セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか
「セキュリティとUXの◯◯な関係」という勉強会が開催された。サブタイトルに「すれ違い続けた二人の運命の邂逅~セキュリティとUXは本当にトレードオフなのか」と題されているこの会は非常に人気が高く定員を遙かにオーバーしていた。
研修・セミナー・カンファレンス
セミナー・イベント
筆者は脆弱性診断のレポートを目にする機会があるが、「この指摘って今でも必要なのかな?」と思う「昔から言われてることだから」的な報告が気になることがあったが、今回の徳丸氏の発表を聞いていくつか見直すべきだと感じた。
徳丸氏は「セキュリティ対策の都市伝説を暴く」と題して、そういった古くから言われている都市伝説について、検証を行った結果の発表を行った。
● ユーザーID またはパスワードが違います
「ユーザーID またはパスワードが違います」というログイン時のエラーメッセージは、ID とパスワードのどちらが間違いかわかるとパスワード探索が容易になってしまうという理由から、脆弱性診断における指摘の対象となっていた。ユーザーID がわからない場合には確かに効果があるが、そもそもユーザーID がわからない場合には効果があるのだろうか。
たとえば、最近 Google のログイン画面ではユーザーID だけをまず入力させて、ユーザーID の存在確認を行った後にパスワード入力を促す作りになっている。いくつかの国内のオンラインバンキングの Webサイトもそのような作りになってきている。なぜ、別々に入力させるようになってきたのだろうか。徳丸氏は「利便性を上げることによって、強いパスワードをユーザーに付けてもらいやすくするため」だと推測している。
そもそも攻撃の緩和策としてはアカウントロックや二要素認証など他の対策が一般化しつつあるので、パスワードが破られるという脅威はそれで対策が出来るはずである。
徳丸氏はそれ以外にも入力フォームにおいて「 autocomplete 機能が有効」という指摘や、「戻る」ボタンの禁止、そしてWebサイトにおけるパスワードの定期変更についても都市伝説の可能性があると言及した。
インターネット上に公開されているドキュメントなどには 10 年以上前のものもあり、効果のある対策もあるが、今となっては時代遅れてとなっているものや、他の対策を取るべき物などもあると述べていた。
徳丸氏の発表資料は下記で公開されている。
https://www.slideshare.net/ockeghem/uxvssec20170609
他にも勉強会ではヤフーの日野氏によって、ヤフーが如何にしてセキュリティ教育を体系化してきたかという「セキュリティ教育とUX ~結ばれていた赤い糸~」の発表も行われた。増え続ける社員にどのようにして関心を持ってもらうか、そしてそれらを可視化して測定するために何を行ってきたかということが紹介された。
日野氏の発表資料は下記で公開されている。
https://www.slideshare.net/techblogyahoo/ux-76860397
《》
関連記事
この記事の写真
/
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)
