「セキュリティ製品開発に重要な要素とは何か」
セキュリティ製品の開発者はじめ、セキュリティ業界に携わる人にぜひ読んでいただきたいコラムです。
原題:Accounting for the human element: A security tool that nobody wants to use is destined for the trash heap
原作者:Ashton Tupper
パスワードレス化に向けた我々独自の取り組みを続けていくために、Yubicoは元アメリカ海軍情報将校でタルサ大学教授のSal Aurigemma氏に、行動情報セキュリティ分野についてのインタビューを行いました。
Sal Aurigemma氏はエンドユーザー体験と認証技術の採用率に着目しており、セキュリティキーやそれ以外のセキュリティプロトコルに慣れていないユーザーの行動特性について、学生を対象にYubiKeyを利用したフィールド実験と研究を行っています。
セキュリティ管理者や開発者には特に強くお伝えしたいのですが、暗号化やセキュリティ標準への準拠は当然のこととして、人々が製品を生活の一部として当たり前に使用するところまでを目指さなければなりません。
Sal Aurigemma教授は「人間の行動原理に基づいてセキュリティ設計を行う場合、最も重要なのはツールの性能ではなく、ユーザビリティ(=使いやすさ)である」と述べています。
Q:ITセキュリティに興味を持たれたきっかけと、エンドユーザーの行動研究に進まれた理由を教えてください。
A:私は原子力工学の学位を取得後に海軍に入り、当初は潜水艦関係の仕事に就きました。その後、海軍情報部へ異動して数々の海軍部や統合司令部のIT関係の仕事をしていく中で、セキュリティプロトコルの世界に入りました。
当時、私たちはさまざまなプロトコルを統合して24時間365日体制のセキュリティプランを策定しようと、MacGyver(米ドラマシリーズのエージェント)さながらに日夜奮闘しておりました。
インターネットが普及する前で、今では当たり前のITやサイバーセキュリティなど、誰も知らない頃のお話です。
当時、500~1000台の物理/仮想マシンを保護するためのセキュリティを管理しようとしていたのですが、開発したセキュリティツールはユーザーにとって使い勝手が良いものではありませんでした。
作業があまりに負担になると、エンドユーザーはセキュリティを無視してでも運用負担を回避しようとすることを、そのときに学びました。
海軍の格言に「古い船にあれこれ手間をかけるより、新しい船を造ったほうがいい」というのがあります。
根本から新しい設計をした方が余程良いということですね。
行動情報セキュリティ分野は、ユーザーが社会や生活の様々な制約の中で、確実に実践できるセキュリティは何か、という考え方に基づいています。
ユーザーの日常生活に受け入れられなければ、世界中のどんな認証方法もその効果を発揮することはないのです。
Q:YubiKeyはどのような研究課題として位置づけられていますか?
A:セキュリティレベルの高い施設での勤務をやめたことで、私個人のセキュリティ管理に気を遣うようになりました。多くの人と同じように、私もパスワードマネージャーや二要素認証(2FA)を試しましたが、それらがいかに脆弱なものであるかすぐにわかりました。当時SMSは信頼できるとされていましたが、今では攻撃者が簡単に傍受できるようになりましたね。
フィッシングの脅威とそれに伴う情報漏洩への対策に関しては、できることは全てやっておくべきですが、本当にフィッシングに強い2FA(二要素認証)方式は非常に少ないのが現状です。
ですから、物理キーでありながら電池切れもしないYubiKeyに出会ったときは「これだ」と思いました。
情報漏洩に繋がる脅威を認識しているなら、その対策技術を研究することは重要だと思います。
Q:将来の働き方について、学生から学べることは何でしょう?
