OpenCTI MCPサーバー連携

「OpenCTI」MCPサーバーとは？

OpenCTI MCPサーバーは、OpenCTI（Open Cyber Threat Intelligence）プラットフォームとシームレスに連携できるModel Context Protocol（MCP）サーバーです。AIアシスタントとOpenCTI脅威インテリジェンスDBの間の橋渡しとなり、AIクライアントが標準化されたインターフェースでサイバー脅威インテリジェンスデータをクエリ・取得・操作できます。本サーバーを利用することで、マルウェア情報の検索、IOCのクエリ、ユーザーやグループ管理、ファイル操作などが実現します。開発者はこれによりセキュリティワークフローの自動化、LLMのリアルタイム脅威データによる強化、開発・運用環境でのインテリジェンス活用を効率よく行えます。

プロンプト一覧

リポジトリやドキュメントにはプロンプトテンプレートの記載はありません。

リソース一覧

利用可能なドキュメントやリポジトリファイルに明示的なリソース記載はありません。

ツール一覧

ドキュメントやコードに特定のツールは記載されていません。高レベルな機能とAPIの概要のみが説明されており、MCPツールやシグネチャの明記はありません。

このMCPサーバーのユースケース

• 脅威インテリジェンス自動化: OpenCTIから最新の脅威レポート、IOC、マルウェア情報、脅威アクター等を自動で取得・分析し、プロアクティブなセキュリティ運用を実現。
• セキュリティ運用連携: SOCツールと連携し、AIエージェントがキャンペーン情報や攻撃パターンを取得、インシデント対応チームへ実用的なインサイトを提供。
• ユーザー・グループ管理: AIアシスタントを使い、OpenCTIインスタンス内のユーザーやグループの一覧・管理を行い、管理業務やアクセス監査をサポート。
• STIXオブジェクト操作: キャンペーン・攻撃パターン等のSTIXオブジェクトを開発環境や自動化ワークフローから直接クエリ・操作。
• ファイルおよび参照データアクセス: AIによるOpenCTI内ファイル、マーキング定義、ラベル操作が可能となり、高度なデータエンリッチメントや分類タスクを支援。

セットアップ方法

Windsurf

1. 前提条件: Node.js 16以上がインストールされ、有効なOpenCTI APIトークン付きのOpenCTIインスタンスへアクセスできること。
2. 環境準備: .env.exampleを.envにコピーし、OpenCTI認証情報に更新。
3. MCPサーバー設定: WindsurfのMCP設定ファイルにOpenCTIサーバーの設定を追加:

   {
     "mcpServers": {
       "opencti": {
         "command": "node",
         "args": ["path/to/opencti-server/build/index.js"],
         "env": {
           "OPENCTI_URL": "${OPENCTI_URL}",
           "OPENCTI_TOKEN": "${OPENCTI_TOKEN}"
         }
       }
     }
   }
   

4. 保存・再起動: 設定を保存しWindsurfクライアントを再起動。
5. 確認: WindsurfでMCPサーバーが利用可能か確認。

Claude

1. 前提条件: Node.js 16以上をインストールし、OpenCTI API認証情報を取得。
2. 環境セットアップ: .env.exampleを.envにコピーし、OpenCTI情報を入力。
3. ClaudeのMCPサーバー追加: 設定を以下のように更新:

   {
     "mcpServers": {
       "opencti": {
         "command": "node",
         "args": ["path/to/opencti-server/build/index.js"],
         "env": {
           "OPENCTI_URL": "${OPENCTI_URL}",
           "OPENCTI_TOKEN": "${OPENCTI_TOKEN}"
         }
       }
     }
   }
   

4. Claude再起動: 設定を保存しClaudeを再起動。
5. 接続確認: OpenCTI MCPが接続されていることを確認。

Cursor

1. 前提条件: Node.js 16以上がインストールされ、OpenCTIアクセス権を保持していること。
2. 環境設定: .env.exampleを.envとして複製し、OpenCTIのURL・トークンを入力。
3. Cursor設定編集: MCP設定に以下を追加:

   {
     "mcpServers": {
       "opencti": {
         "command": "node",
         "args": ["path/to/opencti-server/build/index.js"],
         "env": {
           "OPENCTI_URL": "${OPENCTI_URL}",
           "OPENCTI_TOKEN": "${OPENCTI_TOKEN}"
         }
       }
     }
   }
   

4. Cursor再起動: 設定を保存しアプリを再起動。
5. 確認: CursorでOpenCTI MCPサーバーが稼働しているか確認。

Cline

1. 前提条件: Node.js 16以上をインストールし、OpenCTIインスタンスの認証情報を用意。
2. 環境ファイルセットアップ: .env.exampleを.envにコピーし、値を更新。
3. ClineのMCP設定: OpenCTI MCPを設定ファイルに追加:

   {
     "mcpServers": {
       "opencti": {
         "command": "node",
         "args": ["path/to/opencti-server/build/index.js"],
         "env": {
           "OPENCTI_URL": "${OPENCTI_URL}",
           "OPENCTI_TOKEN": "${OPENCTI_TOKEN}"
         }
       }
     }
   }
   

4. Cline再起動: 設定を保存しClineを再起動。
5. 検証: OpenCTI MCPがリストに現れるか確認。

APIキーの安全な管理（全プラットフォーム共通）

• 機密性の高いAPI認証情報は必ず環境変数で管理してください。設定例:

  {
    "mcpServers": {
      "opencti": {
        "command": "node",
        "args": ["path/to/opencti-server/build/index.js"],
        "env": {
          "OPENCTI_URL": "${OPENCTI_URL}",
          "OPENCTI_TOKEN": "${OPENCTI_TOKEN}"
        }
      }
    }
  }
  

Flow内でこのMCPを使う方法

FlowHuntでMCPを利用するには

まずフローにMCPコンポーネントを追加し、AIエージェントと接続します。

MCPコンポーネントをクリックし、設定パネルを開きます。system MCP設定欄に以下のJSON形式でMCPサーバー情報を入力してください:

{
  "opencti": {
    "transport": "streamable_http",
    "url": "https://yourmcpserver.example/pathtothemcp/url"
  }
}

設定が完了すると、AIエージェントはこのMCPをツールとして利用でき、全機能へアクセス可能となります。“opencti"はご自身のMCPサーバー名に、URLはご自身のMCPサーバーURLに変更してください。

概要

利用可能なドキュメントやコードから、OpenCTI MCPサーバーは明確な概要と堅牢なセットアップ方法を提供していますが、リソース、プロンプト、ツール、サンプリングやroots設定等の高度なMCP機能の詳細は不足しています。

当社の見解

証拠に基づくと、このMCPサーバーはOpenCTI連携の基盤として優れており、セットアップやセキュリティ面も堅牢ですが、MCP固有の機能（ツール、リソース、プロンプト、サンプリング等）に関する透明性が不足しています。そのため、全体的な完成度・LLM連携の観点で5/10と評価します。

MCPスコア