github-mcp-server（GitHub公式）使い方｜Claude CodeにGitHub直接アクセスを与えるMCPサーバー完全ガイド

github-mcp-server は GitHub が公式に提供する Model Context Protocol（MCP）サーバーで、Claude Code などのAIクライアントから Issue・Pull Request・リポジトリ・Actions・コードセキュリティを自然言語で直接操作できるようにする純正OSSです。 2025年9月にリモートサーバーが一般提供（GA）に到達し、現行バージョンは v1.0.x（2026年4月時点）。旧 npm パッケージ @modelcontextprotocol/server-github は2025年4月に非推奨化されているため、現行の公式手順は github/github-mcp-server の Docker イメージまたはリモートHTTPサーバーを使う構成です。

この記事でわかること:

github-mcp-server が何者で、何ができて、Claude Code とどう繋がるか
リモート / ローカル Docker / ローカルバイナリ / レガシーHTTP の 4経路の違いと選び方
Claude Code と Claude Desktop それぞれの現行セットアップ手順（コマンド付き）
23種類の toolset を最小構成から安全に広げる順序
Fine-grained PAT 設計、Read-only / Lockdown モード、プロンプトインジェクション対策

想定読者は、Claude Code（または Claude Desktop / Cursor）から GitHub を直接操作したい 開発者・チームリード・DevOps 担当です。

github-mcp-server とは何か

GitHub公式 MCPサーバー github-mcp-server リポジトリのソーシャルプレビュー

出典: github/github-mcp-server 公式リポジトリ

github-mcp-server は、GitHub プラットフォームと AI クライアント（Claude Code、Claude Desktop、Cursor、VS Code Copilot など）を Model Context Protocol でつなぐ GitHub 公式のMCPサーバーです。リポジトリ github/github-mcp-server で MIT ライセンス公開されており、Go 製、Docker イメージは ghcr.io/github/github-mcp-server から配布されています。2026年4月時点で Star 約29.2k、Fork 約4.1k の規模です。

Model Context Protocol（MCP）とは、AI アシスタントに外部ツール・データソースへのアクセスを標準化して与えるためのプロトコルです。github-mcp-server はその MCP 仕様に沿って、GitHub の REST / GraphQL API を AI から呼べる「ツール」として公開します。Claude Code に接続すると、「このリポジトリの最新Issueをラベル別に整理して」「このPRの差分をレビューして、問題があればコメント下書きを作って」といった自然言語指示が、そのまま GitHub 操作として実行できるようになります。

提供形態は大きく2系統です。

リモートMCPサーバー（GitHubホスト）: https://api.githubcopilot.com/mcp/ にHTTPで接続する方式。インフラ管理・トークン自動更新・パッチ適用が不要。OAuth 2.1 + PKCE に対応。2025年9月4日に GA（公式Changelog）。
ローカルMCPサーバー: ghcr.io/github/github-mcp-server の Docker イメージ、またはビルド済みバイナリをローカルで起動する方式。Personal Access Token（PAT）を環境変数で渡して認証する。

⚠️ 古い情報に注意: 旧 npm パッケージ @modelcontextprotocol/server-github は 2025年4月に非推奨（deprecated）化されています。日本語ブログにはまだ npx @modelcontextprotocol/server-github を使う手順が残っていますが、現行の正解は github/github-mcp-server のリモートサーバーまたは Docker イメージです。

料金とプラン要件

github-mcp-server 自体は無料（OSS / MIT）で、リモートサーバーの利用も追加料金は発生しません。 ただし MCP 経由で呼び出される GitHub 側の機能には、それぞれのプラン要件がそのまま適用されます。

項目	料金・要件
github-mcp-server 本体（ローカル / リモート）	無料
リポジトリ閲覧・Issue / PR 操作	GitHub 無料アカウントで利用可
Code Scanning / Secret Scanning（プライベートリポ）	GitHub Advanced Security（GHAS）契約が必要
Copilot Coding Agent 連携	GitHub Copilot（Business / Enterprise 等）の契約
GitHub Enterprise Server / Enterprise Cloud サポート	`GITHUB_HOST` 環境変数で指定（GHES / ghe.com 対応）
組織統制（MCP servers in Copilot ポリシー）	Copilot Business / Enterprise の管理機能

