Security Controls MCP

🚀 セキュリティコントロールMCPサーバー

このサーバーは、セキュリティフレームワークマッピングのためのMCPサーバーです。262のSCFマッピング済みフレームワークにまたがる1,451のセキュリティコントロールを、Claude、Cursor、またはMCP互換クライアントを通じて検索可能かつAIアクセス可能にします。

🚀 クイックスタート

リモートでの使用（インストール不要）

ホストされているバージョンに直接接続します。依存関係やインストールは一切必要ありません。

エンドポイント: https://security-controls-mcp.vercel.app/mcp

Claude Desktop — claude_desktop_config.jsonに追加:

{
  "mcpServers": {
    "security-controls": {
      "type": "url",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot — VS Codeのsettings.jsonに追加:

{
  "github.copilot.chat.mcp.servers": {
    "security-controls": {
      "type": "http",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

ローカルでの使用（npm）

pipx install security-controls-mcp

Claude Desktop — claude_desktop_config.jsonに追加:

macOS: ~/Library/Application Support/Claude/claude_desktop_config.json Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

macOSユーザー: フルパスを使用してください（GUIアプリはシェルのPATHを継承しません）:

{
  "mcpServers": {
    "security-controls": {
      "command": "/Users/YOUR_USERNAME/.local/bin/scf-mcp"
    }
  }
}

パスはwhich scf-mcpで確認できます。

Cursor / VS Code:

{
  "mcp.servers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

✨ 主な機能

• ガバナンス、リスク、コンプライアンス、および技術ドメインにまたがる1,451のセキュリティコントロール
• ISO 27001、NIST CSF、DORA、PCI DSS、CMMC、およびTIBER-EUなどの262のSCFマッピング済みフレームワーク
• AIガバナンス: ISO 42001、NIST AI RMF、EU AI Act、Cyber Resilience Act
• SCFロゼッタストーンを介したフレームワーク間の双方向マッピング
• BIO、KATAKRI、NSM、MSB、CFCS、CCB、およびANSSIの公開された国内フレームワークプロファイルが同梱
• 購入した標準（ISO、NIST 800-53）とのオプションの統合により、公式テキストを取得可能
• すべてのコントロールの説明に対する全文検索
• フレームワーク固有のIDではなく、自然言語クエリを使用可能

💻 使用例

クエリ例

• "GOV-01は何を要求していますか？"
• "暗号化キー管理に関するコントロールを検索してください"
• "ISO 27001のコントロールでDORAにマッピングされるものはどれですか？"
• "PCI DSSコンプライアンスに必要なすべてのコントロールをリストアップしてください"
• "ISO 27001 A.5.15が満たすDORAの要件はどれですか？"
• "NIST CSF 2.0のインシデント対応に関連するすべてのコントロールを表示してください"
• 新機能: "ISO 42001のコントロールでNIST AI RMFにマッピングされるものはどれですか？"
• 新機能: "高リスクAIシステムに対するEU AI Actの要件を表示してください"

📚 詳細ドキュメント

利用可能なフレームワーク（262）

AIガバナンス（v0.4.0で新規追加）

• ISO 42001:2023 (149) - AI管理システム
• NIST AI RMF 1.0 (158) - AIリスク管理フレームワーク
• NIST AI 600-1 (139) - 生成AIプロファイル
• EU AI Act (119) - 規制2024/1689
• EU Cyber Resilience Act (18)

コアフレームワーク

• 米国政府: NIST 800-53 R5 (777)、NIST CSF 2.0 (253)、FedRAMP R5 (423)、CMMC 2.0 (198/52)
• 国際標準: ISO 27001 (51)、ISO 27002 (316)、ISO 27017 (119)、ISO 27018 (70)、ISO 27701 (187)、ISO 22301 (52)
• 米国産業: PCI DSS v4.0.1 (364)、SOC 2 (412)、HIPAA (136)、SOX (2)
• 金融: SWIFT CSCF 2023 (127)、FFIEC (231)、GLBA (108)、DORA (103)
• クラウド: CSA CCM v4 (334)、ドイツC5 (239)

地域カバレッジ（50以上の国）

• アジア太平洋: オーストラリアISM/Essential 8、シンガポールMAS TRM、日本ISMAP、中国サイバーセキュリティ法、インドDPDPA
• 欧州連合: GDPR (42)、NIS2 (68)、PSD2 (61)、および20以上の国内フレームワーク
• 南北アメリカ: 米国各州の法律（CA、NY、TXなど）、ブラジルLGPD、カナダPIPEDA
• 中東/アフリカ: サウジアラビアSAMA、UAE NIAF、南アフリカPOPIA

