---
title: "Cursorでmcp.jsonを安全にGit管理する方法"
date: 2025-12-08
categories:
  - "AI IDE"
  - "Cursor"
url: "https://hidetaka.dev/ja/writing/dev-notes/secure-api-key-management-on-mcp-server-in-cursor"
---

Cursorを使ってアプリケーションを開発する際、GitHub や Backlog / Stripe / CircleCI などのMCPサーバーと連携し、さまざまな開発ツールと連携させたエージェンティックなワークフローを構築することがあります。しかし場合によっては、サービス連携のために必要な API キーの設定などが必要となり、Gitで MCPサーバーの設定を共有する仕組みに悩むことがあります。

この記事では、Cursorで安全にMCPサーバーの設定をGitで共有できる方法を紹介します。

## CursorでのMCPサーバー設定はJSONで共有

Cursorにはプロジェクト単位でMCPサーバーの設定を行う機能が用意されています。この機能を利用することで、「このプロジェクトで使うMCPサーバーはこれ」「このプロジェクトで使うMCPサーバーの機能（ツール）を制限する」などの管理や、新しく参加したメンバーへの環境セットアップの効率化などが図れます。

`.cursor/mcp.json`を作成し、以下のコードを入れてみましょう。これでこのプロジェクトではPlaywright MCPサーバーが利用できるようになります。

```
{
  "mcpServers": {
    "playwright-mcp": {
      "command": "npx",
      "args": [
        "@playwright/mcp@latest"
      ]
    }
  }
}
```

この方法に対する懸念点は１つ、APIキーなどの漏洩リスクです。JSONで設定を行うため、Stripe / Backlog / CircleCIなどの外部サービスとの連携を行うには、JSON内にAPIキーを記述する必要があります。

```
{
    "mcpServers": {
      "circleci-mcp-server": {
        "command": "npx",
        "args": ["-y", "@circleci/mcp-server-circleci"],
        "env": {
          "CIRCLECI_TOKEN": "YOUR_SECRET"
        }
      }
    }
  }
```

このようなファイルをGitにcommitしてしまうと、JSONに記載したAPIキーが漏洩しかねない状態になります。

## `envFile`で環境変数をファイルから読み取る

Cursorで`mcp.json`を安全に扱うために知っておきたいパラメーターが`envFile`です。これを使うことで、先に紹介した「APIキーを必要とするMCPサーバーの設定を、Git管理されている`mcp.json`に記載できない」問題が解決できます。

このパラメーターは、該当のMCPサーバーを起動する際に読み取る環境変数ファイルのパスを指定できます。`.env`にAPIキーを記載しておけば、`mcp.json`では`.env`ファイルのパスを`envFile`に定義しておくだけで、MCPサーバーもAPIキーを`.env`のデータを読み取って利用してくれます。

先ほどのCircleCI MCPサーバーの例ですと、まず`.env`ファイルにAPIキーを移動させます。

```
CIRCLECI_TOKEN=CCIPAT_xxx
```

その後、`.cursor/mcp.json`の設定を変更し、`envFile`を指定します。

```
{
    "mcpServers": {
      "circleci-mcp-server": {
        "command": "npx",
        "args": ["-y", "@circleci/mcp-server-circleci"],
        "envFile": "${workspaceFolder}/.env"
      }
    }
  }
```

これで`mcp.json`にAPIキーなどの機密情報がなくなりました。あとは`.env`ファイルを`.gitignore`していることを確認し、Gitに追加しましょう。

## APIキーは`.env`で集約管理しよう

MCPサーバーはとても便利でパワフルな開発支援ツールの１つです。しかしMCPサーバーのためにアプリケーションとは異なるファイルにAPIキーを追加で記述し、２重管理にするのはあまり好ましい状況ではありません。また、MCPサーバーの設定をチームで共有したい場合にも、APIキー漏洩リスクなどから、`mcp.json`にAPIキーを直接記述することはお勧めできません。

`envFile`を活用し、安全かつ効率的なチーム開発フローを実現しましょう。