つまり、「AI経由で GitHub を触る」こと自体は無料で、有料機能を AI から呼ぶ場合だけ元のプランに従うという構造です。

リモート / ローカルの4経路を比較する

Claude Code から github-mcp-server に接続する方法は、現時点で実質4つあります。最初にどれを選ぶかで運用負荷とセキュリティが大きく変わるため、比較表で整理します。

経路	推奨環境	認証	主なメリット	主なデメリット
A. リモートHTTP（新形式）	Claude Code 2.1.1+	PAT または OAuth 2.1+PKCE	セットアップ最短、自動アップデート、Docker不要	企業プロキシ配下は要確認
B. リモートHTTP（レガシー）	Claude Code 2.1.0以前 / Windows	PAT（Bearer）	旧バージョン互換、Windowsで安定という報告	近い将来に非推奨化される可能性
C. ローカル Docker	Claude Desktop、オフライン要件	PAT（環境変数）	クライアント実装差に強い、閉域運用可能	Docker 起動・PAT 管理が必要
D. ローカルバイナリ（`go build`）	Docker を避けたい環境	PAT（環境変数）	軽量・常駐プロセスが少ない	自前ビルド・手動アップデート

選び方の目安:

迷ったら A（リモートHTTP新形式）。2025年9月の GA 以降、もっとも運用が楽です。
Claude Desktop を使う場合は C（ローカル Docker）一択。現時点（2026年4月）で Claude Desktop はリモート OAuth に未対応です。
Windows + Claude Code で A がうまく動かない場合は B。Bearer ヘッダ周りの差で安定しないという公式トラブルシューティング記載があります。
D はオフライン環境・カスタムビルド要件がある場合のみ。通常は A または C で十分です。

何ができるか（toolset 一覧）

github-mcp-server は、23 種類ほどの「toolset」として約100以上のツール（個別関数）を提供します。--toolsets フラグまたは GITHUB_TOOLSETS 環境変数で有効化する範囲を選びます。

デフォルトで有効化されるのは context・repos・issues・pull_requests・users の5つで、まずはここから始めるのが公式推奨です。

toolset	主な用途
`context`	ユーザー・GitHub の前提コンテキスト取得（強く推奨）
`repos`	リポジトリ閲覧・ファイル取得・コード検索・コミット解析
`issues`	Issue の作成・更新・コメント・ラベリング
`pull_requests`	PR の作成・レビュー・マージ・差分取得
`users`	ユーザー検索・プロファイル
`actions`	Workflow 実行確認・ログ取得・再実行
`code_security`	Code Scanning アラート（GHAS連携）
`secret_protection`	Secret Scanning アラート
`dependabot`	Dependabot アラート・更新管理
`discussions`	GitHub Discussions 閲覧・投稿
`gists`	Gist 作成・管理
`git`	低レイヤの Git API 操作
`labels`	ラベル作成・付与
`notifications`	通知取得・既読化
`orgs`	Organization 情報参照
`projects`	GitHub Projects（カンバン）操作
`security_advisories`	Security Advisory 参照
`stargazers`	Star 履歴
`copilot`	Copilot Coding Agent 等の関連機能
特殊指定 `all`	すべての toolset を有効化
特殊指定 `default`	デフォルトセットに追加で上乗せ

最小から始めるなら: context,repos,issues,pull_requests の4つ。これだけで日常的なコードレビュー、Issue整理、PR作成の大半をカバーできます。セキュリティ監査を AI に任せたくなったら code_security・secret_protection・dependabot を追加する流れが実務的です。

toolset を絞ることにはコンテキスト節約とハルシネーション抑制の副次効果があります。MCP ツール数が多いほど、AI が毎ターン読み込むツール定義が膨れ、関係ないツールを誤選択する確率も上がります。「全部有効化（all）」は検証用にとどめ、本番では必要分だけ有効化しましょう。

Claude Code への導入手順

出典: Claude Code 公式サイト

前提:

Claude Code CLI がインストール済み（claude --version で確認）
GitHub Personal Access Token（Fine-grained PAT 推奨、詳細は後述）
ローカル経路を選ぶ場合は Docker Desktop など

経路A: リモートHTTP（Claude Code 2.1.1+ / 推奨）

claude mcp add-json github '{"type":"http","url":"https://api.githubcopilot.com/mcp","headers":{"Authorization":"Bearer YOUR_GITHUB_PAT"}}'