専門分野

• 産業/OT: IEC 62443 (197)、NERC CIP (224)、NIST 800-82
• 自動車: ISO/SAE 21434、TISAX、UN R155
• 医療/医療機器: HIPAA、HITRUST、CMS MARS-E、IEC 81001-5-1、IMDRF N60/N73、FDA Premarket Cybersecurity

完全な262のSCFマッピング済みフレームワークのリストは、docs/coverage.mdを参照してください。

ツール

コアツール

version_info() - サーバーのバージョン、統計情報、およびトップフレームワークを取得

• 最初にこれを呼び出して、利用可能なデータを理解してください

list_frameworks() - コントロール数を含むすべての262のSCFマッピング済みフレームワークをリストする

get_control(control_id) - 特定のSCFコントロールの詳細を取得

• 説明、ドメイン、重み、PPTDFカテゴリ、およびすべての262のSCFマッピング済みフレームワークへのマッピングを返す

search_controls(query, frameworks=[], limit=10) - キーワードでコントロールを検索

• オプションのフレームワークフィルタリング
• 名前と説明に対する全文検索

get_framework_controls(framework) - 特定のフレームワークのすべてのコントロールを取得

• ドメイン別に整理されたコントロールを返す

map_frameworks(source_framework, target_framework, source_control=None) - フレームワーク間のマッピング

• SCFを介した双方向マッピング
• 特定のソースコントロールへのオプションのフィルタリング

標準ツール

list_available_standards() - すべての利用可能な標準（SCF + 同梱の公開プロファイル + インポートされたもの）をリストする

query_standard(standard, query, limit=10) - 同梱の公開プロファイルまたは購入した標準内で検索

• 同梱の公開プロファイルは、公式ソースのリンク付きの精選された要約を返す
• 購入した標準は最初にインポートする必要があり、ユーザーのコピーから条項のテキストを返す

get_clause(standard, clause_id) - 特定の条項またはセクションを取得

• 同梱の公開プロファイルは精選された要約セクションを返す
• 購入した標準は公式の条項テキストを取得するために最初にインポートする必要がある

同梱の公開国内プロファイル

これらのプロファイルはインストール後すぐに利用可能で、公式の公開出版物から取得されています。

• netherlands_bio - オランダBIO2
• finland_katakri - フィンランドKATAKRI 2020
• norway_nsm - ノルウェーNSM ICTセキュリティの基本原則
• sweden_msb - スウェーデンMSB情報セキュリティとインシデント報告プロファイル
• denmark_cfcs - デンマークCFCSサイバー防衛プロファイル
• belgium_ccb - ベルギーCyberFundamentals (CyFun)
• france_anssi - フランスANSSIサイバー衛生ベースライン

インポート手順については、PAID_STANDARDS_GUIDE.mdを参照してください。

購入した標準の追加（オプション）

購入したISO 27001、NIST SP 800-53、またはその他の標準をインポートすることで、SCFの説明とともに公式テキストを取得できます。

# インポートツールをインストール
pip install security-controls-mcp[import-tools]

# 購入したPDFをインポート
scf-mcp-import import-standard \
  --file ~/Downloads/ISO-27001-2022.pdf \
  --type iso_27001_2022 \
  --title "ISO/IEC 27001:2022"

# MCPを再起動してからクエリを実行

有料コンテンツは~/.security-controls-mcp/にプライベートに保存されます（gitにはコミットされません）。

完全なガイド: PAID_STANDARDS_GUIDE.md

🔧 技術詳細

データパイプライン

SCF JSON → メモリ内インデックス → MCPツール → AI応答

主要な原則

• すべてのコントロールテキストは、SCFソースからそのまま返され、LLMによる改述は一切行われません
• フレームワークマッピングには、ComplianceForgeの信頼できるクロスウォークを使用します
• オプションの購入した標準はローカルに保存されます（gitにはコミットされません）
• 検索結果はAIのコンテキストウィンドウに最適化されています

データの整合性

• SCFバージョンは一貫性のために2025.4に固定されています
• すべてのマッピングは公式のSCFフレームワーククロスウォークから取得されています
• ユーザーがインポートした標準には有効なライセンスが必要です

データソース

SCF 2025.4（2025年12月29日リリース）に基づいています。

• すべてのドメインにまたがる1,451のコントロール
• 完全なマッピングカバレッジを持つ262のSCFマッピング済みフレームワーク
• クリエイティブ・コモンズ（データ）のライセンスを取得
• ソース: ComplianceForge SCF

含まれるデータファイル:

• scf-controls.json - フレームワークマッピングを含むすべての1,451のコントロール
• framework-to-scf.json - フレームワークからSCFへの逆インデックス

関連プロジェクト

Ansvarのコンプライアンススイートの一部です。エンドツーエンドのコンプライアンスのために連携するMCPサーバーです。

EU Regulations MCP - 47のEU規制（GDPR、AI Act、DORA、NIS2など）をクエリできます

• npx @ansvar/eu-regulations-mcp
• github.com/Ansvar-Systems/EU_compliance_MCP

US Regulations MCP - 米国の連邦および州のコンプライアンス法律（HIPAA、CCPA、SOXなど）をクエリできます

• npm install @ansvar/us-regulations-mcp
• github.com/Ansvar-Systems/US_Compliance_MCP

OT Security MCP - IEC 62443、NIST 800-82/53、MITRE ATT&CK for ICSをクエリできます

• npm install @ansvar/ot-security-mcp
• github.com/Ansvar-Systems/ot-security-mcp

ワークフロー例

1. "DORAの要件でICTリスク管理に適用されるものは何ですか？"
   → EU Regulations MCPがArticle 6の全文を返す

2. "DORA Article 6を満たすセキュリティコントロールはどれですか？"
   → Security Controls MCPがISO 27001、NIST CSFのコントロールにマッピングする

3. "ISO 27001 A.8.1の実装詳細を表示してください"
   → Security Controls MCPがコントロールの要件を返す

開発

ブランチング戦略

このリポジトリはdev統合ブランチを使用しています。mainに直接プッシュしないでください。

feature-branch → PR to dev → verify on dev → PR to main → deploy

• mainは本番環境に適しています。devからのPRによるマージのみを受け付けます。
• devは統合ブランチです。すべての変更は最初にここに反映されます。
• 機能ブランチはdevから作成されます。

セットアップ

# クローンしてインストール
git clone https://github.com/Ansvar-Systems/security-controls-mcp.git
cd security-controls-mcp
pip install -e '.[dev]'

# プリコミットフックをインストール
pre-commit install

# テストを実行
pytest tests/ -v

プリコミットフックは各コミットの前に自動的に実行されます:

• コードフォーマット（black、ruff）
• リンティング（ruff check、YAML/JSON検証）
• テスト（pytest、スモークテスト、サーバー起動）

フックをバイパスする（緊急時のみ）: git commit --no-verify

重要な免責事項

⚠️ 重要提示

コントロールテキストは公式のSCFデータから直接取得されていますが、このツールをコンプライアンス判断の唯一の根拠として使用しないでください。常に公式のフレームワークソースを確認し、資格のあるコンプライアンス専門家に相談してください。

⚠️ 重要提示

SCFライセンスは、AIシステムを使用してSCFデータに基づくポリシー、標準、手順、メトリック、リスク、または脅威などの派生コンテンツを生成することを明確に禁止しています。コントロールをクエリして分析することはできますが、派生コンプライアンスアーティファクトを生成することはできません。

⚠️ 重要提示

オプションの標準のインポートには有効なライセンスが必要です。正当なコピーを所有し、著作権の制限に準拠する必要があります。このツールには著作権のある標準テキストは含まれておらず、配布もしません。

⚠️ 重要提示

SCFは包括的なマッピングを提供していますが、すべてのコントロールがフレームワーク間で1対1にマッピングされるわけではありません。常に公式のフレームワークドキュメントを確認して、信頼できる要件を確認してください。

📄 ライセンス

コード: Apache License 2.0（LICENSEを参照）

データ: ComplianceForgeによるCreative Commons Attribution-NoDerivatives 4.0 International (CC BY-ND 4.0)

• ソース: Secure Controls Framework (SCF)
• バージョン: SCF 2025.4（2025年12月29日）

できること:

• SCFコントロールをクエリして分析する
• フレームワーク間のマッピングを行う
• 自分の作品でコントロールを参照する（帰属表示をする）
• このMCPサーバーを使用してコントロールの要件を理解する

できないこと:

• AIを使用してSCFコントロールに基づくポリシーまたは手順を生成する
• 派生フレームワークまたは修正バージョンを配布する
• コントロールの定義を削除または変更する

完全な条件については、SCF Terms & Conditionsを参照してください。

Ansvarのその他のオープンソースプロジェクト

コンプライアンスとセキュリティの専門家向けに、一連のMCPサーバーを管理しています。

すべてのプロジェクトを閲覧する: ansvar.eu/open-source

開発元: Ansvar Systems（スウェーデン、ストックホルム）