ダッシュボードを自動生成、障害対応はチャットで完結 ElasticがAI連携機能を公開:チャット画面でクリック可能なUIを表示
Elasticは、「セキュリティ」「サーチ」「オブザーバビリティー」向けに、AIチャット上でインタラクティブなUIを出力するMCPサーバを公開した。
Elasticは2026年4月21日(米国時間)、「セキュリティ」「サーチ」「オブザーバビリティー」向けに、AIチャット内でインタラクティブなUI(ユーザーインタフェース)を出力するMCP(Model Context Protocol)サーバを公開し、3つのレファレンスアプリをGitHubでオープンソースとして公開した。
従来の対話型AIの返答は、ダッシュボードやアラート一覧、調査グラフなど、本来は視覚的に確認したり操作したりすべき要素までテキスト情報に変換されて出力される。その結果、チャット画面は一問一答の場にとどまり、複雑な調査や作業へ移行する場合、ユーザーが別のツールにログインし直すなどの手間が生じている。
Elasticは「新たに公開した『MCPアプリ』(React UIを出力するMCPサーバ)により、AIの回答形式が根本から変わる」と説明する。
ツールはテキストによる要約に加えてインタラクティブなUIを返せるようになり、MCPクライアントとなるホストアプリ(「Claude Desktop」「Claude.ai」「VS Code Copilot」「Cursor」など)がUIをチャット上でインライン表示する。ユーザーはチャット画面でクリック可能なインタフェースを利用できるという。
Elasticが提供するMCPサーバ 3つの特徴
Elasticは、MCPサーバが単にURLを返すWebhookとは異なる理由として、次の3つの特徴を挙げている。
- コンテキストの保持:UIはチャットの中に存在し、タブの切り替えも引き継ぎも不要
- 双方向のデータフロー:UIはMCPサーバ上のツールを呼び出して最新データを取得でき、ホストはエージェントからの新しい結果をUIにプッシュできる。個別のAPIレイヤーや認証システムは不要
- サンドボックス化された信頼境界:React UIはホストアプリで制御されたiframe内で実行され、親ページへのアクセスやCookieの読み取り、コンテナからの脱出はできない
Elasticは「セキュリティ、オブザーバビリティー、サーチ(データ可視化ツール「Kibana」での分析)はいずれも視覚的・インタラクティブな性質を持つため、テキスト変換すると有用性が失われる」と指摘する。これら3つ全てに対応するMCPサーバ群を開発し、まとめてオープンソース化した。これにより、トリアージ、依存関係分析、可視化といった作業を別ツールに移動せず、1つのチャット内で連続的に実行できるという。
MCPアプリの実体は、モデルが推論するための簡潔なテキストサマリーと、MCPクライアントとなるホストアプリ側がインラインでレンダリングするReactのUIコンポーネントを同時に出力する、小さなNode.jsサーバだ。MCPの仕様に基づいて構築されているため、互換性のあるどのMCPクライアントでも実行できるという。
3つのレファレンスアプリはそれぞれ複数製品の集合体ではなく、多数のインタラクティブなビューを提供する独立した1つのMCPサーバとして構成される。
セキュリティMCPアプリ:SOC運用を1つのチャットで完結
「セキュリティMCPアプリ」(Elastic Security MCP App)は主要なSOC(Security Operation Center)ワークフローに対応するインタラクティブ要素を出力する。アナリストがエージェントに指示を出すと、チャット内にインタラクティブなダッシュボードが出力される。アナリストは、アラート詳細の確認、脅威ハンティング、攻撃チェーンの相関付け、ケースの作成をチャットの流れを失うことなく実施できる。調査結果、クエリ、ケースは全て、分散検索・分析エンジン「Elasticsearch」に反映されるため、チャット終了後にKibanaで同じ調査を再開することも可能だ。
Elasticは、SOCワークフローをカバーする4つの主要機能についてそれぞれ次のように解説している。
アラートのトリアージ
エージェントにホスト、ルール、ユーザー、タイムウィンドウごとのトリアージを依頼すると、生のアラートリストの上にAIによる判定ダッシュボードが出力される。検出ルールごとに判定が付き、ルールの活動を「正常」「不審」「悪意あり」のいずれかに分類する。
信頼度スコアと推奨アクションを伴い、任意のアラートをクリックするとプロセスツリー、ネットワークイベント、関連アラート、「MITRE ATT&CK」タグを含む詳細ビューを確認することもできるという。
脅威ハンティング
インデックス全体の検索を依頼すると、クエリがあらかじめ入力されて自動実行される専用クエリ言語「ES|QL」(Elasticsearch Query Language)ワークベンチが出力される。結果内のエンティティをクリックして詳細を確認できる。モデルは表の下に、何が異常で、何が関連し、何を深掘りすべきかの短い説明文を出力する。
攻撃の発見
ElasticsearchのAIセキュリティアラート分析機能「Attack Discovery」のAPIを起動し、ランク付けされた発見のリストを出力する。発見はMITREの戦術、リスクスコア、信頼度ラベル、影響を受けるホストとユーザーを強調表示し、関連するアラートを1つの攻撃チェーンにまとめる。
ケースマネジメント
調査結果を一括承認、または特定の警告に関するケース作成を依頼すると、承認された結果(ソースアラートが添付され、攻撃チェーンから継承されたMITRE戦術)ごとに1つのケースを作成する。