スコープは --scope フラグで選べます。

local（デフォルト）: 現在のプロジェクトのみ
project: .mcp.json 経由でチーム共有
user: ログインユーザーの全プロジェクト

チーム共有用途では --scope project で .mcp.json にコミットし、PAT 自体は ${GITHUB_PAT} のような環境変数参照にしておくのが安全です。

経路B: リモートHTTP（レガシー形式）

Claude Code 2.1.0 以前、または Windows で A がうまく動かない場合:

claude mcp add --transport http github https://api.githubcopilot.com/mcp \
  -H "Authorization: Bearer YOUR_GITHUB_PAT"

経路C: ローカル Docker

claude mcp add github -e GITHUB_PERSONAL_ACCESS_TOKEN=YOUR_GITHUB_PAT \
  -- docker run -i --rm -e GITHUB_PERSONAL_ACCESS_TOKEN ghcr.io/github/github-mcp-server

経路D: ビルド済みバイナリ

claude mcp add-json github '{"command":"github-mcp-server","args":["stdio"],"env":{"GITHUB_PERSONAL_ACCESS_TOKEN":"YOUR_GITHUB_PAT"}}'

動作確認

# 登録されたMCPサーバーの一覧
claude mcp list

# github の設定詳細
claude mcp get github

Claude Code セッション内では /mcp コマンドで接続状態を確認できます。「Connected」と表示され、ツール一覧に list_issues・create_pull_request などが並んでいれば成功です。

最初に試すプロンプト例

このリポジトリ（owner/repo）の直近1週間のOpen Issueをラベル別にまとめてください。
各Issueに対して、重要度（High / Medium / Low）の私見もつけてください。

main ブランチに対するOpen PRのうち、変更行数が500行を超えるものを一覧化し、
分割可能か判断してください。可能なら分割案を提示してください。

Claude Desktop への導入

Claude Desktop は 2026年4月時点でリモートMCP（OAuth）未対応のため、ローカル Docker 構成を使います。公式インストールガイドにも明記されています。

設定ファイルの場所:

macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
Windows: %APPDATA%\Claude\claude_desktop_config.json
Linux: ~/.config/Claude/claude_desktop_config.json

{
  "mcpServers": {
    "github": {
      "command": "docker",
      "args": [
        "run", "-i", "--rm",
        "-e", "GITHUB_PERSONAL_ACCESS_TOKEN",
        "ghcr.io/github/github-mcp-server"
      ],
      "env": {
        "GITHUB_PERSONAL_ACCESS_TOKEN": "YOUR_GITHUB_PAT"
      }
    }
  }
}

編集後は Claude Desktop を再起動し、プロンプト入力欄のツールアイコンに GitHub 関連ツールが表示されれば完了です。

GitHub Personal Access Token の安全な設計

github-mcp-server のセキュリティは、PAT（Personal Access Token）のスコープ設計でほぼ決まります。 ここを雑に設定すると、後述のプロンプトインジェクション攻撃で一気に情報が漏れる構造になります。

必ず Fine-grained PAT を使う

GitHub には Classic PAT と Fine-grained PAT がありますが、MCP 用途では Fine-grained PAT 一択です。理由は「リポジトリ単位」と「操作単位」の両方で権限を絞れるからです。

推奨スコープ（開発用途の例）:

権限	推奨設定
Repository access	必要なリポジトリのみ選択（All repositories は避ける）
Contents	Read and write
Pull requests	Read and write
Issues	Read and write
Metadata	Read-only（必須）
Actions	必要なら Read-only、書き込みは慎重に
Administration	絶対に付けない

Administration スコープを付けると、AI が誤作動した瞬間にリポジトリを削除できる状態になります。公開リポ・業務リポ問わず、MCP 用 PAT に付与してはいけません。

有効期限とローテーション

有効期限は 90日以内を推奨。無期限トークンは作らない。
.env 等に保管し、必ず .gitignore に追加。リポジトリへのコミットを物理的に防ぐ。
期限切れを契機にローテーションする運用にしておくと、万一流出しても被害が限定される。

