SQL MCP Server | The .NET Bloghttps://thedotnetblog.com/ja/tags/sql-mcp-server/Articles, tutorials and insights from the .NET community.Hugoja@thedotnetblog (The .NET Blog)@thedotnetblogWed, 03 Jun 2026 00:00:00 +0000NL2SQLはエージェント時代のSQLインジェクションだhttps://thedotnetblog.com/ja/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/Wed, 03 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/ja/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/エージェントに自然言語でデータベースをクエリさせる前に、これを読んでください。NL2SQLはスキーマの完全性、不確定性、SQL MCP Serverが実際に何を解決するかを考えるまで、シンプルに見えます。<p>NL2SQLのピッチには完璧に聞こえるバージョンがあります:ユーザーが自然言語で質問し、エージェントがSQLを生成し、データが返ってくる。画面が少なく、クエリが少なく、コードが少ない。シンプル。</p> <p>そして5分後にもっと考えます。</p> <h2 id="デモで誰も話さない問題">デモで誰も話さない問題</h2> <p><strong>スキーマは物事を説明するように設計されていません。</strong> 不可解なテーブル名、一貫性のないカラム名、追加の述語なしでは意味的に無効な技術的に有効な関係 — これらはエンタープライズデータベースでは普通のことです。バグではなく、ビジネス変更の蓄積された歴史です。しかし、意図を伝えるように設計されていないスキーマから意図を推論するようにモデルに求めると、モデルは何があっても試みます。諦めません。最善のクエリを生成し、自信を持って結果を返します。</p> <p><strong>モデルは決定論的ではありません。</strong> 同じデータベースに同じ質問を2回して、異なるSQLを得るかもしれません。モデルは確率を計算しており、コンテキストのわずかな変化が異なる出力を生み出します。エージェントが常に正しいクエリを生成するという保証をテストで達成することはできません。</p> <p><strong>ユーザーレビューはスケールしません。</strong> 「実行前にすべてのクエリを確認するだけ」は安全に聞こえます。しかし、ユーザーがデータモデルとSQLの両方の専門家であることを前提としています — 自然言語インターフェースを必要としなかった人々まさにその人たちです。また、認知的過負荷と確認バイアスの新しいクラスをもたらし、クエリの複雑さに圧倒されたユーザーが無効なクエリを調査するのではなく承認します。</p> <p><strong>そしてインジェクションがあります。</strong> 従来のSQL開発では、パラメータ化がインジェクションを解決しました。ユーザー入力はSQLの構造ではなく、パラメータを埋めていたからです。NL2SQLでは、モデルがSQL自体を生成します。プロンプト、スキーマコンテキスト、会話履歴、取得されたデータすべてが実行されるものに影響します。誰かがモデルが生成するものを変えるプロンプトを作成した場合、それはインジェクションです — パラメータレベルではなく、クエリ生成レベルで。そしてテーブルの削除(明らか、回復可能)とは異なり、NL2SQLインジェクションは目に見えるエラーなしに誤った結果を返すクエリを生成します。ビジネス上の意思決定が間違ったデータに基づいてなされます。</p> <h2 id="sql-mcp-serverが実際に解決すること">SQL MCP Serverが実際に解決すること</h2> <p>ここで記事は最も実践的に有用な点を述べます。エージェントに任意のスキーマアクセスを与えて最善を望むのではなく、SQL MCP Serverは<a href="https://learn.microsoft.com/en-us/azure/data-api-builder/overview">Data API builder</a>の上に構築された<strong>厳選されたAPIサーフェス</strong>を公開します。</p> <p>違いは重要です:エージェントはSQLを生成しません。事前定義された結果形式を返す名前付きエンドポイントを呼び出します。SQLは開発者によって一度書かれ、決定論的です。エージェントの非決定論は任意のクエリを構築することではなく、<em>どの</em>エンドポイントを呼び出すかを選択することに制限されます。</p> <p>これは従来のアプリモデルでのSQLインジェクションに対してパラメータ化が行ったこと — 信頼できない入力から任意のクエリを構築する能力を削除すること — に類似しています。</p> <h2 id="正しい質問">正しい質問</h2> <p>記事は「NL2SQLを決して使うな」とは言っていません。それは言います:<em>どこで</em>適用し、<em>何を</em>公開するかについて慎重に考えてください。スコープされたスキーマと読み取り専用アクセスを持つ制御された環境での探索的分析には、NL2SQLで問題ないかもしれません。ビジネス上の意思決定が結果に依存する本番システムには、厳選されたAPIレイヤーが大幅に安全です。</p> <p>正直に言うと:いくつかの問題は、自然言語からSQLよりも名前付きエンドポイントの背後にある構造化されたクエリで解決する方が本当に優れています。SQL MCP Serverはエージェントインターフェースを完全に放棄することなく、そのオプションを提供します。</p> <p>元の投稿: <a href="https://devblogs.microsoft.com/azure-sql/sql-mcp-server-nl2sql/">Considering NL2SQL? Should your database really be the prompt? How can SQL MCP Server help?</a></p>