原文（日本語に翻訳）

--mcp-config CLI フラグが allowedMcpServers/deniedMcpServers マネージドポリシーの適用をバイパスしていた問題を修正しました。

原文（英語）

Fixed --mcp-config CLI flag bypassing allowedMcpServers/deniedMcpServers managed policy enforcement

概要

--mcp-config フラグを使って独自の MCP 設定ファイルを指定した場合、組織の管理者が設定した allowedMcpServers や deniedMcpServers のポリシーが無視されてしまうセキュリティ上の問題が修正されました。修正後は、--mcp-config を使用しても管理ポリシーが正しく適用されます。

基本的な使い方

この修正はセキュリティ上のバグ修正です。エンドユーザーの通常の使用方法に変更はありませんが、セキュリティポリシーが正しく適用されるようになります。

# 管理者が deniedMcpServers に "dangerous-server" を設定している場合
$ claude --mcp-config custom-config.json
# 以前: custom-config.json に dangerous-server が含まれていても接続できた
# 修正後: managed policy が適用され、dangerous-server への接続が拒否される

実践例

ユースケース: 企業環境でのセキュリティポリシー遵守

IT 管理者が managed-settings.json で MCP サーバーのアクセス制限を設定している場合、--mcp-config フラグを使っても制限が有効になります。

// /etc/claude/managed-settings.json（管理者が設定）
{
  "deniedMcpServers": ["unauthorized-server"],
  "allowedMcpServers": ["approved-server-1", "approved-server-2"]
}

# ユーザーが独自の MCP 設定を試みても
$ claude --mcp-config my-config.json
# 管理ポリシーが適用され、許可されていないサーバーはブロックされる

ユースケース: ポリシー違反の検出

修正前にポリシーをバイパスできていた設定は、修正後に接続が拒否されるようになります。

# 修正後の動作確認
$ claude --mcp-config config-with-denied-server.json
# エラーメッセージ: MCP server 'unauthorized-server' is denied by policy

注意点

• これはセキュリティ修正であり、企業や組織の管理者にとって重要な変更です
• allowedMcpServers と deniedMcpServers の両方のポリシーが正しく適用されます
• 正当な用途で --mcp-config を使用していても、許可されたサーバーへの接続は引き続き機能します
• この修正は v2.1.83 以降で有効です

関連情報

• Claude Code ドキュメント
• MCP 設定リファレンス