【第11回】セキュリティとUX

年初早々からマイナンバー制度が始まるということもあり、テーマをセキュリティにしたが、とにかくセキュリティほどやっかいなものはない。やればやるだけ守れるものというものでもないし、何もしなければ不安は残る。保険のようなもので未然に防止するための対策だが、最も違うのは、専門家であってもなかなか事故について予測できないところに、セキュリティの難しさがある。生保や損保のサービスとは、被害の内容や大きさが見積もれないところが違う。しかしもっとも怖いのは、セキュリティ事故を起こした際に何度もニュースやインターネットで繰り返し伝えられる、ある意味での社会的制裁だろう。これはまさに経営リスクそのものだ。企業のブランド価値は落ち、長年蓄積されてきた経験価値としてのUXは吹き飛ぶ。

まず、セキュリティを語るうえで短縮語が頻出するのでその意味や定義を記す。

上記のうちSOCは、当社では1996年から開設しており、セキュリティのエキスパートが約20年前から活躍しているが、CSIRTについては、セキュリティ事故が頻発する昨今は企業内設置が求められており、企業経営上での急務の課題になりつつある。セキュリティはコストとの関係はほぼ相関が取れていると思うが、UXとは必ずしも相関が無い、むしろセキュリティを強化すればUXが落ちることも多々ある。

今回はその相関も議論しながら、未来型セキュリティのあり方をUX視点で考えてみる。

■なぜセキュリティ事故は起きるのか！/外的要因

まず外的要因としては、ウイルス感染が最大テーマだろう。マルウェアという言葉を、最近耳にする機会が増えていると思うが、マルウェアとは不正や有害な動作を行おうとするソフトウェアやコードのことで、詐欺や事業妨害（ブランド価値の低下を含む）が目的となる。昨今は、国内だけでなく国境を超えた事件も頻発しており、一般人にはなかなか見抜けない。ここでのUXの仕掛けは困難だが、まずは「その不安を取り除くこと」の一言に尽きる。安心して仕事に打ち込める、そのようなウイルス感染には無縁だ、という環境を提供することが、UX向上のポイントだろう。

ただ、100％安心ということはなく、当社のような情報関連企業でも頻繁に標的型攻撃の疑似メールを全社員に発信し、訓練は怠りない。この訓練自身は顧客の経験価値としては、表面上は決していい経験だとは思えないが、これらの訓練が経験として積み上がり、結果としてウイルス感染などの事態を回避できる。仮にウイルス感染したとしても、攻撃者のサーバーに送信する前に検知・遮断できれば被害にはならないので、その点もめざすべきセキュリティのあり方だ。標的型攻撃に対する訓練や事後の流れをきちんと頭の中に叩き込んでおけば、総合的なUXはおのずと向上する。

■なぜセキュリティ事故は起きるのか！/内的要因

最も厄介なのが、この内的な要因だろう。この内的な要因には、悪意か無意識かという2要因がある。悪意は基本的に犯罪なので、防げる課題だ。一般的な犯罪では迷宮入りになることがあるが、昨今はセキュリティ犯罪の多くが、アクセスログなどの解析から解決できるようになってきた。中でも相関分析では、ひとつのログだけでなく複数ログの分析からなりすましなどの不正行為を摘出でき、この部分もUX向上に寄与している。犯罪を抑止できるセキュリティ監視や分析環境は着実に整ってきた。後を絶たない社員による犯罪だが、ジタバタしても必ず捕まるという強いセキュリティ監視体制は、結果としてユーザーの一人ひとりが安心感を持てるネットワークだと言える。それこそが最大のUX提供であり、その日は近い。

内的要因で最も問題なのが、無意識によるセキュリティ事故だ。間違ってマルウェアが仕込まれたメールを開き、リンクをクリックする、添付ファイルを開く。宛先を確認せず、誤った宛先にメールを送ってしまう。自身の経験も含めて、よくありがちなケースだ。これだけは過去に戻れず、後悔してももう遅い。誤ったメール発信に対し、外部から警告や停止が可能なソフトウェアも存在するが、やはり個人のセキュリティ意識を高めるうえで、訓練は有効な手段だ。UX視点からも、誤操作の後の後悔を考えれば、仮に経験的に不快でも訓練はやらざるを得ない。読者の中には、まさかうちの会社にウイルスメールは来ないだろうと思っていたら、それは危険だ。この所有から利用の時代、閉じたネットワークでウイルスチェックを行っていた時代はもう終わり、セキュリティ事故に対して総合的な対策を施さなければ企業や事業を守れない時代にすでに突入している。

■UXを阻害する認証

パスワードを何度も入れなくてはいけない。3カ月に一度はパスワード変更。過去3回分は同じパスワードは使用不可。パスワードは8文字以上。数字とアルファベット大文字・小文字の組み合わせ。メールアドレスは2度入力。メールアドレスのコピー&ペーストは不可。書類は必ず暗号化。認証は2回以上。指紋認証は48時間経過すると不可...とにかくITツールを使いこなすうえで、覚えておかなくてはいけないことだらけ、というのが今の時代だ。すぐ忘れてしまうので、忘れにくい家族の名前や誕生日を使う。それでも不安なので手帳にメモ書きする。まだまだ不安なので、スマートフォンのメモ帳を使う。会社では、PCのディスプレイ周りはパスワードのメモだらけ。笑ってしまうが、セキュリティを考えれば、素直に笑えない。Eコマースの普及で、インターネットからのカード決済は拡大の一途だが、特にお金が絡むと認証の不安は急速に高まる。セキュア度を上げるとユーザビリティがあまりにも悪すぎてUXとしての経験価値は落ちる。銀行のキャッシュカードで4ケタの数字だけの時代が懐かしい。今年から本格的に始まるマイナンバー制度も、果たしてシニアの方々が2つのパスワードを覚えられるのか。その要求レベルは高く、UX視点では厳しい。

■セキュリティはコスト？

セキュリティは社内情報整備のうえでは、投資ではなくコスト、すなわち回収が伴わないと捉えられているために、できる限り最小限での導入に経営サイドは押さえがちだが、やはり要不要のしゅん別は今後も要求される。したがって業種や業務、また保持するシステムによりそのコストは変わるが、とにかくエンドユーザーが安心してITを利用できるだけのセキュリティレベルは確保する必要がある。一方で操作面でのユーザビリティ向上や業務全体を俯瞰したUX向上は、そのまま業務効率向上やビジネスの成功にも直結する。したがい、情報のセキュア度によって日常作業はシングルサインオンのような認証ステップを減らす努力を、また個人情報などの重要データでは多層認証にするといった振り分けも必要と思われる。今回は生体認証については深く入り込まないが、指紋や指静脈から声紋や顔、そして虹彩や脳紋まで、ありとあらゆる身体の部位が認証のハードルを下げ、UXが今後は上がっていくと思われるが、標準化やグローバル化、特許などの壁もあり、コストアップの要因となっている。