ライブケースリストをインラインでレンダリングし、ケースをクリックすると「ケースの概要」「次のステップの提案」「IOC(Indicator of Compromise、侵害指標)の抽出」「タイムラインの生成」といったAIアクションボタンが並ぶ詳細ビューが表示される。
各ステップは「1. プロンプト入力」「2. スキルが拾い上げ」「3. ツールがテキストサマリーと同時にインタラクティブUIを出力」で構成される。これらのスキルを組み合わせることで、問題発見、トリアージ、相関分析、ケース作成、次の方向転換までのエンドツーエンドのSOCフローがチャット内で完結する。タブ切り替え、コピー&ペースト、引き継ぎは不要だという。
Elasticの最高情報セキュリティ責任者(CISO)であるマンディ・アンドレス氏は「セキュリティMCPアプリは、自動検出と手動ハンティングの間のギャップを埋める役割を果たす。Claude Desktop内の単一のインタフェースにセキュリティデータを直接統合することで、通常の警告は発せられないものの即座の対応が必要な『潜在的な』脅威を1時間以内に発見できた。アナリストにとって大きな戦力増強となる」と述べている。
ダッシュボードMCPアプリ:チャットからデータ分析・可視化が可能
「ダッシュボードMCPアプリ」(example-mcp-dashbuilder)は、従来のダッシュボード作成の長い手順(Kibanaを開く、インデックス選択、フィールド選択、可視化選択、調整、保存)を1つのプロンプトにまとめるアプリだ。
エージェントに「収益メトリクス、注文トレンド、カテゴリー内訳を含むダッシュボードを作成してください」と依頼すると、タブを切り替えることなくチャット内にダッシュボードが出力される。
エージェントはES|QLを使用してElasticsearchデータを探索し、データに合わせてチャートタイプを選択する。比較には棒グラフ、トレンドには折れ線グラフ、KPI(重要業績評価指標)にはメトリックカード、2次元パターンにはヒートマップを使用する。
チャット内でパネルをドラッグ、サイズ変更、折りたたみ可能なセクションへのグループ化が可能だ。ダッシュボードが正しく表示されれば、1回のツール呼び出しでES|QLクエリとカスタムカラーを保持したままKibanaにエクスポートされる。既存のKibanaダッシュボードをチャットにインポートし、AIで編集することもできる。
オブザーバビリティーMCPアプリ:SREに必要な情報をストーリー形式で共有
「オブザーバビリティーMCPアプリ」(Elastic Observability MCP App)は、SRE(サイト信頼性エンジニアリング)における同様の課題に取り組む。「本番環境で障害が発生した場合、オンコールエンジニアが必要とするのはグラフではなく、Kubernetesのメトリクス、APM(アプリケーションパフォーマンス監視)トポロジー、機械学習の異常、リスク評価などを統合した診断結果だ」と、Elasticは説明する。
回答の形式は、「何が失敗したのか」「なぜ失敗したのか」「何がそれに依存しているのか」「次に何をすべきか」といった因果関係を説明するストーリー形式になるという。
クラスタの健全性をロールアップ
「壊れているのはどこ?」「ステータスレポートをください」とエージェントに尋ねると、全体的な健全性バッジ、理由付きの劣化サービス、上位ポッドのメモリ消費量、異常の深刻度の内訳、サービスのスループットを1つのインラインビューで一度に把握できる。ビューは導入がサポートする内容に応じて適応する。APMはサービスの健全性を、Kubernetesメトリクスはポッドとノードのコンテキストを、機械学習ジョブは異常レイヤーを追加する。
サービス依存関係グラフ
「checkoutを呼び出しているのは何?」「トポロジーを表示」と依頼することで、レイヤー化された依存関係グラフ(上流の呼び出し元、下流の依存関係、プロトコル、エッジごとの呼び出し回数および遅延)を取得できる。Claudeに「フロントエンドのサービス依存関係を見せて」と依頼したユースケースが示されている。
ズーム、パン、ホバー操作で複雑なサービス間の関係性を把握できる。
影響範囲によるリスク評価
「Kubernetesノードがダウンしたらどうなる?」と尋ねると、中央にターゲットノードを配置し、完全停止状態のデプロイメントを赤色、機能低下状態をアンバー色、影響を受けない状態をグレーで示す放射状の影響図が表示される。サマリーカードには、リスクのあるポッドとスケジュール変更の実現可能性が表示される。単一レプリカ構成は単一障害点として認識される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本企業のインシデント対応、5割が「従業員の懲戒処分」を実施 外部攻撃や偶発的ミスでも
KnowBe4 Japanは日本企業のヒューマンリスクについて調査したレポート「日本のヒューマンリスクの現状:AI時代における『人』を守る新しいパラダイム」を発表した。
なぜMCPやAIエージェントが使われると「API」が根本的に変わるのか? KongのCTOに聞く
MCPやAIエージェントが普及する時代の「API」とシステム連携は、従来の前提とは根本的に異なるものになる――そう語るのは、APIゲートウェイベンダーKongのCTO、マルコ・パラディーノ氏。APIとその利用がどう変わるのかを聞いた。
ローカルLLMサービングを見える化 監視ダッシュボードを作ろう
vLLMを使ってローカルLLMサービングを行うケースが増えています。そこで求められるのが、レイテンシ、GPUキャッシュ利用率、エラー率をはじめとした推論実行状況の把握です。本記事では、vLLMにPrometheusとGrafanaを組み合わせ、LLMサービングの「見える化」ダッシュボードを作る方法を紹介します。
システムの監視とは? 監視で行うべき“3つのこと”を分かりやすく解説
システムの監視とはどのようなことを行うのでしょうか。監視の基礎知識を解説します。