ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

使わない手はない!追加料金なしで利用できる Orca Security MCP Server を Kiro IDE で使ってみた

AWS Kiro

こんにちは、Orca Security 担当の尾谷です。

Orca Security が提供する MCP Server を Kiro IDE で使ってみました。
Orca Security の AI 機能は、今年の 3 月からクレジット制になりましたが、な、なんと!Orca MCP Server は、2026 年 5 月時点ではクレジットを消費しません。

これは使わないという選択肢がないと思います。

本ブログで紹介している具体的な使い勝手や、ユースケースをご確認いただき、設定を検討いただければと思います。

Orca Security MCP Server とは

Orca Security MCP Server は、Model Context Protocol (MCP) を通じて LLM から Orca のセキュリティデータに直接アクセスできる仕組みです。ダッシュボードを開かずに、自然言語でアラートの調査やアセットの確認、コンプライアンスの状況把握ができます。

公式ドキュメントでは、対応する AI エージェントとして以下の 3 つが挙げられています。

  • Claude
  • Cursor
  • Microsoft Copilot Studio

Kiro IDE は対象として明記されていませんが、MCP はオープンスタンダードであり、Kiro も同じプロトコルをサポートしているため、Claude Desktop 向けの設定方式をそのまま流用して接続できました。

前提条件

Orca Security MCP Server を利用するには、以下が必要です。

  • リージョン別の API ドメイン URL
    末尾に /mcp を付けたもの(例: Australia リージョンの場合は、https://api.au.orcasecurity.io/mcp
  • Orca API トークン
    十分な権限を持つトークンを事前に発行しておく
  • uvx (uv)
    mcp-proxy を実行するために必要。
    未インストールの場合は pip install uv でインストール

Kiro IDE での設定方法

Orca の公式ドキュメントには Kiro 向けの手順はありませんが、Claude Desktop 向けの設定(mcp-proxy を使ってリモート HTTP MCP を stdio に変換する方式)がそのまま使えます。
Kiro IDE では、ワークスペースの .kiro/settings/mcp.json に MCP サーバーの設定を記述します。

僕は、.kiro/settings/mcp.json に以下を追加しました。

{
  "mcpServers": {
    "orca-remote": {
      "command": "uvx",
      "args": [
        "mcp-proxy",
        "https://api.au.orcasecurity.io/mcp",
        "--transport", "streamablehttp",
        "-H", "Authorization", "Token YOUR_ORCA_TOKEN"
      ]
    }
  }
}

グローバルに ~/.kiro/settings に設定もできますが、本日時点で 64 の MCP ツール (get_alerts や snooze_alaert など) が有効化されるため、利用するワークスペースのみに限定した方が良いかも知れません。

You have 64 MCP tools enabled.
We recommend disabling servers or tools to keep this below 50, as too many tools lead to degraded agent tool selection and high token usage consuming significant context.
You can disable servers and tools from the MCP Servers view.

なお、Kiro の MCP Servers ビュー(サイドバー)から、使わないツールを個別に無効化できますので、よく使いそうなツールだけ残して、残りを無効にすることもできます。

Disable ボタンから無効化できます

設定のポイント

  • API ドメイン:
    自分のリージョンに合わせた URL を指定します。オーストラリアリージョンの場合は api.au.orcasecurity.io、デフォルト (US) の場合は api.orcasecurity.io です
  • Authorization ヘッダー:
    Token プレフィックスを付けてトークンを渡します。僕は、プレフィックスを忘れて設定し、「MCP error -32000」の認証エラーになりました
  • mcp-proxy:
    リモートの HTTP MCP サーバーを stdio に変換するプロキシです
    Kiro は command + args 形式の stdio MCP サーバーをサポートしているため、この変換が必要です

接続時のトラブルシューティング

最初に接続した際、MCP error -32000: Connection closed というエラーが出ました。原因は以下の 2 点でした。

  1. API ドメインの不一致 — トークンは AU リージョンのものなのに、URL がデフォルトの api.orcasecurity.io (US) を指していた
  2. Token プレフィックスの欠落 — Authorization ヘッダーに Token プレフィックスを付けていなかった

これらを修正したところ、正常に接続できました。

実際に使ってみる

接続が完了したら、Kiro のチャットから自然言語で Orca のデータにアクセスできます。

試しに「orca-513XXX のアラートの詳細を教えて」と聞いてみました。

取得できた情報

項目 内容
タイトル IAM Role with Administrative Privileges
リスクレベル High
Orca スコア 7.3
カテゴリ IAM misconfigurations
MITRE Privilege Escalation — Valid Accounts (T1078)
対象ロール amplifyconsole-backend-role
アカウント test-account (123456789012)

このロールには AdministratorAccess ポリシーがアタッチされており、アカウント内の全リソースに対して全アクションが許可されている状態でした。
Orca は最小権限の原則に基づき、ReadOnlyAccess への縮小を推奨しています。

Kiro のチャット上で、アラートの詳細確認から推奨される修復手順、関連するコンプライアンスフレームワークまで一度に確認できました。ダッシュボードを行き来する必要がなく、調査のスピードが上がる実感があります。

AppSec にも対応

もちろん、AppSec にも対応しています。
僕は こちら のブログで作った GitHub リポジトリを Orca AppSec に接続して、検出されたアラートを MCP 経由で調査してみました。
プライベートリポジトリですが、GItHub リポジトリの参照設定を行うことでスキャンできます。

どのリソースで、どのパッケージによって引き込まれたリスクなのかを適切に説明してもらえたので、内容が明確になりました。
Orca のアラート画面からここまで解像度の高い理解まで落とし込もうとすると、かなり時間がかかります。

Kiro のクレジット消費は、Credits Used: 0.64 でした。(Claude Sonnet 4.6 利用)Orca の AI クレジットは消費しないので、積極的に使っていきたいと感じました。

その他のユースケース

Orca MCP Server では、アラート調査以外にも以下のようなことができます。

  • アセット検索:
    「インターネットに公開されているアセットを検索して」
  • コンプライアンス確認:
    「PCI DSS で失敗しているコントロールを教えて」
  • CDR イベント調査: 「過去 24 時間の CloudTrail イベントを検索して」
  • 攻撃パス分析:
    「このアラートの攻撃パスを確認して」
  • IAM 権限分析:
    「このロールの実効権限を確認して」
  • ドキュメント検索:
    「Orca でアセットにラベルを追加する方法は?」

まとめ

Orca Security MCP Server は、公式ドキュメントでは Claude / Cursor / Microsoft Copilot Studio が対象とされていますが、MCP はオープンスタンダードなので Kiro IDE でも問題なく利用できました。

  • Claude Desktop 向けの mcp-proxy 方式をそのまま .kiro/settings/mcp.json に記述するだけで接続可能
  • リージョンと Token プレフィックスの設定に注意すればスムーズに繋がる
  • ツール数が多いので、使うものだけ有効にしておくのがおすすめ
  • チャットから自然言語でアラート調査やアセット確認ができ、ダッシュボードを開く手間が省ける

セキュリティ運用の中で「ちょっとアラートの詳細を確認したい」「このアセットの状態を知りたい」といった場面で、コードを書きながらそのまま調査できるのは便利です。
Orca Security をご利用の方は、是非、試していただきたいです。

以上、最後までお読みくださりありがとうございました。