ぴぽろじ

自分と誰かの役に立つといいなと思って書いてる備忘録

セキュリティとUXの〇〇な関係~すれ違い続けた二人の運命の邂逅~セキュリティとUXは本当にトレードオフなのかメモ

connpass.com

セキュリティとUXの〇〇な関係という
思わせぶりなタイトルに惹かれて勉強会に参加させていただいてきました。
まとめます。

togetterはこち

togetter.com

 ■セッション1:アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
登壇者:ビジネスアーキテクツ 太田 良典氏

f:id:pipologic:20170610144040j:plain

デザイニングWEBアクセシビリティというご本の内容から

情報セキュリティに絡むことを中心に解説。

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ

 

 資料

www.slideshare.net

 

◎まとめ
何のためにアクセシビリティを高めるのか?
何のためにセキュリティを高めるのか?
目的を考えることが最も必要。

セキュリティの三大要素に立ち戻ると
機密性を保持する最も簡単な方法はサービスを公開しないこと
⇒でもそれでは意味がない

安全なサービスを提供するためにやっていること
ということを忘れてしまうと
現実的ではない対策になってしまうことがあるので注意しましょう

CAPTCHAの問題
・バリデーションの問題
・セッションタイムアウトの問題

 

■セッション2:セキュリティ対策の都市伝説を暴く
登壇者:EGセキュアソリューションズ株式会社 徳丸 浩氏

f:id:pipologic:20170610144123j:plain

WEBセキュリティエンジニアのバイブル徳丸本の徳丸先生の講演。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

 

 資料

www.slideshare.net

◎まとめ
WEBの変化に伴ってセキュリティ対策の考え方も変わってきている
⇒一部が都市伝説になっている

メリットとデメリットが釣り合わなくなってしまうこともあるのでセキュリティ対策はよく考えて使う必要がある。


・パスワードのマスク表示
⇒逆に安易なパスワードを使われてしまうという話もある
IEのパスワードが一瞬見えるみたいなのは良い、独自実装は厳しい

・IDまたはパスワードが違います
⇒定説ではあるが見直しの機運があるのではないか

⇒ユーザ名が公開になっている場合もこうなってると意味がないのでは
⇒最近ユーザ名とパスワードを別々に認証するようになっていることがある
 フィッシング対策のため
 攻撃されていい訳ではないので別途対策必須

・パスワードの有効期間
IPAの資料にも「毎月変更することを強くお勧めします」本当?
⇒常識が変わってきている
 新しいパスワードは適当に作る傾向がある
⇒パスワードを定期的に変更すると不正ログインを緩和できるというのは誤解
 漏洩したパスワードを使い続けることを防げるというのが正解
 まさに都市伝説
⇒意識高い人が勝手にやるのは良いが強制するのはやめたほうがいい

・AutoComplete
⇒伝統的にオフが推奨されてきたが最近は脆弱性診断でも指摘しないはず
⇒最近のブラウザはオフできなくなってる
⇒そして伝説へ

・戻るボタンの問題
⇒セキュリティの理由から戻るボタンを禁止しているサイトがある
 javascriptやサーバ側でエラーにすることもある
 または自動的にログアウトする
⇒明確な理由はよくわからない
⇒オンラインバンキングほどセンシティブなサイトでなければ
 そこまでしなくてもよいのでは

 

■セッション3:セキュリティ教育とUXの知られざる関係~結ばれていた赤い糸~
登壇者:ヤフー(株) CISO室セキュリティ推進室 日野 隆史氏

f:id:pipologic:20170610144220j:plain

東京オリンピックにむけて
ヤフー全体のセキュリティレベルアップに取り組んでいる。
CISOとは(Chief Information Security Officer/最高情報セキュリティ責任者)の略

 

資料

www.slideshare.net

 

◎まとめ
・セキュリティ教育で直面している課題の解決にUXデザインが活用できる

・どんな教育をすれば記憶に残るか?
⇒逆境における実体験が一番
⇒疑似体験でも実体験になるべく近い経験をしてもらうことが大事

・セキュリティ教育におけるUXデザインの考え方の活用
⇒「モノ」から「コト」へ
⇒ストーリーボード仕立てでやるとより自分事として考えられる

・「可視化」と「測定」
⇒他人が見ても効果がわかるようにしないと投資をしてもらえない
 標的型攻撃訓練のジャーニー化
⇒どのような体験をしたのか可視化する

・効果は起点がないとはかれない
⇒教育だったら教育を受ける前に起点をとっておく

・「伝える」と「伝わる」は全く違う
⇒伝えるは送り手の主観
⇒伝わるは受け手の主観

・まずは打席に立つこと(体験をすること)

・セキュリティとUXの関係は赤い糸というよりは総合格闘技
⇒シーンにあった効果的な技を柔軟に使うことで課題を解決することが最も重要