
星形要塞は、かつて防衛設計の最先端をいくものでした。
その斜めに配置された稜堡、低い外観、そして重なり合う射界は、単なる装飾ではなかった。これらは、攻撃側の能力の変化に対する的確な対応であった。中世初期の城は高さと規模に依存していたが、火薬を用いた大砲の登場により、高い城壁は脆弱なものとなってしまった。星形要塞は、防御の構造を変えることでこれに対応した。死角を排除し、防衛側が隣接する城壁の基部をカバーできるようにし、城壁の周囲全体を有効に活用できるようにしたのだ。
ある時期、その星形要塞は単に美しいだけではありませんでした。それは「正しい」ものでした。
しかし、どのような防御アーキテクチャも、特定の攻撃者に対してのみ有効である。
砲兵技術の進歩に伴い、固定要塞の根底にある前提は通用しなくなっていった。ライフル砲の登場により、射程、精度、破壊力が向上した。1862年のプラスキ砦では、北軍のライフル砲が、守備隊が安全だと信じていた距離から石造りの壁を突破した。米国国立公園局は、この出来事を「石造りの要塞を時代遅れにした」と評している。
そこから得られた教訓は、守備がもはや重要ではないということではなかった。そこから得られた教訓は、壁だけではもはや解決策のすべてにはなり得ないということだった。
19世紀後半になると、要塞の設計においては、視覚的に圧倒的な石造構造物よりも、隠蔽性、配置、土塁、そして相互に支援し合う陣地がますます重視されるようになった。ヒストリック・イングランドは、これを、壮大な要塞から、隠蔽性を設計上の最優先事項とした、視覚的にそれほど威圧的ではない要塞への決定的な転換であると説明している。
今日、サイバーセキュリティのデザインについては、このように考えるべきです。
私たちは、星型要塞が発明された時代を生きているわけではない。その時代が終わり、次の時代へと突入しつつあるのだ。
ネットワークの境界線は、もはや確約ではない
サイバーセキュリティは、すでに単純な境界防御の考え方を超えて進化しています。Zero Trust 、その変化をZero Trust 。NISTは、Zero Trust 静的でネットワークベースの境界防御から、ユーザー、資産、リソース、ワークフローを中心としたZero Trust 、単に「内部」にあるという理由だけで暗黙の信頼を与えることはありません。
しかし、AIによってその緊急性は変わってくる。
AIを活用する攻撃者が、防御側に重大な問題を引き起こすために、特別な能力を持つ必要はありません。彼らに必要なのは、時間を短縮することだけです。これにより、偵察を加速させ、より説得力のあるソーシャルエンジニアリングを展開し、攻撃経路を多様化し、盗み出した情報をより迅速に処理することが可能になります。英国国立サイバーセキュリティセンター(NCSC)は、脅威アクターがすでにAIを活用して、偵察、脆弱性調査、エクスプロイトの開発、ソーシャルエンジニアリング、malware 、および流出データの分析を強化していると評価しています。
それによって、ディフェンダーの設計要件が変わってくる。
かつての課題は、「どうすれば攻撃者を締め出せるか」ということでした。
新たな課題は、攻撃者が侵入し、素早く動き回り、人間が手作業で状況を把握するよりも速いペースで意思決定を迫ってくるような状況において、どのように運用モデルを設計すべきか、ということです。
それは単なるツールに関する問題ではありません。UX上の問題なのです。
SOCは、動きではなく信号を中心に設計された
多くのセキュリティオペレーションセンターは、依然として「エンドポイントのアラート」「ID関連のアラート」「クラウドのアラート」といった製品ごとの出力項目を軸に組織されています。それぞれが有用であることは間違いありません。しかし、攻撃者は製品のカテゴリーに従って組織内を動き回るわけではありません。彼らは関係性をたどって動き回るのです。
彼らはアカウントを乗っ取る。あるマシンにアクセスする。そのマシンが何にアクセスできるかを突き止める。
その道こそが、現代の戦場である。
しかし、防御側は、攻撃を断片的なものとして捉えることがよくあります。不審なログインが1件。エンドポイントでの検知が1件。異常な接続が1件。最も困難なのは、個々のシグナルを認識することではありません。それらのシグナルがどのように関連しているかを理解することなのです。
ここで、UXリーダーにとって「スターフォート(星型要塞)後の状況」という比喩が役立ちます。壁を越えられるようになると、設計上の課題は「境界線の強固さ」から「地形への認識」へと移行します。防衛側は、敵の動きを把握し、指揮系統を維持し、対応を調整し、状況の把握から行動までの時間を短縮する必要があります。
ダッシュボードが誤ったメンタルモデルを反映している限り、見た目が整っていても十分とは言えません。
「要塞型UX」から「壁のないUX」へ
UXにおける根本的な変化は、イベント中心のデザインから動き中心のデザインへの移行です。

この表こそが、この議論の核心である。
AI時代の防御においては、断片的な事象を攻撃者の動きとして人間が手作業で解釈することに頼ることはできません。製品体験は、そうした統合をより積極的に行う必要があります。防御担当者が、一連の流れ、関係性、信頼度、結果、および対応策を把握できるよう支援しなければならないのです。
そこで、UXはインターフェースの洗練から、運用モデルの設計へと移行していくのです。
