2017年6月9日、情報セキュリティとUX (ユーザー体験) をテーマにしたイベントが開催され、弊社のアクセシビリティ/セキュリティスペシャリストの太田良典が登壇しました。
情報セキュリティとUX、どちらもテーマとしては良くあるものですが、その両方の視点で語られるイベントは珍しいのではないでしょうか。
まずは各セッションの内容を簡単に振り返ります。
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
最初のセッションでは弊社の太田が登壇し、情報セキュリティとアクセシビリティが対立する場面について語りました。
著書「デザイニングWebアクセシビリティ」で取り上げている事例を紹介しながら、以下のような問題を提起しました。
- CAPTCHA (画像認証) の問題――画像によるCAPTCHAは、スクリーンリーダーの利用者には全く使えず、アクセス不可能になってしまう。
- バリデーションの問題――半角文字の入力をエラーにするフォームが存在するが、スマートフォンのユーザーは全角と半角を区別できていないこともある。「危険な文字」をはじく実装では、"O'Reilly" などの一般的な言葉が使えなくなってしまう。
- セッションタイムアウトの問題――ログイン後、短時間で自動ログアウトするシステムが存在するが、入力に時間がかかるユーザーは利用できなくなってしまう。
いずれも、情報セキュリティ上の必要性のためにアクセシビリティやユーザビリティが犠牲になっているように見えます。しかし、これらの中には、使われ方が適切でなかったり、セキュリティ上の必要性が薄いケースも含まれています。かつては常識とされていた施策が、今では疑問視されていることもあります。その典型例が「パスワードの定期的変更」で、近年では長いパスワードを長期間使い続けるほうが安全ではないかという議論があります。
セキュリティの三大要素のひとつに「可用性」が挙げられます。セキュリティの考え方からも、ユーザーがサービスをきちんと使えることが要請されているのです。セキュリティ重視と称して、誰にも使えないサービスを作ってしまっては本末転倒です。何のためにサービスを提供するのか、サービス企画の時点で目的をきちんと定義した上で、常にそれを意識して進めることが重要であるとして、セッションを締めくくりました。
セキュリティの都市伝説を暴く
2番目のセッションは、EGセキュアソリューションズ徳丸浩さんによる講演です。徳丸さんは古くからWebアプリケーションのセキュリティ向上に取り組んでこられ、著書の「体系的に学ぶ 安全なWebアプリケーションの作り方」は、今でもWebセキュリティの定番とされる名著です。
このセッションでは、以下のトピックを扱いました。
- パスワード入力時のマスク表示は必要なのか?
- パスワードに有効期間を設けて定期的に変更させることは有効なのか?
- パスワード入力欄に autocomplete="off" を指定することに意味はあるのか?
- ブラウザの「戻る」ボタンで戻るとエラーになるシステムは何を考えているのか?
これらは、かつては常識とされたこともあり、多くのサイトで採用されていました。しかし、今ではむしろ有害とされていたり、ブラウザ側の実装が変化して通用しなくなったものもあります。マイクロソフトやGoogleなどの大手サービスも対応を変えてきており、時代と共に考え方が変化していることがあらためて強調されました。
セキュリティ教育とUX ~結ばれていた赤い糸~
最後はヤフー株式会社CISO室の日野さんのセッションです。CISOはChief Information Security Officer (最高情報セキュリティ責任者) の略で、ヤフー社内の情報セキュリティを統括する役割を担っています。前2つのセッションとは一転、ヤフーで行われている情報セキュリティ教育についてお話いただきました。
一般的に、情報セキュリティ教育では、座学で学習させ、上から「ルールを守りなさい」と言って守らせるようなイメージがあります。しかし、その方法では学習効率も悪く、「嫌だが仕方なく従う」という行動になってしまい、現場の自発的な行動として定着しにくいという問題がありました。そこでヤフーでは、教育にUXの手法を取り入れ、体験をメインとした教育メニューにシフトして学習効果を高めています。また、標的型攻撃への訓練を実施する際には、UXの手法を用いて効果測定を行い、メンバーへの定着度を定性的・定量的の両側面から測るようにしています。
「セキュリティは結局のところ、人である」とよく言われます。UXの手法で効果的にセキュリティ意識を高められれば、サービスの安全性を大きく向上させることにつながるはずです。
BAの考えるセキュリティとUXとの関係
このイベント全体を通して強く感じたのは、情報セキュリティとユーザビリティには強い相関関係があるということです。入力時にパスワードを隠す、パスワードをこまめに変更させるといった施策は、ユーザーに不便を強いるものです。不便を強いられたユーザーは、短く入力しやすいパスワードを使うなど、さまざまな「工夫」によってサービスの利便性を高めようとします。その結果、セキュリティは低下してしまいます。セキュリティを名目にしてユーザーに不便を強いることは、逆にセキュリティを低下させることにつながります。
セキュリティを高めるためにこそ、ユーザビリティへの配慮が必要になるのです。
私たちができること
弊社はこれまで、多数のWebサイトに携わってきました。その中にはもちろん、ログインが必要なサービス、個人情報を扱うサービス、ECサイトなども多数含まれます。これらのサービスでは、情報セキュリティの担保が強く求められるだけでなく、入力時の使い勝手や、ユーザーが迷わず使える工夫など、高いユーザビリティも求められてきました。その規模や内容はさまざまで、関わり方にもさまざまなパターンがあります。新規サービスの企画から一緒に考えてほしいというご要望もあれば、既存サイトをリニューアルしたいというご要望もあります。時には、サービスがほぼ完成した段階でユーザビリティ上の大きな問題が発覚し、そこで初めて弊社にお声がけいただくケースもありました。
このようなケースでは、システム側の構成変更はもはや全く許されず、ビジュアルデザインの工夫だけでユーザビリティを向上させることが要件となります。こうなると、セキュリティとユーザビリティの双方を考えてインターフェイスを設計・提案するのは容易なことではありません。まさにこのイベントで触れたようなシステム上の制約が、次々と立ちはだかってくることになります。そのような制約の中でいかにユーザビリティを向上させるか、デザイナーの腕の見せ所となるところです。
弊社はサービス設計の専門家として、企業のWebサイトをはじめ、数々のプラットフォームの構築と運営をおこなってきました。サービス企画の段階からクライアントの皆さまと共に考えること、それを通して情報セキュリティとユーザビリティを両立した設計をすることは、弊社の大きな強みのひとつでもあります。セキュリティだけではなく、UXだけでもなく、それらの要求を同時に達成することに大きな価値があると、このイベントで改めて感じました。今後も、クライアント企業様と、そのユーザーの満足を高めることを使命に、プロジェクトを進めていきます。