Oktaは2025年11月26日、AIエージェントの安全なアプリ連携を実現する機能「Cross App Access（XAA）」が、Model Context Protocol（MCP）の正式な認可拡張として追加されたと発表した。

MCPはAnthropicが1年前に公開した、AIエージェントが外部データやアプリケーションに標準化された方法でアクセスするためのプロトコルで、すでに約2000のMCPサーバーが公式レジストリに登録されている。

MCPはAIと業務ツールの相互運用性を高めてきたが、企業での本番利用が進むなか、アプリ間連携が管理者の監視外で構築され、コードに埋め込まれた静的認証情報が放置されるなど、セキュリティとガバナンスのギャップが浮上していた。XAAはこうした課題に対応するため、Oktaが中心となって開発・推進してきた認可プロトコルで、今回その仕様がMCPの公式拡張として採用された。企業が管理するアイデンティティ基盤を通じて、AIエージェントのアクセス権限を統合的に制御する仕組みを提供する。

開発者向けには、MCP公式SDKのアップデートによりXAAが利用可能となり、TypeScriptとJavaから対応が始まる。これにより、SDKで構築されたエージェントやツールはカスタムのセキュリティ実装を施すことなく、企業のアイデンティティ管理やポリシー適用を標準的に利用できるようになるという。

さらにXAAは、AIエージェントとアプリケーション間の直接接続を保護する役割にとどまらず、MCPに接続されたツール群全体のアイデンティティおよび認可管理を統合する基盤として機能する。XAA対応のIdP（アイデンティティプロバイダー）を利用すれば、静的APIキーを排除し、AIエージェントとのやり取りに一元的なポリシーを適用できるとしている。