Cloudflare、MCP設計を2ツール化しトークン消費を99.9%削減

Model Context Protocolは、もう開発者の実験だけの話ではない。会社全体のインフラへ入り始めたことで、問いも変わった。重要なのはagentがtoolを呼べるかではなく、その呼び出しをどれだけ安く、安全に、そして統制可能な形で運用できるかだ。Cloudflareは2026-04-14付のenterprise MCPの記事で、engineering、product、sales、marketing、financeまでMCP利用が広がった後に何が起きたかを書いている。ここが面白い。未来像の宣伝ではなく、agent workflowが大企業の内部に広がった瞬間にauthorization sprawl、prompt injection、supply chain riskが前面化することを、実例として示しているからだ。

Cloudflareは、その拡大を止めるのではなく、Cloudflare Oneとdeveloper platformの制御を組み合わせて統治すると説明する。記事で新しく打ち出した要素は2つある。1つはtoken costを大きく下げるCode Mode with MCP server portals。もう1つは未承認のremote MCP server利用を見つけるShadow MCP detectionだ。どちらも抽象論ではない。社員がagentを内部API、private data store、SaaSへつなぎ始めると、どのserverが実際に使われているのか見えなくなること自体がリスクになる。企業はmodelの性能だけでなく、どのendpointが接続され、どのpolicyが適用されているかまで追えなければならない。

記事の中で最も強い数字は99.9%だ。Cloudflareは、標準的なMCPのようにAPI operationごとに別々のtoolを露出させるやり方では、とくに数千のendpointを持つ大規模platformでagentのcontext windowがすぐ尽きるとみている。その代わりに示したのがserver-side Code Modeだ。巨大なtool一覧を渡すのではなく、searchとexecuteの2ツールだけを提供し、modelがJavaScriptで利用可能な操作を調べ、JavaScriptで実行する。Cloudflareによれば、この設計で数千のAPI endpointを公開しつつ、exhaustive-tool方式と比べてtoken使用量を99.9%削減できたという。

より大きな流れもはっきりしている。MCPの次の局面は、プロトコルの話題性より運用規律で差がつく可能性が高い。コスト管理、可観測性、authorization boundary、安全なデフォルトが揃わなければ、agent accessは調達やsecurity reviewを通れない。Cloudflareは、enterprise MCPの勝者はagentをより安く、より統治しやすくするplatformだと賭けているように見える。他社が別の実装を選んでも、この投稿はMCPがすでにモデル能力だけでは語れない段階に入ったことを示す明確な目印になっている。