安全な設計:UXセキュリティの概要

公開: 2022-03-11

それは寝る時間ですが、最初に、いくつかの日常的なタスク:

  • パジャマを着てください。
  • 歯磨き。
  • ウィンドウを開きます。
  • ドアのロックを解除します。
  • 財布、個人の書類、銀行情報をキッチンカウンターの便利な山に置きます。

良い夢を。

そのシナリオが不安定な場合は、同じ機密情報がデジタルデバイスに入力される頻度を検討してください。 適切なセキュリティプロトコルが設定されていないと、私たちの資産とIDは簡単に獲物になります。 さらに悪いことに、デジタルインターフェイスの設計者として、セキュリティを無視すると、ユーザーは経済的、専門的、関係的、感情的に危険にさらされます。

セキュリティはトレンドや宣伝の戦術ではなく、ユーザーエクスペリエンスとインターフェイスデザインの重要な側面です。

UXセキュリティ
デジタル製品が適切に保護されていない場合、すべての間違った文字がユーザーの情報にアクセスします。 (アーロン・バーデン)

理想的なインターフェースは操作が簡単で、ユーザーの個人情報を盗もうとする試みから保護されます。 このような設計を提供することは、通常、使いやすさとセキュリティの間のトレードオフとして組み立てられます。

  • インターフェイスが使いやすい場合は、安全性が低くなります。
  • 安全であれば、使いにくいです。

このトレードオフは神話です。 どちらの品質も損なうことなく、シンプル安全なインターフェースを設計できます。 ここで、UXデザイナーは、技術的な要求とユーザーのニーズの両方が満たされるようにすることで重要な役割を果たします。

多くの点で、UXデザイナーは通訳者です。 それらは技術的要件を解読し、ユーザーが理解できるようにします。 また、いつ単純性に焦点を合わせるか、またはいつ高度なセキュリティ対策を講じるかを決定することにより、状況認識を行使します。 バランスは重要ですが、それは設計の初期段階からすべての利害関係者を含めることによってのみ達成できます。

関係者をUXセキュリティに早期に関与させる

安全で成功するデジタル製品を設計するために相談しなければならない複数の関係者がいます。 たとえば、設計チームは、自社の製品がヘルスケア業界向けのHIPAAや銀行および金融サービス向けのPCIDSSなどの関連規制に準拠していることを確認する必要があります。 また、設計チームによって実装されるセキュリティ機能は、デジタル製品の背後にある技術チームによって設定された基準を満たす必要があります。

セキュリティのための設計
設計者は、作業するデジタル製品に適用されるさまざまなセキュリティ規制に注意する必要があります。

セキュリティに関しては、ユーザー入力が無視されることは珍しくありません。 しかし、ユーザーのセキュリティニーズを真に満たすには、設計者はユーザーの動機、行動、期待を把握する必要があります。 多くの場合、ユーザーはデジタルセキュリティについてほとんど知らないため、設計者は、ユーザーがさまざまな画面や機能をナビゲートするときに直面するリスクのレベルを予測することを学ぶ必要があります。 設計プロセス内でリスクを早期に特定できるほど、優れています。

利害関係者を無視したり、設計プロセスの後半で彼らの意見を取り入れたりすると、リスクが2倍になります。 それは、他の方法では防げたはずの製品にセキュリティホールを開く可能性があります。あるいは、安全性が高く、ほとんど使用できない製品につながる可能性があります。

製品セキュリティの設計方法

暗号化

暗号化は、機密情報をランダムに見えるコードに変換する方法です。 これは、通信機能を備えたデジタル製品の重要な設計上の考慮事項です。 通話、テキスト、ビデオ、画像、ドキュメントが頻繁に交換されるアプリ(WhatsAppを考えてください)では、エンドツーエンドの暗号化により、会話に関与するユーザーのみが交換されるデータを確認できます。

これは、アプリの背後にいる会社、データ犯罪者、政府でさえ、誰もメッセージの内容を見ることができないことを意味します。 ユーザーが自分の情報がそのような手段によって保護されていることを知っているとき、彼らははるかに信頼を拡大することをいとわない。

認証

アカウントの所有者のみがログインできること、およびすべての侵入者がロックアウトされていることを確認することが重要です。 認証は、不正アクセスからデジタル製品を保護するための最も効果的な方法です。 ユーザー名やパスワードの要件などの機能は、設計プロセスの早い段階で特定してテストする必要があります。

セキュリティを強化するために、2要素認証(2FA)を追加できます。 2FAでは、ユーザー名とパスワードが入力され、ログインコードが携帯電話または電子メールアドレスに送信されます。

セキュリティユーザーエクスペリエンス
アクセスコードを受け取るために、Intuitの2FAプロセスでは、ユーザーは複数の配信オプションから選択できます。

データのプライバシー

最終的に、データのプライバシーは設計者や企業にとって倫理的な考慮事項です。 ユーザーがデジタル製品へのアクセスと引き換えに個人データを取引する場合、ユーザーは、製品を監督する会社が情報を完全に処理すると信じることを選択しています。 彼らはまた、設計者や開発者によって実装された機能がデータ攻撃に耐えることができると信頼しています。

