Scribble at 2022-07-19 10:45:08 Last modified: 2022-07-19 10:48:33

添付画像

自分で使ってて、それから先月は会社の IT 研修として解説の動画まで配信したのだが、多要素認証(あるいは二要素認証。実は「二段階」だと「多要素」になっておらずセキュリティとして弱い実装がある)で OTP を入力するフォームというのは、大半の場合に入力ボックスにフォーカスが当たっていない。どうやら、ロボットのアクセスや RPA アプリケーションの入力操作を回避したいらしいのだが、これが「人であるかどうか」のセコい〈なんちゃってチューリング・テスト〉になっていると思ってるなら、UI/UX デザイナーとして誠に未熟という他にない。そんな〈セキュリティ劇場〉を無能な役者として華麗に演じているおかげで、多くのユーザはフォーカスをいちいち合わせなくてはいけないという動作にイライラしたり、キーを打っている途中でフォーカスが当たっていない空振りに気づいてウンザリさせられる。そして、「なるべく TFA なんて使わないに越したことはないな」と思うようになるわけである。

情報セキュリティのポイントは、もちろん〈全体最適〉の発想だ。見た目の不備だとか、SPOF のリスクばかり気にして、細かいところをどうでもいいレベルで対処しても、「TFA なんて使わないに越したことないな」とユーザが思って、少なくとも自分の裁量で採用するかどうかを決められるプライベートな用途での認証に TFA を積極的に使わなくなるというデメリットが大きければ、たとえ業務用のサービスで TFA を強制してつまんない UX でも我慢させられたとしても、この人物にとって業務だけでなくプライベートも含めた「生活」上のリスクは、逆に上がってしまうかもしれない。

「人が大切」「人材第一」などという利いた風なセリフを、口先や思い込みだけで言っているのでなければ、企業の情報セキュリティを預かる僕のような役職なり人材は、こういう社員のプライベートでのセキュリティも含めて(もちろんパターナリズムではなく)リスクと利便性をどちらも向上させるように務めるべきであろう。見かけ倒しのセキュリティ対策や、実績つくりのためだけにやるようなセキュリティ対策は、企業においては悪影響が小さいと舐めていても、結局のところ人はだれでも社会人でもあり個人でもあって切り離せないのだから、悪影響は全体として高まるだろう。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook