Slide 1

Slide 1 text

セキュリティとデザイン セキュリティ・キャンプフォーラム2023 - 3.11 (sat) 2022年度修了生 市川 拓磨 (@_takumma) 1

Slide 2

Slide 2 text

自己紹介 市川 拓磨(@_takumma) seccamp’22 Web セキュリティクラス修了 4月からは某社へ新卒入社 SecHack365’22 プログラミングしたり、デザインしたりしてます。猫派。 2

Slide 3

Slide 3 text

今日話すこと Design 3

Slide 4

Slide 4 text

今日話すこと 設計 デザイン Design 審美性を根源にもつ計画的行為 の全般 計画や仕様 “Secure by Design” はこっち 4 ユーザー体験、課題解決、表現

Slide 5

Slide 5 text

今日話すこと 設計 デザイン Design 審美性を根源にもつ計画的行為 の全般 計画や仕様 “Secure by Design” はこっち 5 ユーザー体験、課題解決、表現

Slide 6

Slide 6 text

今日話すこと デザイン 心理学 ユーザー体験 アクセシビリティ 6

Slide 7

Slide 7 text

アクセシビリティ “Accessibility” 製品・サービスを利用できること・その達成度。 「障害者の方のために」という視点になりがちですが、 実際は「全ての人」が使えるようにしていくという観点からアクセシビリティに取り組むことが求められています。 7

Slide 8

Slide 8 text

アクセシビリティの恩恵を受ける人 428.7 万人(平成28年時点) 画像引用元:ウェブアクセシビリティ導入ガイドブック - デジタル庁
 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/08ed88e1-d622-43cb-900b-84957ab87826/17f279b9/20221205_introduction_to_weba11y.pdf 8

Slide 9

Slide 9 text

どのようにアクセスしている? 視覚障害者の方の場合 点字ディスプレイ スクリーンリーダー (30万円くらい) 画面中の要素を読み上げる 9

Slide 10

Slide 10 text

例:CAPTCHA 画像を見る必要があるため、視覚障害 者の方が利用することができない。 (勿論 alt 属性も指定できない) 10 最近は reCAPTCHA などが出てきて画像を選んだりする手間が省けるようになりました。 ちなみに、CAPTCHA でも音声での認証を選択することもできます。(図中のヘッドホンのアイコン)

Slide 11

Slide 11 text

アクセシビリティをちゃんとしないと... セキュリティ機能にアクセスできない セキュリティ機能を実装しても、 ユーザーはセキュアにならない! 利用できないユーザーは離れていってしまう... 11

Slide 12

Slide 12 text

どうすればいい? アクセシビリティを向上させる w キーボードだけで全ての機能にアクセスできるようi w 操作に時間制限を設けない(回避手段を用意s w 文字と背景に十分なコントラスト比を保つ 12 デジタル庁の出しているウェブアクセシビリティ導入ガイドブックがとても参考になります。 より「利用しやすい」ものにするための視点は、SmartHR の辻さんの「俺の」シリーズが面白いです。(参考文献を参照) 指標として、ウェブアクセシビリティの規格が存在します。 あたりまえ

Slide 13

Slide 13 text

どうすればいい? 代替手段を用意する ! 別の認証方法を用意す0 ! サポートする窓口・方法を用意する 代替手段に対しても、セキュリティが担保できているか?という視点が必要 13 あるいは... 製品・サービス自体だけで無く、その周辺のコンテンツ(ヘルプ・カスタマーサービス)もデザインの対象になります。

Slide 14

Slide 14 text

ユーザー体験 “User Experience” ユーザーが製品やサービスを使用するときに感じる感覚や印象 14

Slide 15

Slide 15 text

よく言われる言説 セキュリティを担保しようとした結果 ユーザー体験が損なわれることは、仕方がない? ? 15

Slide 16

Slide 16 text

例:セッションタイムアウト € セッションタイムアウトはサービスの利用を遮り、ユーザー体験 を損ねる3 € 長いフォームを埋めて Submit したのに、タイムアウトでやり直 し...(最悪 € イライラした経験がある人もいるんじゃない...? 16 セッションタイムアウトが発生しました。 再度ログインしてください。 ログインページへ ログインページへ

Slide 17

Slide 17 text

例:iOS での二段階認証 “メッセージ” アプリに届いた認証コード をキーボードに表示 「アプリ切替 → コピー → ペースト」という煩雑な流れが 簡略化され、2段階認証のハードルを下げた。 → シームレスな入力が可能に! 17 GitHub の認証画面

Slide 18

Slide 18 text

例:GU アプリ 会員証のバーコードは、 アップデートせずに提示できる! レジで会員証を出すときに邪魔しない & その他の機能へは、アップデートを促す。 18

Slide 19

Slide 19 text

心理学 “Accessibility” 製品を取り巻く人々の心理を考える 19

Slide 20

Slide 20 text

心理学 今年のセキュリティ・キャンプの講義でも! 20

Slide 21

Slide 21 text

「人」を狙った脅威 21 情報セキュリティ10大脅威 → 約半数が人に起因 ... 人に起因するもの 漏れたり間違ったりしてたらすみません... 引用元:情報セキュリティ10大脅威 - IPA

Slide 22

Slide 22 text

攻撃者の視点に立ってみると? デザイン 騙す を使って、人を 22 偽 URL 偽サイト 偽リンク・ボタン example-com.jp PLAY PLAY PLAY PLAY もはや見分けが つかないものも サイトのデザインを 模倣して騙す フィッシング ユーザーを誘導 クリックジャッキング a

Slide 23

Slide 23 text

心理学を踏まえて、どうデザインしていく? 23 セキュリティ機能を と思ってもらう 利用したい … なるべく簡単なフローをデザインす“ … 機能のメリット・効果を伝えU … インターフェースの見た目を綺麗にして、信用を得る * *「インターフェースの心理学」より、「079:人はまず「見た目」と「感じ」で信用するか否かを決める」

Slide 24

Slide 24 text

まとめ “Conclusion” 24

Slide 25

Slide 25 text

25 デザインの本質 人 ユーザー体験 とは、 に寄り添い、 より良い を提供すること。 まとめ

Slide 26

Slide 26 text

まとめ < Thanks ! セキュリティとデザインは、対立関係ではない! より でより良い を 提供することができる! セキュア ユーザー体験 互いに手を取り合うことで、 26

Slide 27

Slide 27 text

参考文献など § ウェブアクセシビリティ導入ガイドブック - デジタル庁
 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/08ed88e1- d622-43cb-900b-84957ab87826/17f279b9/20221205_introduction_to_weba11y.pd– § 平成28年生活のしづらさなどに関する調査(全国在宅障害児・者等実態調査)
 https://www.mhlw.go.jp/toukei/list/seikatsu_chousa_b_h28.htmr § アクセシビリティvsセキュリティ ~こんな対策はいらない!~ - Yoshinori OHTA
 https://www.slideshare.net/yoshinoriohta18/vs-7679859† § デジタルで年調を提出!SmartHRで「俺の年末調整」を開催した話し - Katsutoshi Tsuji
 https://note.com/debugon/n/n168934ac69bU § 情報セキュリティ10大脅威 - IPA
 https://www.ipa.go.jp/security/vuln/10threats2023.htmr § インターフェースの心理学 - Susan Weinschenk 著、武舎 広幸、武舎 るみ、阿部 和也 訳
 https://www.oreilly.co.jp/books/9784873115573/ 27