ユーザーエクスペリエンスの迷路：安全性を危険にさらす5つのミス

写真：vchal | shutterstock.com

システムやデータを守るための強制が多いほど、セキュリティは良好になる――少なくとも一部の企業はそう考えています。この文脈では、不十分なユーザーエクスペリエンスはまだ最小の害にすぎません。最悪の場合、過度に複雑なセキュリティ対策は従業員によって単に回避されてしまいます。

しかし、セキュリティを犠牲にせずに使いやすさを向上させることも可能です。以下では、企業が定期的にセキュリティの破滅へと自らを追い込んでしまう、最もよくある5つのミスをまとめました。もちろん、この機会に、より良い方法もご紹介します。

1. セキュリティ・マインドセットを軽視する

従業員がサイバーセキュリティの面で協力してくれない場合、企業を安全に保つのは難しくなります。そのため、リスクと、それらを排除または最小化できる解決策について、従業員に周知することが不可欠です。

これはITやセキュリティの専門家に「丸投げ」する類いの話であってはならない、とインフルエンサーマーケティングのコンサルタント兼専門家であるYehudah Sunshineは強調します。「効果的なサイバーセキュリティ意識を育むには、従業員に適切なトレーニングが必要です。課題は、非専門家に対して『何を』『なぜ』サイバーセキュリティが必要なのかが理解できるように伝えることです。」

そのためには、見下したり、操作的だったり、懲罰的に見えたりしない形で、実務に明確に焦点を当てる必要があるといいます。「恐怖心を取り除くことが重要です。従業員は、自分のミスを正直に伝えてもよく、隠蔽する必要はないのだという確信が必要です。そうして初めて、企業のセキュリティ水準を高めることに貢献できるようになります。」

この文脈でコンサルタントがさらに重要だとするのは、すべての従業員が参加することです。「人事部門、UXチーム、テクノロジーチームも含まれます。ここでコストを削れば、良い結果は得られません。」

2. ITセキュリティはワンサイズで通用すると信じる

サイバーセキュリティの観点で最適な成果を得るには、セキュリティとユーザーの快適さの適切なバランスを見極める必要があります。ただし、それは状況に大きく依存するとSunshineは説明します。「たとえば政府機関の職員には、ファストフード店の従業員よりも、通常はより厳格な基準が適用されます。」

政府機関のセキュリティ要件をファストフード店の運営に当てはめても、不要な摩擦が生じるだけです。多くのセキュリティプロトコルにある根本的な誤りは、ユーザーやニーズの違いを区別せず、すべてのユーザーにあらゆるセキュリティ対策を課してしまうことにあります。

『Cybersecurity for Dummies』の著者Joseph Steinbergは、この問題を端的に述べています。「あらゆる行動を、追加のセキュリティ対策が必要なものとして扱うと、本物の脅威の兆候が見落とされる可能性が高まり、結果として防御水準が下がります。」さらにこう付け加えます。「リスクが低く信頼が高い場合、追加のセキュリティ層を加える必要はありません。それが必要になるのは、取引の性質や信頼不足によってリスクが高い場合だけです。」

3. 複雑さを安全性の向上と取り違える

最小文字数、大文字と小文字、特殊文字、定期的なパスワード変更：多くの企業はアカウント作成時に厳しい基準を設けています。複雑さを増すのは、変数や文字列が増えるほど攻撃者がパスワードを破るのが難しくなる、という信念に基づいています。

理論上はその通りだとセキュリティ専門家のSteinbergは言いますが、実務では事情が異なります。「人はパターンに陥りがちなので、多くのパスワードも予測可能なパターンに従います。たいてい大文字で始まり、しばしば数字で終わり、場合によってはその後に特殊文字が付くのです。」さらに、複雑さそのものがセキュリティ問題を引き起こし得るという問題もあります。長く複雑なパスワードを覚えるのは難しいため、紙に書き留めたり、ブラウザに保存したりすることが多いのです。

それは論外だと、ソフトウェアの専門家April McBroomも述べ、より良い選択肢を提案します。「代わりにパスワードマネージャーを使いましょう。パスワードをパスコードに置き換えることもできます。たとえばプッシュ通知や認証アプリを利用する方法です。」

4. セキュリティ質問に頼る

セキュリティ質問は、紙の上ではまず良いコンセプトです。しかし、こうした質問にうっかり誤答してしまい、その後アカウントから締め出された経験がある人なら、それがどれほどのフラストレーションを生むか分かるでしょう。

従来のセキュリティ質問の代わりに、著者Steinbergは、犯罪ハッカーの活動を困難にするため、段階を設けた知識ベースの質問を推奨します。「たとえば『Maryという姉妹がいる』人なら、『次のうち、Maryと結び付ける通りはどれですか？』のような多肢選択式の質問を勧めます。」

5. 生体認証に奇跡を期待する

パスワードのない未来が語られるとき、少なからぬ人が指紋、顔、虹彩スキャンといった生体認証のセキュリティ対策を思い浮かべます。これらが想定どおりに機能したとしても、Steinbergは2つの大きな欠点を指摘します。「第一に、犯罪者は正当な人物の指紋を比較的容易に採取してアクセスを得られる可能性があります。これはパスワードでは不可能な手口です。第二に、たとえば指紋は、パスワードのように簡単にはリセットできません。」

専門家の見解では、生体認証セキュリティの領域でも、各状況の文脈を取り入れるほうが有益です――キーワードは「行動生体認証（Behavioral Biometrics）」です。「行動生体認証は、たとえば特定のユーザーがパスワードに使うキーをどれくらいの速さで押すか、といった点に基づきます。こうした目に見えない生体データのほうが、より良いアプローチです。」

さらにSteinbergは、ユーザー体験に関する一般的な誤りとして、セキュリティは目に見えるものだけだと考えてしまう点を挙げます。「ユーザーが見なければならないものは少ないほど良い。これが、ユーザーエクスペリエンスへの悪影響を最小化する鍵です。」（fm）

ITセキュリティに関するさらに興味深い記事を読みたいですか？無料ニュースレターでは、セキュリティの意思決定者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。