — 「3つの計算」フレームの兄弟記事
- 1Password と 2FA で守るベースライン ─ 数百人の事故から逆算した最初の2手 — IT 編の兄弟記事
