セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか

「セキュリティとUXの◯◯な関係」という勉強会が開催された。サブタイトルに「すれ違い続けた二人の運命の邂逅～セキュリティとUXは本当にトレードオフなのか」と題されているこの会は非常に人気が高く定員を遙かにオーバーしていた。

研修・セミナー・カンファレンスセミナー・イベント

2017年6月16日（金） 08時00分

● セキュリティとユーザーエクスペリエンス（UX）はトレードオフなのか？

筆者は恥ずかしながら「UX」というのが何の略称だか知らなかった。Wikipedia によると、UX は「ユーザーエクスペリエンス（ User eXperience ）」の略称で、「ISO 9241-210 において「製品、システム、サービスを使用した、および／または、使用を予期したことに起因する人の知覚（認知）や反応」と定義されており、ユーザーがある製品やシステムを使ったときに得られる経験や満足など全体を指す用語である。」とのことである。

筆者も昔はショッピングサイトなどのデザインに携わっていたことがあるが、ここ十年以上はセキュリティのことばかりやっていて、ユーザーの使い勝手や利便性などはついつい忘れがちになる。

筆者が開催している「セキュアWebアプリケーション開発講座」においても「セキュリティはコスト・利便性・リスクのトレードオフであるが、セキュリティ研究者の仕事はその関係を小さくしていくこと」と言っているが、この勉強会においてその認識を再確認したのであった。

● そのセキュリティ対策で「可用性」は守られるのか？

セキュリティの三要素として、「C.I.A.」という、「機密性（Confidential）」「完全性（Integrity）」「可用性（Availability）」の頭文字を取ったこの言葉は有名である。ところが、セキュリティにおいては機密性と完全性について論じられることは多いが、可用性について論じられているのをあまり目にしない。

セキュリティにおける可用性は「許可された利用者が必要なときに情報資産にアクセスできること」というシステムの安定稼働といった文脈では見かけるが、利用者から見て使用できることという元の「Availability」の意味が薄れているように思う。

「アクセシビリティ vs セキュリティ～こんな対策はいらない～」を発表した太田氏は、Web サイトは使えなければ意味がない。セキュリティのことだけを考えていると、現実的ではない対策になってしまう可能性も否定できないと語った。

● 視覚障害者はCAPTCHAを通過できない

たとえば、機械による大量のアカウント登録を防ぐことなどを目的とした技術に「 CAPTCHA 」がある。CAPTCHA とは「 Completely Automated Public Turing test to tell Computers and Humans Apart 」の略であり、「人間とマシンを判別するチューリングテスト」のことである。つまり、人間でなければ入力できない仕掛けを施すことによって、自動化を防ごうと言うわけである。

しかし、このCAPTCHA は視覚障害者などの画像が見えない人々にとっても障害となる。

太田氏は、CAPTCHA は「画像認証」と呼ばれることもあるが、本来の意味での認証の機能はなく、単に機械によるアクセスを妨げるだけのものである。必ずしも安全性が高まるわけではないので、採用するときは目的を考えて使おうと述べた。

太田氏は他にもバリデーションやセッションタイムアウトの適切な時間などについても指摘を行った。

太田氏の発表資料は下記で公開されている。
https://www.slideshare.net/yoshinoriohta18/vs-76798595

《》