MCP Apps解説 — AIチャットにUIが生えた日、プロトコル戦争の次章が始まった

2026年のある朝、AIとの会話がテキストの応酬だけで終わる時代は静かに幕を閉じた。

1月26日、Model Context Protocol（MCP）の初の公式拡張として「MCP Apps」がリリースされた。AIツールが会話の中にインタラクティブなUIコンポーネントを直接レンダリングできるようにする仕様だ。ダッシュボード、フォーム、3Dビジュアライゼーション、マルチステップのワークフロー。これまで「テキストで説明して、別のアプリに切り替えて操作する」のが当たり前だったものが、チャットウィンドウの中で完結する。

この動きが意味するところを、冷静に掘り下げてみたい。

そもそもMCPとは何だったのか

MCP Appsを理解するには、その土台であるModel Context Protocolの現在地を押さえておく必要がある。

MCPはAnthropicが2024年11月にリリースしたオープンプロトコルで、AIモデルと外部ツール・データソースを接続するための標準規格だ。「AIのUSB-C」という比喩がよく使われる。どのAIクライアントからでも、同じプロトコルで同じツールにアクセスできる。ベンダーロックインなしに。

2026年4月現在、MCPのSDKは月間9,700万ダウンロードを超えた。リリース時の約200万から、OpenAI、Microsoft、AWSの相次ぐ採用を経て爆発的に拡大した。プロトコル戦争は事実上決着した。

公開されているMCPサーバーは10,000以上。データベース、CRM、クラウドプロバイダー、生産性ツール、開発ツール、eコマース。大手SaaSの約70%が自社のMCPサーバーを提供しているとされ、もはや「対応していないほうが珍しい」という段階に入りつつある。

ガバナンスも成熟した。2025年12月、AnthropicはMCPをLinux Foundation傘下のAgentic AI Foundation（AAIF）に寄贈。共同設立者にはBlock、OpenAI、支援企業としてGoogle、Microsoft、AWS、Cloudflare、Bloombergが名を連ねる。一企業のプロジェクトから、業界標準への移行が完了した。

MCP Appsが解決する問題

では、そこまで成功したMCPに何が足りなかったのか。

答えはシンプルで、UIだ。MCPは「ツールを呼び出して結果をテキストで返す」ことには長けていたが、視覚的な情報の提示やインタラクティブな操作には対応していなかった。営業分析を頼めばテキストで数字が返ってくるが、グラフをドリルダウンすることはできない。契約書のレビューを依頼すれば要約が返ってくるが、特定の条項をハイライトしてクリックで承認する、といった操作はできない。

MCP Appsは、この制約を取り払う。

技術的には、ツールがレスポンスに_meta.ui.resourceUriフィールドを含め、ui://スキームで提供されるUIリソース（HTML/JavaScript）を指し示す。ホスト側はそのリソースを取得し、サンドボックス化されたiframe内でレンダリングする。UIとホスト間の通信はpostMessageを介したJSON-RPCで行われ、すべてのやりとりが監査可能な形で記録される。

平たく言えば、MCPサーバーが「このデータを表示するUI」をHTMLとして返し、AIクライアントがそれをチャット内に安全に埋め込む。ユーザーはそのUIを直接操作でき、操作結果はAIモデルにフィードバックされる。

具体的に何ができるのか

公式リポジトリには、3Dビジュアライゼーション（threejs-server）、インタラクティブ地図（map-server）、PDF閲覧・アノテーション（pdf-server）、リアルタイムシステムモニタリング（system-monitor-server）、楽譜レンダリング（sheet-music-server）といったサンプルサーバーが用意されている。

実務的な場面で考えると、射程の広さがわかる。営業チームがAIに「先月の売上を分析して」と頼む。テキストの要約だけでなく、地域別・製品別にフィルタリング可能なダッシュボードが返ってくる。気になる数字をクリックすると詳細にドリルダウンでき、そのまま会話を続けられる。法務部門なら、契約書がインラインで表示され、リスクの高い条項がハイライトされ、各条項をクリックして承認・修正・フラグ付けを行える。テキストチャットと別画面の往復が消える。

セキュリティモデル — 野心的だが堅実

チャット内に外部のHTMLをレンダリングする。この言葉だけ聞くと、セキュリティの専門家は眉をひそめるだろう。MCP Appsの設計者もそれを十分に理解しているようで、セキュリティモデルは多層的に構成されている。

第一に、iframeサンドボックス。すべてのUIコンテンツは制限されたパーミッションのサンドボックス内で実行される。親ウィンドウへのアクセスや任意のスクリプト実行は遮断される。

第二に、事前宣言テンプレート。ホスト側はHTMLコンテンツをレンダリングする前に内容を検査できる。悪意のあるコードを含むUIリソースを事前にブロックする余地がある。