ユーザープライバシーとデータプライバシーの強化

繰り返す価値があります。デジタル製品はユーザー向けに作成されており、その逆ではありません。 ユーザーと製品とのやり取りには、データが漏洩したり盗まれたりするリスクが伴うことはありません。 悲しいことに、これは常にそうであるとは限りません。

ほとんどのサイバー犯罪は、ユーザーの個人データを取得することを目的として実行されますが、UXデザイナーが支援できます。 どうして? ユーザーがより強力なパスワードを選択し、過度の個人情報をオンラインに配置しないようにする機能を実装する。

たとえば、製品の認証インターフェイスは、わかりやすいメッセージを使用して、より強力なパスワードを使用することが重要である理由をユーザーに通知する場合があります。 ユーザーに12文字、小文字と大文字、数字、記号を使用してパスワードを作成させる代わりに、メッセージは単に「より強力なパスワードが必要です。 これが重要な理由です。」 このようにして、ユーザーはデータとプライバシーを保護する必要性をよりよく理解できます。

不要なセキュリティ障害物を取り除く

製品のセキュリティがすべての利害関係者の組み込みに依存している場合、設計者は時間をかけて開発者やサイバーセキュリティの専門家に相談する必要があります。 開発者は通常、設計に影響を与える制約があり、設計者によって実装されたUXセキュリティ機能の有効性に関する洞察を提供できる場合があります。 サイバーセキュリティの専門家は、最新のセキュリティ戦略、ツール、およびコンプライアンス規制について設計者を教育することができます。

注意点:セキュリティの専門家に相談するのは良いことですが、セキュリティ対策をやりすぎると、デジタル製品が煩雑になり、ユーザーは他の場所を探すようになります。 「インターネット接続が安全ではありません」などのあいまいなメッセージにより、ユーザーは保護を目的としたセキュリティ機能を回避することになります。

最終的には、デジタルセキュリティが複雑すぎるために、正当なユーザーがタスクを実行できない場合や、アカウントからロックアウトされている場合に、ビジネスにあまり反映されません。

セキュリティUXデザイン
デジタルセキュリティ機能をやり過ぎて、ユーザーを苛立たせる可能性があります。 (ケリー・シッケマ)

ソーシャルエンジニアリングに対するセキュリティ

発生するすべてのデジタルセキュリティ攻撃の中で、1つのスキームが他のスキームよりもかなり一般的です。 これは、世界中の侵害のほぼ90%を占めており、高度な技術的能力よりも欺瞞の技術に依存しています。 この悪質な戦術は何ですか?

フィッシング。

昔の詐欺師のように、フィッシング(これは電子メールで最も頻繁に発生します)は、ユーザーを怖がらせ、圧力をかけ、ユーザーを混乱させて機密情報や苦労して稼いだ現金を渡すためのソーシャルエンジニアリング戦略に大きく依存しています。 フィッシング攻撃から保護するために、設計者は、ユーザーがスパムを報告したり、他のユーザーに警告を投稿したりできるセキュリティフォーラムを作成できます。 また、アプリ内でポップアップやメッセージを使用して、既知のフィッシングの試みをユーザーに警告することもできます。

アプリケーションセキュリティ設計
フィッシングは、人々をだまして機密情報を共有させることにより、書面によるコミュニケーションを武器にします。 (Taskin Ashiq)

設計者はデジタルセキュリティも必要

セキュリティにかかるすべての努力に対して、見落とされた1つの脆弱性は、デジタル製品の整合性を深刻に損なう可能性があります。 それはテクノロジーとはほとんど関係がありません—それはデザイナー自身です。

作成された製品ごとに、数百(数千)のデザインアーティファクトが生成されます。 数十の通信チャネルが利用されています。 戦略文書へのリンクは複数の関係者に送信されます。 また、分散したチームは、クラウドベースの設計ツールにますます依存しています。

設計者が自分の仕事とコミュニケーションを守るための予防策を講じない場合、攻撃者は組織の弱点に侵入する方法を見つけるでしょう。 これは、VPNを確立し、サイバーセキュリティトレーニングを受け、資産管理と通信ガイドラインを制定して、行き詰まりを防ぐことを意味する場合があります。

セキュリティのための設計

安全で使用可能なインターフェースが偶然に発生することはありません。 これらは、データの脆弱性のポイントを特定するために時間をかけ、創造的なプロセスの早い段階で利害関係者を巻き込む設計者の結果です。 セキュリティは他の重要な機能と何ら変わりはありません。エンドユーザーのニーズを無視してはなりません。

設計者がセキュリティの価値を伝え、安全機能が効率的に機能することを保証するための有用な方法を見つけた場合、ユーザーはデジタル製品を監督する企業に信頼と継続的な関与で報いるでしょう。

•••

Toptal Designブログでさらに読む:

  • 高地–デザイン倫理ガイド
  • Age Before Beauty –高齢者向けのインターフェースデザインガイド
  • Webフォームの終わり
  • eコマースウェブサイトデザインの究極のガイド
  • ホームスマートIoTホーム:モノのインターネットの家畜化