過度に複雑で不要、または意味のないセキュリティ対策は、従業員に長期的なフラストレーションを与える可能性があります。それが新たなリスクを生み出します。
写真:vchal | shutterstock.com
システムやデータを守るために強制力を高めれば高めるほど、セキュリティは向上する――少なくとも一部の企業はそう考えています。この文脈では、不十分なユーザーエクスペリエンスはまだ小さな問題に過ぎません。最悪の場合、過度に複雑なセキュリティ対策は従業員によって単純に回避されてしまいます。
しかし、ユーザビリティを向上させることは、セキュリティを犠牲にすることなく可能です。以下に、企業が定期的にセキュリティの失敗に陥る5つのよくあるミスをまとめました。もちろん、どうすればより良くできるかもご紹介します。
1. セキュリティマインドセットを軽視する
従業員がサイバーセキュリティに協力しない場合、企業の安全を守るのは困難です。そのため、従業員にリスクや、それを排除・最小化できる解決策について周知することが不可欠です。
これはITやセキュリティの専門家だけに「丸投げ」してはいけない問題であると、インフルエンサーマーケティングのコンサルタントで専門家のYehudah Sunshine氏は強調します。「サイバーセキュリティへの効果的な意識を醸成するには、従業員への適切な教育が必要です。ここでの課題は、非専門家に対して分かりやすく伝えることで、『何を』『なぜ』サイバーセキュリティが必要なのかを理解してもらうことです。」
そのためには、実践に焦点を当てつつ、見下したり、操作的、または罰するような態度を取らないことが重要です。「恐怖心を取り除くことが大切です。従業員が自分のミスについて正直に話せて、隠す必要がないと確信できて初めて、企業のセキュリティレベル向上に貢献できるようになります。」
また、コンサルタントによれば、全従業員が参加することが重要です。「人事部やUX・技術チームも含まれます。ここで手を抜いては、良い結果は得られません。」
2. ITセキュリティは一律で良いと考える
サイバーセキュリティで最適な結果を得るには、セキュリティとユーザーの利便性のバランスを見極める必要があります。ただし、これは状況によって大きく異なるとSunshine氏は説明します。「例えば、政府機関の職員には、ファストフード店の従業員よりも厳しい基準が適用されるのが一般的です。」
政府機関のセキュリティ要件をファストフード店に適用すると、不要な摩擦が生じるだけです。多くのセキュリティプロトコルに見られる根本的なミスは、すべてのユーザーに同じセキュリティ対策を課すことであり、ユーザーやニーズごとに区別していません。
『Cybersecurity for Dummies』の著者Joseph Steinberg氏はこの問題を端的に指摘します。「すべての操作に追加のセキュリティ対策が必要だと扱うと、本当の脅威の兆候を見逃しやすくなり、結果的に防御レベルが下がります。」さらに、「リスクが低く、信頼性が高い場合は、追加のセキュリティ層を設ける必要はありません。それが必要なのは、取引の性質や信頼性の低さからリスクが高い場合だけです。」と述べています。
3. 複雑さ=高いセキュリティと誤解する
最低文字数、大文字・小文字・記号の使用、定期的なパスワード変更――多くの企業はアカウント作成時に厳しい基準を設けています。複雑さを増すことで、攻撃者がパスワードを破るのが難しくなると信じられています。
理論上は正しいものの、実際には違うとセキュリティ専門家Steinberg氏は言います。「人はパターンに従いがちなので、ほとんどのパスワードは予測可能なパターンになります。多くは大文字で始まり、数字で終わり、場合によっては記号が付加されます。」さらに、複雑さ自体が新たなセキュリティ問題を生むこともあります。長くて複雑なパスワードは覚えにくいため、紙に書いたりブラウザに保存したりするケースが増えます。
ソフトウェア専門家のApril McBroom氏もこれを問題視し、より良い選択肢を提案します。「代わりにパスワードマネージャーを利用しましょう。パスワードの代わりにパスコードを使うこともできます。例えばプッシュ通知や認証アプリを利用する方法です。」
4. セキュリティ質問に頼る
セキュリティ質問は理論上は良いコンセプトです。しかし、うっかり間違った答えを入力してアカウントにアクセスできなくなった経験がある方は、そのフラストレーションをよくご存じでしょう。
Steinberg氏は、従来のセキュリティ質問の代わりに、犯罪者による不正アクセスを難しくするため、段階的な知識ベースの質問を推奨しています。「例えば、誰かにMaryという姉妹がいる場合、『次のうちどの通りをMaryと結びつけますか?』のような選択式の質問が良いでしょう。」
5. バイオメトリクスに過度な期待をする
パスワード不要の未来が語られるとき、多くの人が指紋認証や顔認証、虹彩スキャンなどのバイオメトリクスを思い浮かべます。これらの対策が想定通りに機能したとしても、Steinberg氏は2つの大きな欠点を指摘します。「1つは、犯罪者が比較的簡単に正規ユーザーの指紋を入手してアクセスできてしまうこと――これはパスワードでは起こりません。もう1つは、指紋などはパスワードのように簡単にリセットできないことです。」
専門家の意見では、バイオメトリクス分野でも状況に応じた対策が重要です。キーワードは「行動バイオメトリクス」です。「行動バイオメトリクスは、例えば特定のユーザーがパスワード入力時にどれだけ速くキーを押すかなどに基づいています。こうした目に見えないバイオメトリクスデータの方がより良いアプローチです。」
Steinberg氏はさらに、ユーザーエクスペリエンスに関して「セキュリティとは目に見えるものだけだと考えるのは一般的な誤りです。ユーザーが目にするものが少なければ少ないほど良いのです。これがユーザーエクスペリエンスへの悪影響を最小限に抑える鍵です。」と述べています。(fm)
ITセキュリティに関するさらに興味深い記事を読みたい方は、無料ニュースレターでセキュリティ担当者や専門家が知っておくべき情報をすべてお届けします。