第三に、監査可能なメッセージング。UIとホスト間のすべての通信はJSON-RPCを介して行われ、ログとして記録可能。何が起きたかを事後に追跡できる。

第四に、ユーザー同意。UIがツール呼び出しを発火させる場合、ホスト側はユーザーに明示的な承認を要求できる。「このボタンを押すとデータが変更されます」という確認ダイアログが挟まる。

現時点で、Claude、ChatGPT、VS Code Insiders、Gooseといった主要AIクライアントがMCP Appsをサポートしている。各クライアントのサンドボックス実装には差があるだろうが、プロトコルレベルでセキュリティの基本方針が定められているのは大きい。

2026年ロードマップ — MCPの次の課題

MCP Appsは2026年のMCPロードマップにおける一つのピースに過ぎない。ロードマップ全体を見ると、MCPがどこに向かおうとしているのかがわかる。

トランスポートの進化。 Streamable HTTPでMCPサーバーのリモートデプロイメントが可能になったが、ステートフルセッションとロードバランサーの衝突、水平スケーリングの困難さが課題として浮上している。ステートレスな動作への移行が進められている。

エージェント間通信。 MCPサーバーが自律的な参加者として、タスクの受け取り、ポリシーの評価、別のMCP対応ピアへのサブタスク委任を行えるようになる。Tasks primitive（SEP-1686）がその基盤で、Agents Working Groupがライフサイクルの精緻化を進めている。

エンタープライズ対応。 監査ログ、SSO統合認証、設定のポータビリティが主要テーマだ。MCPサーバーの設定をクライアント間で引き継げない現状は、大規模デプロイメントのブロッカーになっている。

いずれも地味だが、MCPが「プロトコルとして広まった」段階から「プロダクションインフラとして信頼される」段階に移行するために不可欠な課題群だ。

気になる点 — 手放しでは喜べない理由

MCP Appsには期待が大きい一方で、冷静に見ておくべき点もある。

パフォーマンスの未知数。 チャット内にiframeでUIをレンダリングするのは、ネイティブアプリの操作感とは根本的に違う。データ量が多いダッシュボードや、リアルタイム更新が必要なモニタリングUIで、体験がどこまで実用に耐えるかは未検証の部分が大きい。AIクライアント側のレンダリングパイプラインの出来に大きく左右される。

UIの品質のばらつき。 MCPサーバーの開発者がUIの専門家とは限らない。ツールとしての機能は優秀でも、返されるUIがユーザーにとって使いやすいかは別問題だ。10,000以上のサーバーがある現状で、UIの品質基準をどう担保するのかはオープンクエスチョンのまま。

「何でもチャットに詰め込む」問題。 できるからといって、すべてをチャットウィンドウに収めるべきかという設計上の問いがある。スプレッドシートを全画面で操作したいユーザーに、チャット内の小さなiframeを提示して満足させられるのか。専用アプリが適しているタスクをチャットに無理やり押し込むことが、ユーザー体験の後退にならないかは慎重に見極める必要がある。

セキュリティの現実的なリスク。 多層防御の設計は評価できるが、iframe内でのXSSやUIスプーフィングのリスクは実装の質に強く依存する。サンドボックスの制約が厳しすぎればUI機能が制限され、緩すぎればセキュリティホールになる。

筆者の所感

MCP Appsは、AIアシスタントのインターフェースに関する暗黙の前提 ── 「AIとの対話はテキストベースである」── を公式に覆したプロトコルだ。これは技術的に面白いだけでなく、AIツールの使い方そのものを再定義する可能性を持っている。

ただし、筆者はこれを「革命」ではなく「基盤整備」として捉えている。今の段階で重要なのは、MCP Appsで何ができるかではなく、MCPというプロトコル自体がどれだけ堅牢なインフラになれるか、という点だ。月間9,700万ダウンロード、Linux Foundation傘下のガバナンス、大手テック企業の全面的な支援。プロトコルとしての勝利は疑いようがない。しかし、勝利したプロトコルが実際にプロダクション環境で信頼されるまでには、トランスポートの成熟、認証基盤の統合、設定のポータビリティといった地味な工事が山積している。

個人的に一番気になっているのは、SaaSのビジネスモデルへの影響だ。70%の大手SaaSがMCPサーバーを提供し、それらがMCP Apps対応UIを返すようになれば、AIチャットがSaaSのフロントエンドになる。ユーザーがSaaSの画面を直接開かなくなったとき、SaaS企業のUIは「ブランド接点」としての意味を失い、バックエンドAPIの提供者に還元されるリスクがある。2026年後半、この緊張関係がどう展開するかは注視に値する。

MCPは「AIがツールを使う」ためのプロトコルとして始まり、「AIがUIを持つ」ためのプロトコルへと拡張された。次に来るのは、「AIがAIと連携する」ためのプロトコルとしての進化だ。ロードマップに示されたエージェント間通信の仕様が実装されれば、MCPはAIエージェント経済のバックボーンになりうる。その意味で、MCP Appsは通過点に過ぎないのだが、極めて重要な通過点だ。

参考リンク