オルタナティブ・ブログ > 鹿島泰介の「UXのトビラ3」 >

UX(ユーザーエクスペリエンス)を黎明期から追いかけ続けてきた筆者は、昨年度の成長期を経て、いよいよ今年度は成熟期に入ろうとするUXの姿を再び追いかけることにした。第2章の最後に「UXは概念や理念」であり「デザイン思考などの方法論でUXを実践することの必要性」を論じてきた。ただし、その孤高な理念を下敷きにしても、なかなか実際の業務に反映できない、もしくはその効果や価値が見えにくいとの話を、特に現場ではよく耳にする。そこで第3章では、UXの成熟期を見据え「より現場に即したUX」とは何か、もしくは「UXを通じて何が日頃の業務や事業全体に貢献するのか」といったことに焦点を絞り、言及してみたい。

【第11回】セキュリティとUX

»

年初早々からマイナンバー制度が始まるということもあり、テーマをセキュリティにしたが、とにかくセキュリティほどやっかいなものはない。やればやるだけ守れるものというものでもないし、何もしなければ不安は残る。保険のようなもので未然に防止するための対策だが、最も違うのは、専門家であってもなかなか事故について予測できないところに、セキュリティの難しさがある。生保や損保のサービスとは、被害の内容や大きさが見積もれないところが違う。しかしもっとも怖いのは、セキュリティ事故を起こした際に何度もニュースやインターネットで繰り返し伝えられる、ある意味での社会的制裁だろう。これはまさに経営リスクそのものだ。企業のブランド価値は落ち、長年蓄積されてきた経験価値としてのUXは吹き飛ぶ。

まず、セキュリティを語るうえで短縮語が頻出するのでその意味や定義を記す。

1.jpg

上記のうちSOCは、当社では1996年から開設しており、セキュリティのエキスパートが約20年前から活躍しているが、CSIRTについては、セキュリティ事故が頻発する昨今は企業内設置が求められており、企業経営上での急務の課題になりつつある。セキュリティはコストとの関係はほぼ相関が取れていると思うが、UXとは必ずしも相関が無い、むしろセキュリティを強化すればUXが落ちることも多々ある。

今回はその相関も議論しながら、未来型セキュリティのあり方をUX視点で考えてみる。

■なぜセキュリティ事故は起きるのか!/外的要因

まず外的要因としては、ウイルス感染が最大テーマだろう。マルウェアという言葉を、最近耳にする機会が増えていると思うが、マルウェアとは不正や有害な動作を行おうとするソフトウェアやコードのことで、詐欺や事業妨害(ブランド価値の低下を含む)が目的となる。昨今は、国内だけでなく国境を超えた事件も頻発しており、一般人にはなかなか見抜けない。ここでのUXの仕掛けは困難だが、まずは「その不安を取り除くこと」の一言に尽きる。安心して仕事に打ち込める、そのようなウイルス感染には無縁だ、という環境を提供することが、UX向上のポイントだろう。

ただ、100%安心ということはなく、当社のような情報関連企業でも頻繁に標的型攻撃の疑似メールを全社員に発信し、訓練は怠りない。この訓練自身は顧客の経験価値としては、表面上は決していい経験だとは思えないが、これらの訓練が経験として積み上がり、結果としてウイルス感染などの事態を回避できる。仮にウイルス感染したとしても、攻撃者のサーバーに送信する前に検知・遮断できれば被害にはならないので、その点もめざすべきセキュリティのあり方だ。標的型攻撃に対する訓練や事後の流れをきちんと頭の中に叩き込んでおけば、総合的なUXはおのずと向上する。

image_11-04.jpg

■なぜセキュリティ事故は起きるのか!/内的要因

最も厄介なのが、この内的な要因だろう。この内的な要因には、悪意か無意識かという2要因がある。悪意は基本的に犯罪なので、防げる課題だ。一般的な犯罪では迷宮入りになることがあるが、昨今はセキュリティ犯罪の多くが、アクセスログなどの解析から解決できるようになってきた。中でも相関分析では、ひとつのログだけでなく複数ログの分析からなりすましなどの不正行為を摘出でき、この部分もUX向上に寄与している。犯罪を抑止できるセキュリティ監視や分析環境は着実に整ってきた。後を絶たない社員による犯罪だが、ジタバタしても必ず捕まるという強いセキュリティ監視体制は、結果としてユーザーの一人ひとりが安心感を持てるネットワークだと言える。それこそが最大のUX提供であり、その日は近い。

image_11-05.jpg内的要因で最も問題なのが、無意識によるセキュリティ事故だ。間違ってマルウェアが仕込まれたメールを開き、リンクをクリックする、添付ファイルを開く。宛先を確認せず、誤った宛先にメールを送ってしまう。自身の経験も含めて、よくありがちなケースだ。これだけは過去に戻れず、後悔してももう遅い。誤ったメール発信に対し、外部から警告や停止が可能なソフトウェアも存在するが、やはり個人のセキュリティ意識を高めるうえで、訓練は有効な手段だ。UX視点からも、誤操作の後の後悔を考えれば、仮に経験的に不快でも訓練はやらざるを得ない。読者の中には、まさかうちの会社にウイルスメールは来ないだろうと思っていたら、それは危険だ。この所有から利用の時代、閉じたネットワークでウイルスチェックを行っていた時代はもう終わり、セキュリティ事故に対して総合的な対策を施さなければ企業や事業を守れない時代にすでに突入している。

image_11-06.jpg

■UXを阻害する認証

パスワードを何度も入れなくてはいけない。3カ月に一度はパスワード変更。過去3回分は同じパスワードは使用不可。パスワードは8文字以上。数字とアルファベット大文字・小文字の組み合わせ。メールアドレスは2度入力。メールアドレスのコピー&ペーストは不可。書類は必ず暗号化。認証は2回以上。指紋認証は48時間経過すると不可...とにかくITツールを使いこなすうえで、覚えておかなくてはいけないことだらけ、というのが今の時代だ。すぐ忘れてしまうので、忘れにくい家族の名前や誕生日を使う。それでも不安なので手帳にメモ書きする。まだまだ不安なので、スマートフォンのメモ帳を使う。会社では、PCのディスプレイ周りはパスワードのメモだらけ。笑ってしまうが、セキュリティを考えれば、素直に笑えない。Eコマースの普及で、インターネットからのカード決済は拡大の一途だが、特にお金が絡むと認証の不安は急速に高まる。セキュア度を上げるとユーザビリティがあまりにも悪すぎてUXとしての経験価値は落ちる。銀行のキャッシュカードで4ケタの数字だけの時代が懐かしい。今年から本格的に始まるマイナンバー制度も、果たしてシニアの方々が2つのパスワードを覚えられるのか。その要求レベルは高く、UX視点では厳しい。

image_11-07.jpg

■セキュリティはコスト?

セキュリティは社内情報整備のうえでは、投資ではなくコスト、すなわち回収が伴わないと捉えられているために、できる限り最小限での導入に経営サイドは押さえがちだが、やはり要不要のしゅん別は今後も要求される。したがって業種や業務、また保持するシステムによりそのコストは変わるが、とにかくエンドユーザーが安心してITを利用できるだけのセキュリティレベルは確保する必要がある。一方で操作面でのユーザビリティ向上や業務全体を俯瞰したUX向上は、そのまま業務効率向上やビジネスの成功にも直結する。したがい、情報のセキュア度によって日常作業はシングルサインオンのような認証ステップを減らす努力を、また個人情報などの重要データでは多層認証にするといった振り分けも必要と思われる。今回は生体認証については深く入り込まないが、指紋や指静脈から声紋や顔、そして虹彩や脳紋まで、ありとあらゆる身体の部位が認証のハードルを下げ、UXが今後は上がっていくと思われるが、標準化やグローバル化、特許などの壁もあり、コストアップの要因となっている。

■UX-セキュリティ-コストの相関関係を探る

以下にその相関関係を図示してみた。将来のセキュリティ動向を考えると、理想とするセキュリティの壁はますます高くなり、UX面では使いやすさを徹底的に向上させ、老若男女、子どもも含めて、より使いやすいレベルにしなくてはいけない。その2要素を考えながら、適正なコストに抑えるというのが方向性だろう。

image_11-08.jpg

■期待膨らむ物理セキュリティ

また、監視カメラなどの物理セキュリティについても昨今は議論されているが、顔認証はAI(人工知能)技術を応用し、犯人割り出しなどの犯罪解決に寄与している。今後予測される訪日外国人の急増は、経済効果と共に犯罪ポテンシャルの増加も意味するので、ITと合体したセキュリティ対策には期待が寄せられている。一方で、この分野はプライバシー保護など相反する課題も抱えているため、注視が必要だ。

image_11-09.jpg

■経営主導のセキュリティ戦略とUX

最後に、企業のブランド体験とセキュリティ事故の面から言及すると、まず事件や事故が起きた場合は、その被害を最小限に抑えるために、セキュリティチーム側は早期検知と対策を行い、経営側は正直に公表することが重要だ。そして何よりCSOを中心とした経営側は、セキュリティを戦略と捉え、経営資源が直撃される可能性を想定しながら、経営主導でセキュリティ戦略に取り組むことが求められる。また、これまではソフトとハードの組み合わせ技術で、対策できるものと思われていたセキュリティだが、やはり知識や経験を積み上げたセキュリティ人材がいて、はじめてセキュリティ戦略が組めることも分かってきた。攻撃側は今後さらに巧妙で強力な手を打ってくることが想定され、セキュリティ専門家ではない企業の担当者とレベル差が開く傾向にある。企業側は現実を冷静に受け止め、セキュリティ人材の育成や組織マネジメント、さらに情報収集からアクションまで、きちんと戦略的にPDCAを回すことが今後さらに重要になっていくだろう。そのような中で、事業を成長させるエンジンとなるUXの価値を高めるための施策を打つという、一見矛盾することを並行していく選択に、経営陣は迫られている。

image_11-10.jpg取材協力者(敬称略):ネットワークセキュリティサービス事業部 宮内潤

関連サイト

Comment(0)