公開用と業務用で PAT を分ける

後述のプロンプトインジェクション対策で最も効果が高いのが、「公開OSSを触る用のPAT」と「業務リポを触る用のPAT」を物理的に分けることです。1つのPATで両方にアクセスできる状態は、攻撃が成立したときに業務情報が流出する経路になります。

Read-only / Lockdown / Dynamic Tool Discovery

github-mcp-server には、運用段階に応じて挙動を絞るフラグが用意されています。

Read-only モード

--read-only    # または環境変数 GITHUB_READ_ONLY=1

書き込み系ツールを完全に無効化する厳格フィルタで、他の設定より優先されます。

適しているケース:

本番環境の監査用途
コードレビューだけを AI に任せる
初導入の試運転（業務リポに対して最初の数週間はこれで回すのが無難）

GitHub Blog の実践ガイドでも「本番テストとコードレビューに最適」と明示されています。

Lockdown モード

--lockdown-mode    # または環境変数 GITHUB_LOCKDOWN_MODE=1

公開リポジトリから取得するコンテンツを、push 権限を持つ作者の投稿に限定する機能です。外部の誰でも投稿できる Issue や PR コメントに仕込まれたプロンプトインジェクションを、AI が読み込む経路自体を狭めます。プライベートリポジトリには影響しません。

Dynamic Tool Discovery（ベータ / ローカル限定）

--dynamic-toolsets    # または GITHUB_DYNAMIC_TOOLSETS=1

この設定を有効にすると、enable_toolset・list_available_toolsets・get_toolset_tools の3メタツールが利用可能になり、AI が必要になったタイミングで動的に toolset をロードします。常時全ツールを読み込むよりコンテキスト消費が減り、ハルシネーションも抑えやすくなります。

2026年4月時点ではベータ表記かつローカル限定で、リモートサーバーでは使えません。採用する場合は公式 README で最新状況を確認してください。

プロンプトインジェクションの現実的リスク

github-mcp-server はプロンプトインジェクション攻撃の実例が報告されている領域で、セットアップ後に必ず意識する必要があります。

2025年5月、セキュリティ企業 Invariant Labs が公式 GitHub MCP を標的にした実証攻撃「GitHub MCP Prompt Injection Data Heist」を公表しました。流れを要約すると次のようなものです。

攻撃者が公開リポジトリの Issue に、AI 向けの悪意ある指示（プロンプトインジェクション）を仕込む
開発者が AI に「Open Issue を一覧で見せて」と依頼
AI が悪意ある Issue を読み込み、仕込まれた指示に従って動作
同じ PAT の広い権限でプライベートリポにアクセス → 機密情報を公開リポに PR で流出させる

攻撃の核心は「AI が読み込むコンテンツ自体に指示が埋め込まれている」という点で、MCP 特有というより LLM + 外部データ取得全般のリスクです。対策の優先順位は次の通り。

PAT を Fine-grained で repository 単位に絞る（公開リポ用と業務リポ用で物理分離）
Read-only モードで運用できる範囲を明確に区切る（書き込みは人間が最終承認）
Lockdown モードを有効化（公開リポの第三者コメントを読み込み対象から除外）
Docker MCP Gateway などのインターセプタ層で「1セッション=1リポジトリ」原則を強制する選択肢もあり

この設計を最初に決めておくと、「便利だから toolset を広げたい」となったときも、被害面積を小さく保てます。

トラブルシューティング

現場で遭遇しやすい問題を整理します。

症状	主な原因と対処
`/mcp` で github が Connected にならない	PAT の誤り、Fine-grained PAT のリポジトリ未指定、Bearer 前後のスペース
`list_issues` などが権限エラー	PAT のスコープ不足、または該当リポへのアクセス未付与
Windows でリモートHTTP が不安定	経路B（`--transport http`）に切り替える
Claude Desktop でリモート接続できない	仕様（OAuth未対応）。Docker経路C へ切り替え
ツールが100以上出てきて AI が混乱	`GITHUB_TOOLSETS` で最小構成に絞る、または Dynamic Tool Discovery を有効化
GHES / Enterprise Cloud に接続したい	`GITHUB_HOST` 環境変数でエンドポイントを指定
`copilot` toolset の一部が動かない	remote-only の機能あり。ローカル経路では使えないことを確認
旧 npm パッケージ（`@modelcontextprotocol/server-github`）の手順で失敗	非推奨化済み。公式の `github/github-mcp-server` に移行する