壁崩壊後の可視性パターンとしてのNDR
NDRは「新たな壁」ではない。それは「壁」がなくなった後の可視化のあり方である。
このアプローチは、攻撃者がすでに内部に侵入している可能性を前提とし、現代の企業環境全体における行動に焦点を当てています。その環境はもはや企業ネットワークだけにとどまりません。データセンター、遠隔拠点、クラウド環境、SaaSアプリケーション、ID、そして管理対象外または半管理下の資産などが含まれます。Vectra AIは、現代の攻撃対象領域をネットワーク、ID、クラウドにまたがるものと定義しており、NDRはネットワークを単一の固定された境界として扱うのではなく、これらの領域にわたるシグナルを結びつける役割を果たします。
つまり、NDRは、固定式の防御施設が支配的な役割を失った後に重要性を増した監視・調整システムと類似している。防御範囲そのものがもはや決定的な要素でなくなった今、防御側は環境全体における動きを把握する必要がある。具体的には、ユーザー、デバイス、ワークロード、サービスがどのように相互作用しているか、通常の動作からどのような変化が生じているか、そして攻撃者が正当な経路を不正な目的で利用している可能性がある箇所はどこか、といった点である。
UXリーダーにとって重要なのは、NDRが「単なる出来事ではなく、動きを示す」という、より広範なデザイン原則を体現しているという点です。
これは、エンドポイントからアイデンティティへ、アイデンティティからクラウドのコントロールプレーンへ、あるいはあるワークロードから別のワークロードへと、攻撃経路が交差する可能性があるハイブリッド環境やクラウド環境において特に重要です。Vectra AIは、ネットワークトラフィックやメタデータにわたる行動検知をNDRの中核としており、これには横方向の移動、コマンド&コントロール活動、偵察、データ流出の兆候などが含まれます。これらは、攻撃者が予防策を迂回した後に重要となる行動です。
ネットワークの挙動と、アイデンティティ、エンドポイント、クラウドのコンテキストを統合したSOC環境があれば、防御担当者は最終的な影響が生じる前に、何が起きているのかをより的確に把握できるようになります。こうした統合がなければ、NDRは単なる処理待ちのタスクの一つに成り下がるリスクがあります。一方、統合が図られれば、NDRは共有オペレーティング・ピクチャーの一部となり、アナリストが現代の攻撃環境における攻撃者の経路を把握するための手段となり、単なる別のツールからのシグナルの一つにとどまらないものとなります。
UXの役割は、防衛のプロセスを再設計することである
次世代のサイバーセキュリティUXにおいては、どのワークフローが依然として脅威に対応できているかを検討する必要がある。
アナリストは、1つの攻撃経路を理解するために10件ものアラートを読まなければならないのでしょうか?
システムは、リスクの低い封じ込め措置を講じる前に、人間の確認を待つべきなのでしょうか?
対応を行う前に、影響範囲、信頼度、および元に戻せるかどうかが確認できるべきなのでしょうか?
これらは、デザイン上の課題であると同時に、製品戦略上の課題でもあります。
AIの登場により、セキュリティ製品は「人間の判断」と「機械の行動」の間の新たな関係性を構築せざるを得なくなる。自動化が不十分であれば、チームは膨大な作業量に埋もれてしまう。不透明な自動化が進みすぎれば、チームは信頼を失うことになる。UXにおける課題は「共有された制御」にある。つまり、要約・提案・封じ込め・説明を行うシステムと、統制・上書き・判断を下す人間との共存が求められるのだ。
そのためには、プレッシャーのかかる状況下でも信頼を得られるような設計が必要です。信頼性は可視化されなければなりません。証拠は検証可能でなければなりません。行動は理解可能でなければなりません。可能な限り、対応は元に戻せるものでなければなりません。
将来、SOCは指揮統制環境となる
「ポスト・ウォール」時代のSOCは、単なるダッシュボードの集合体というよりは、むしろ指揮環境のようなものになるでしょう。
それは、映画のような地図や劇的な視覚化が必要だからではありません。チームが地形を理解できるよう支援する必要があるからです。
何が接続されているのか?
何が変更されたのか?
何が動いているのか?
「キューにはアラートがいくつあるのか?」という質問よりも、それらの質問の方が良いですね。
AI時代における最高のサイバーセキュリティUXは、認知的負荷を軽減する。断片的なシグナルを攻撃経路として可視化し、予防、検知、対応、復旧を単一の体験として統合する。また、自動化を「安心して使える」ほど信頼性の高いものにしつつ、「信頼に足る」ほど適切に管理されたものにする。
「壁」は依然として重要だ。境界、エンドポイント、ID、ネットワーク、そしてクラウドの制御は、いずれも依然として重要である。
しかし、そのどれもが要塞というわけではない。
真の製品とは、彼らをつなぐ「体験」そのものです。
壁を越えることが可能な場合、防御側は地形を把握していなければならない。攻撃側がAIの速度で移動する場合、その把握は人間の速度での状況再現に依存してはならない。
これこそが、サイバーセキュリティにおける新たなUXの指針である。すなわち、「壁」の向こう側における防御体験を設計することだ。
パドライク・マニオンの記事をもっと読む、 こちらをご覧ください。

.jpeg)