A:現在、私は1000人以上の学生と研究に取り組んでおりますが、彼らは将来の働き方について何らかの情報を提供してくれる存在だと思います。彼らは卒業まで1~2年後ですので、まもなくインターンの現場でYubiKeyや他のセキュリティプロトコルを使うことになるでしょう。
教育者としての私は、彼らが現場で使うセキュリティツールにおける基準を調査し、そして一般企業が新入社員に求めるセキュリティスキルを期待値以上のレベルにするためには、どうしたら良いかを考えます。その知識は彼らが就職活動する際にも役立つはずです。
YubiKeyはとても使いやすいので、この研究に使うハードウェアトークンとして選ぶのは自然な流れでした。学生たちはセキュリティの問題を学び、YubiKeyのような解決策をインターンで使用します。これを見た企業が、学生をどのように評価して採用していくかを、学期の進捗とともに調査することができます。
Q:現在の研究から得られた主な成果は何ですか?
A:データからはさまざまな課題が見て取れますが、ここではそのいくつかをご紹介します。
1.時間とリソースのコストが採用の鍵となるということ。
もしユーザーが新しいプロセス(セキュリティ)を学ぶのに多くの時間が掛かると感じた場合、採用や継続的な使用の可能性は非常に低くなります。習得に要する多大な時間に関する想定に関しては、しばしば開発者とユーザーの間に乖離があります。従って、習得して立ち上がるまでの期間を短縮することは必須なのです。
また、自発的に行う場合と会社の業務として行う場合とでは大きな違いがあります。会社の業務として行う場合、習得に要する時間は給与の対象となります。しかし、それに掛かる時間的なコストが高いとみられるので、継続的な利用という観点では低い割合にとどまるのではないでしょうか。
2.脅威がどこにあるのかを明確化すること
セキュリティの脅威は個人を標的にしています。驚異の存在と、なぜ個人が攻撃者にとって格好の標的になるのか、自身の状況を踏まえて明確に説明できる必要があります。
脅威の明確化と理解ができれば、あとは対策ツールを準備するだけです。
3.推薦者の信頼性が採用を後押しするということ
これは繰り返しのテーマになるのですが、企業がセキュリティに関するアドバイスを受けるとき、彼らはベンダーからではなく、社会における評価を重要視します。彼らは信頼できる証言が欲しいのです。ですから、企業からの支持や採用率を高めるには、すでに信頼が確立されているソースから推薦してもらうことが重要なのです。
Q:将来の労働者たる学生たちはパスワードレス認証を望んでいますか?
A:望んでいますが、セキュリティを根拠にしたものではありません。基本的に、彼らはパスワードレス化された自分のデバイスを使いたいだけで、セキュリティのためにわざわざ何か行動を起こしたくはありません。
「パスワードレス」というのは抽象化された文脈的な言い方であり、実際はハッシュアルゴリズムと不可侵な秘密鍵によるセキュリティでありながら、ユーザーは何ら特別なセキュリティ手順を踏まずにリソースへのアクセスが可能になるという仕組みなので、セキュリティに付随する手順を望まないユーザーに最適な手法と言えます。
ユーザーと企業の双方にとって、パスワードレスが歓迎されるユースケースがあることは間違いありません。なぜなら、パスワードレスを導入することで、パスワード運用におけるユーザーの不適切な行動によって引き起こされるリスクが取り除かれるからです。
良いセキュリティの鍵は、ユーザビリティにある
Sal Aurigemma教授の研究は、セキュリティ業界に携わる人たちにとってユーザビリティが何よりも重要であることを再認識されるものです。セキュリティ製品を開発する開発者であれ、セキュリティ製品を導入するセキュリティ管理者であれ、ユーザーの行動(ユーザーの属性や仕事によって定義が異なるかもしれませんが)を考慮することが最も重要なのです。
あなたの企業が導入しているセキュリティツールやプロトコルは、ユーザーの日常業務に照らし合わせて習得が容易で使いやすいものでしょうか。ユーザーが使用を回避したくなるようなものではなく、自然に受け入れられる仕組みでしょうか?
ユーザーは煩わしい操作を省きたいと考えていますので、これらの質問に対して「はい」と答えられることが、セキュリティプロフェッショナルの仕事における基本と言ってもよいでしょう。
YubiKeyでシームレスかつセキュアなパスワードレスを実現する方法については、こちらをご覧ください。
多要素認証セキュリティキー「YubiKey」について興味がある方は以下のページをご覧ください。
https://securitykey.scsk.jp/yubico/
また、ご質問等ございましたら、以下よりお問い合わせください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部