「AIに仕事を任せたい」と思っても、ツール連携のコードを何本も書き、エージェント同士が孤立したまま動くだけ——そんな壁を感じたことはないでしょうか。その原因は、AIの「賢さ」ではなく接続規格の不在にあるのかも知れません。2024年末から2025年にかけて登場したMCPとA2Aという二つのプロトコル(通信規格)が、その壁を取り払おうとしています。
MCPとA2A——「縦と横」が担う役割
MCPは「道具との接続」を標準化する縦の軸
MCP(Model Context Protocol)はAnthropicが2024年11月に公開したオープン規格です[1]。AIモデルと外部ツール・データソースをJSON-RPC 2.0ベースで繋ぎ、「どのエージェントからでも、どのツールにでも同じ手順で接続できる」仕組みを提供します。
導入以前は、データベース・API・ファイルシステムとの接続にそれぞれカスタムコードが必要でした。Anthropicはこれを「N×M問題」と呼び、MCPが解決策になると位置づけました[1]。ツールやリソース側がMCPサーバーとして実装していれば、エージェント(MCPクライアント)はそのサーバーと共通の言語で対話でき、個別の接続コードは不要になります。
A2Aは「エージェント間の会話」を可能にする横の軸
しかしMCPだけでは、エージェントはあくまで「高性能な単独行動者」に留まりがちです。複数のエージェントが分業・委任し合うには、別の層が必要です。その答えが、Googleが2025年4月9日に発表したA2A(Agent-to-Agent)プロトコルです[3]。
A2Aの核心は「エージェントカード」という概念にあります。各エージェントが/.well-known/agent-card.jsonに自分の能力をJSON形式で公開し、他のエージェントがそれを読んで適切な相手を探し出せる仕組みです[4]。通信にはHTTP・JSON-RPC・SSE・gRPCといった既存の標準技術を使うため、新たなインフラを必要としません。発表時点でSalesforce・PayPal・SAP・Atlassianなど150社超が支持を表明し、Accenture・BCG・Deloitte・McKinseyといった大手コンサルティングファームも名を連ねました[3]。
二つが揃って初めて完全自動化が成立する理由
単独では埋まらない欠如
MCP単独の場合、エージェントは強力な道具を持つ一人のプレイヤーです。しかしビジネスプロセスは一人では完結しません。一方A2A単独では、エージェント同士が会話はできても、実行のための道具や文脈を持てません。つまり「縦の深さ(MCP)」と「横の広さ(A2A)」のどちらが欠けても、エンドツーエンドの自動化は機能しないのです[5]。
Ciscoのエンジニアはこの構造をネットワークのL2とL3の関係に例えています[4]。上位の管理エージェントがA2Aを使って専門エージェント(在庫分析・発注・通知)を発見・選択し、選ばれた専門エージェントがMCPで具体的なツールを呼び出す——この二段構えの分業こそが、完全自動化の実像です。BCGはこのアーキテクチャについて「エージェントが増えるほど統合コストが二乗的に増加していたものを、線形増加に抑えられる」と分析しています[2]。
二層が交差するエンドツーエンド自動化の実像
具体的にどう動くか、小売業の例で見てみましょう。在庫エージェントがMCPでデータベースに接続して欠品を検知します。その情報を受けた発注エージェントが、A2Aを通じて外部サプライヤーのエージェントへタスクを委任します。在庫補充から発注完了まで、人手を介さずにプロセスが完結します[6]。
この流れが示すのは、MCPが「コンテキスト(文脈と道具)」を供給し、A2Aが「コーディネーション(協調と委任)」の基盤を作るという役割分担です。両者は競合するのではなく、互いがなければ片方が機能しない依存関係にあります。
業界標準化の加速とセキュリティという課題
Linux Foundation管理下での業界結集
MCPは2025年12月にLinux Foundation傘下のAgentic AI Foundation(AAIF)へ移管され、創設時の拠出はAnthropic/Block/OpenAI、Google/Microsoft/AWS等はプラチナメンバーとして参画しています[1]。A2Aもその前の2025年6月にLinux Foundationプロジェクトとして移管され[7]、7月にはv0.3がリリースされてgRPCサポートや署名付きセキュリティカードが追加されました[3]。競合する巨大テック企業が共通インフラに署名するという、業界では異例の出来事です。この動きは、接続規格の標準化が技術の問題ではなく産業インフラの問題として認識された証左といえます。
広がる接続面が生む新たなリスク
一方で、接続性の拡大はリスクも増大させます。2025年4月以降、セキュリティ研究者たちはMCPにプロンプトインジェクション(AIへの不正命令の注入)やツールポイズニング(ツール定義への悪意ある改ざん)といった脆弱性を複数確認しています[8]。CVE-2025-6514では、43.7万以上ダウンロードされた人気の高いOAuthプロキシの脆弱性が発覚しました[9]。
Microsoftはこれらに対して「AIシステムのセキュリティは、組織全体のセキュリティ体制を引き継ぐ」と指摘し、最小権限の原則や多要素認証などの基本的なセキュリティ衛生の徹底を推奨しています[10]。接続規格の成熟とセキュリティ対策は常に非同期で進むという現実を、導入者は直視する必要があります。
さいごに
MCPが縦の軸として道具との接続を標準化し、A2Aが横の軸としてエージェント間の協調を可能にする——この二層構造が交差したとき、AIエージェントは初めて「組織をまたいだ完全自動化」の主体になれます。
今後に向けて、まずはMCPを使って自社システムとエージェントを繋ぐ一点突破から始め、エージェントが増えてきた段階でA2Aによる横連携を設計するという段階的なアプローチが現実的です。ただし、セキュリティの設計は後回しにしてはなりません。接続が広がるほど、攻撃面も広がります。この二つのプロトコルを「技術仕様」としてではなく、事業インフラの設計思想として捉えることが、完全自動化への確かな一歩になるでしょう。
出典
- [1] Model Context Protocol – Wikipedia – Wikipedia
- [2] MCP and A2A: The Protocols Building the AI Agent Internet – Medium
- [3] Announcing the Agent2Agent Protocol (A2A) / Agent2Agent protocol (A2A) is getting an upgrade – Google Developers Blog / Google Cloud Blog
- [4] MCP and A2A: A Network Engineer’s Mental Model for Agentic AI – Cisco Blogs
- [5] The rise of agentic AI part 1: Understanding MCP, A2A, and the future of automation – Dynatrace
- [6] What Is Agent2Agent (A2A) Protocol? – IBM
- [7] Linux Foundation Launches the Agent2Agent Protocol Project – Linux Foundation
- [8] New Prompt Injection Attack Vectors Through MCP Sampling – Palo Alto Networks Unit 42
- [9] A Timeline of Model Context Protocol (MCP) Security Breaches – AuthZed
- [10] Protecting against indirect prompt injection attacks in MCP – Microsoft for Developers
この記事を書いた人
