セキュリティ・キャンプフォーラム2023 修了生講演 LT のスライドです。
セキュリティとデザインセキュリティ・キャンプフォーラム2023 - 3.11 (sat)2022年度修了生 市川 拓磨 (@_takumma)1
View Slide
自己紹介市川 拓磨(@_takumma)seccamp’22 Web セキュリティクラス修了4月からは某社へ新卒入社SecHack365’22プログラミングしたり、デザインしたりしてます。猫派。2
今日話すことDesign3
今日話すこと設計 デザインDesign審美性を根源にもつ計画的行為の全般計画や仕様“Secure by Design” はこっち4ユーザー体験、課題解決、表現
今日話すこと設計 デザインDesign審美性を根源にもつ計画的行為の全般計画や仕様“Secure by Design” はこっち5ユーザー体験、課題解決、表現
今日話すことデザイン 心理学ユーザー体験アクセシビリティ6
アクセシビリティ“Accessibility”製品・サービスを利用できること・その達成度。「障害者の方のために」という視点になりがちですが、実際は「全ての人」が使えるようにしていくという観点からアクセシビリティに取り組むことが求められています。 7
アクセシビリティの恩恵を受ける人428.7万人(平成28年時点)画像引用元:ウェブアクセシビリティ導入ガイドブック - デジタル庁 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/08ed88e1-d622-43cb-900b-84957ab87826/17f279b9/20221205_introduction_to_weba11y.pdf8
どのようにアクセスしている?視覚障害者の方の場合点字ディスプレイスクリーンリーダー(30万円くらい)画面中の要素を読み上げる9
例:CAPTCHA画像を見る必要があるため、視覚障害者の方が利用することができない。(勿論 alt 属性も指定できない)10最近は reCAPTCHA などが出てきて画像を選んだりする手間が省けるようになりました。ちなみに、CAPTCHA でも音声での認証を選択することもできます。(図中のヘッドホンのアイコン)
アクセシビリティをちゃんとしないと...セキュリティ機能にアクセスできないセキュリティ機能を実装しても、ユーザーはセキュアにならない!利用できないユーザーは離れていってしまう...11
どうすればいい?アクセシビリティを向上させるw キーボードだけで全ての機能にアクセスできるようiw 操作に時間制限を設けない(回避手段を用意sw 文字と背景に十分なコントラスト比を保つ12デジタル庁の出しているウェブアクセシビリティ導入ガイドブックがとても参考になります。より「利用しやすい」ものにするための視点は、SmartHR の辻さんの「俺の」シリーズが面白いです。(参考文献を参照)指標として、ウェブアクセシビリティの規格が存在します。あたりまえ
どうすればいい?代替手段を用意する! 別の認証方法を用意す0! サポートする窓口・方法を用意する代替手段に対しても、セキュリティが担保できているか?という視点が必要13あるいは...製品・サービス自体だけで無く、その周辺のコンテンツ(ヘルプ・カスタマーサービス)もデザインの対象になります。
ユーザー体験“User Experience”ユーザーが製品やサービスを使用するときに感じる感覚や印象14
よく言われる言説セキュリティを担保しようとした結果ユーザー体験が損なわれることは、仕方がない??15
例:セッションタイムアウト セッションタイムアウトはサービスの利用を遮り、ユーザー体験を損ねる3 長いフォームを埋めて Submit したのに、タイムアウトでやり直し...(最悪 イライラした経験がある人もいるんじゃない...?16セッションタイムアウトが発生しました。再度ログインしてください。ログインページへログインページへ
例:iOS での二段階認証“メッセージ” アプリに届いた認証コードをキーボードに表示「アプリ切替 → コピー → ペースト」という煩雑な流れが簡略化され、2段階認証のハードルを下げた。→ シームレスな入力が可能に!17GitHub の認証画面
例:GU アプリ会員証のバーコードは、アップデートせずに提示できる!レジで会員証を出すときに邪魔しない &その他の機能へは、アップデートを促す。18
心理学“Accessibility”製品を取り巻く人々の心理を考える19
心理学今年のセキュリティ・キャンプの講義でも! 20
「人」を狙った脅威21情報セキュリティ10大脅威→ 約半数が人に起因... 人に起因するもの漏れたり間違ったりしてたらすみません... 引用元:情報セキュリティ10大脅威 - IPA
攻撃者の視点に立ってみると?デザイン 騙すを使って、人を22偽 URL 偽サイト 偽リンク・ボタンexample-com.jp PLAYPLAYPLAYPLAYもはや見分けがつかないものもサイトのデザインを模倣して騙すフィッシングユーザーを誘導クリックジャッキングa
心理学を踏まえて、どうデザインしていく?23セキュリティ機能を と思ってもらう利用したい なるべく簡単なフローをデザインす 機能のメリット・効果を伝えU インターフェースの見た目を綺麗にして、信用を得る **「インターフェースの心理学」より、「079:人はまず「見た目」と「感じ」で信用するか否かを決める」
まとめ“Conclusion”24
25デザインの本質人ユーザー体験とは、に寄り添い、より良い を提供すること。まとめ
まとめ< Thanks !セキュリティとデザインは、対立関係ではない!より でより良い を提供することができる!セキュア ユーザー体験互いに手を取り合うことで、26
参考文献など§ ウェブアクセシビリティ導入ガイドブック - デジタル庁 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/08ed88e1-d622-43cb-900b-84957ab87826/17f279b9/20221205_introduction_to_weba11y.pd§ 平成28年生活のしづらさなどに関する調査(全国在宅障害児・者等実態調査) https://www.mhlw.go.jp/toukei/list/seikatsu_chousa_b_h28.htmr§ アクセシビリティvsセキュリティ ~こんな対策はいらない!~ - Yoshinori OHTA https://www.slideshare.net/yoshinoriohta18/vs-7679859§ デジタルで年調を提出!SmartHRで「俺の年末調整」を開催した話し - Katsutoshi Tsuji https://note.com/debugon/n/n168934ac69bU§ 情報セキュリティ10大脅威 - IPA https://www.ipa.go.jp/security/vuln/10threats2023.htmr§ インターフェースの心理学 - Susan Weinschenk 著、武舎 広幸、武舎 るみ、阿部 和也 訳 https://www.oreilly.co.jp/books/9784873115573/27