個人・チーム・Enterprise 別のおすすめ構成

運用規模で最適解は変わります。

個人開発者

経路 A（リモートHTTP / Claude Code 2.1.1+）
Fine-grained PAT（公開リポ用と業務リポ用を分ける）
最初は context,repos,issues,pull_requests + Read-only モードで試運転
慣れたら Read-only を外し、書き込みツールに拡張

小〜中規模チーム

経路 A または C（Claude Desktop 利用者がいるかで決める）
.mcp.json を --scope project でコミット、PAT は環境変数参照
Lockdown モードをデフォルト有効化
toolset はリポジトリ単位で運用方針を決める（セキュリティ監査用チームだけ code_security を有効化等）

Enterprise

経路 A（OAuth 2.1 + PKCE）を基本
「MCP servers in Copilot」ポリシーで組織レベルの許可制を導入
PAT の長期運用をやめ、短命トークンに統一
Docker MCP Gateway 等のインターセプタ層で監査ログを取得
GHES 環境なら GITHUB_HOST を Terraform / 構成管理で配布

こんな人におすすめ

Claude Code で Issue / PR / リポジトリを直接操作したい開発者
コードレビュー・Issue トリアージを AI に任せて時間を短縮したい人
CI/CD ログ解析や Dependabot アラートの横断確認を自動化したい人
チームのコードセキュリティ運用（Code Scanning / Secret Scanning）を AI で補助したい DevOps 担当
GitHub Enterprise 環境を AI から扱いたい情シス・プラットフォームチーム

FAQ

Q1. 旧 @modelcontextprotocol/server-github の設定は消してもいい？
A. はい。2025年4月に非推奨化されています。既存の設定は公式 github/github-mcp-server（リモートまたはDocker）に置き換えてください。

Q2. PAT を OAuth に切り替えたい
A. リモートサーバーは OAuth 2.1 + PKCE に対応しています。ただし Claude Desktop は2026年4月時点で OAuth 未対応のため、Claude Desktop 利用者は引き続き Docker + PAT 構成が必要です。

Q3. toolset を全部有効化したらどうなる？
A. 100以上のツールが AI のコンテキストに載り、トークン消費が増え、無関係ツールの誤選択も起きやすくなります。推奨は最小構成から段階的に広げる方式です。

Q4. GitHub Enterprise Server（オンプレ）でも使える？
A. GITHUB_HOST 環境変数で接続先を指定すれば GHES / Enterprise Cloud（ghe.com）で動作します。サポートバージョンは公式ドキュメントを確認してください。

Q5. プロンプトインジェクションが怖い。導入すべきではない？
A. リスクはゼロではありませんが、Fine-grained PAT + Read-only + Lockdown モード + 公開/業務でPAT分離で現実的に抑え込めます。同じリスクは GitHub 以外の MCP サーバーやブラウザオペレーター型AIにも共通するため、運用設計で対応するのが実務的です。

Q6. 料金は本当にかからない？
A. github-mcp-server 本体とリモートサーバーの利用は無料です。ただし Code Scanning（プライベートリポ）や Copilot Coding Agent など、元の GitHub 機能側で有料プランが必要なものは通常通り課金対象です。

Q7. Cursor や VS Code Copilot でも使える？
A. 使えます。MCP 対応クライアント全般で動作しますが、設定ファイル形式やリモート対応状況はクライアントごとに異なるため、各クライアントの公式ドキュメントを参照してください。

次に読むべき関連記事

MCP の全体像から理解したい: MCPとは（Model Context Protocol）
Claude Code そのものを深掘り: Claude Codeとは / Claude Code 使い方ガイド
MCP連携の実装パターン: Claude Code MCP連携ガイド
セキュリティ設計: Claude Code セキュリティ安全な使い方 / AIコーディングセキュリティリスク
比較で選ぶ: Claude Code vs GitHub Copilot 比較 / AIコーディングツールおすすめ比較

まとめ

github-mcp-server は、Claude Code と GitHub を最小の工数で直結させる公式MCPサーバーで、2025年9月のリモートGA・2026年4月の v1.0.x 到達で運用が安定した段階に入っています。導入そのものは claude mcp add-json 一行で完了しますが、勝負は PAT 設計と toolset 選定です。