アクセシビリティとセキュリティ

といった導入でした。

CAPTCHAの問題

CAPTCHAの設置がアクセシビリティを低下させる要因になる。そのCAPTCHA、本当に要りますか？という話でした。

バリデーションの問題

なぜこのような「半角を許さないバリデーション」が生まれたのかについて、どうやら「一部の半角記号を使ってSQLiやXSS攻撃ができる。全角しか受け付けないようにすれば安全だ！」という発想からそのようなバリデーションが生まれた可能性があるのではないかとのことです。

無意味なバリデーションは使い勝手を悪くするだけなので、必要性をきちんと説明できない対策はやるべきでないということですね。

という話で、大垣さんの名前が出て、徳丸さんと浅からぬ関係であると紹介されました。

• 大垣さんが「入力バリデーションはセキュリティ対策である」と主張し、対して徳丸さんが「バリデーションはセキュリティ対策とは言えない」と主張したやりとり。
• 大垣さんと徳丸のバリデーション論争のリンク集 - 徳丸浩のtumblr
• 徳丸浩氏との長年の議論に終止符 - 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

少し話が逸れますが、たとえば「入力バリデーションはセキュリティ対策か」というテーマを考えたとき、（読者の）みなさんは何かしらの意見を出せるでしょうか。徳丸さんの主張が全て正しいとも限りません（正しいかもしれません）。天動説と地動説のように、どちらの主張が正しいとするか判断するのが難しいこともあります。

議論したり深く考察することは非常に重要です。こうしたイベントに参加したり関心を持っている人であれば、「自分ではどう考察するか」を意識しながら記事を読んだりすると良いかもしれません。

セッションタイムアウトの問題

セッションタイムアウトを有効にする意義については、

といった記述があります。特に（施設等の）共用パソコンでの問題を想定できそうですが、実際に他人にセッションを乗っ取られる問題と利便性のバランスが取れているのか？ということをよく考えたほうがよいという話です。

まとめ

サービスは便利に使えなければ意味がない、ということを忘れてはいけません。本当に必要なことを見失うと、セキュリティもUX（ユーザ体験）も良くないものになってしまうのでよく考えなければいけませんね。

セキュリティの都市伝説

といった導入でした。

パスワードのマスク表示

「パスワードを隠すのをやめよう」という記事がありますが、マスク表示自体を否定するのは極端な考え方にも思えます。ショルダーハック対策を意識することも必要といえば必要でしょう。（記事では、攻撃者がその気になればマスクしていようがパスワードを盗み見できると書かれていますが、マスクに意味がないとは思いません）

個人的にもこの機能を独自実装することはお勧めしないですが、どうしても独自実装したい場合にはパスワード入力用の input 要素を type="text" にして JavaScript で操作するのではなく、type="password" のまま別のDOMオブジェクトに input.value を出力するような方針が良いかと思います。HTTPS 通信ではない場合に <input type="password"> があると「パスワードを盗聴される危険がある」と警告を出したり autocomplete を無効にするブラウザもありますが、type="text" にした場合、その恩恵を受けられなくなってしまいます。（参考サイト）

IDまたはパスワードが違います

というお話です。

一般的なサービスで、ログイン時に「ログインID」を先に聞くとフィッシング対策になるというのはどういう仕組みなのでしょうか。「(1)ユーザが、フィッシングサイトでID入力」→「(2)攻撃者が、正規サイトにそのIDを入力してレスポンスを受ける」→「(3)攻撃者が、フィッシングサイトで正規サイトのレスポンスを表示する」とした場合、ユーザは正規サイトでないことに気づけないのではないかと思ったのですが、徳丸さんはどういう説明をしていましたっけ。

ただこのお話を聞いて、「IDとパスワードのどちらを間違えたかヒントを与えても良い」という考え方も悪くはない、ということを考えるよいきっかけになりました。

パスワードの有効期限

議論されるまでは「パスワードの定期的変更はセキュリティ対策である」であるという認識に疑問を持つ人は少なかったようですが、徳丸さんには浅からぬ関係の方が少なくないようで、パスワードの定期的変更の是非についてもこれまでに重要な議論を残してくれています。

• パスワードの定期的変更に関する徳丸の意見まとめ - 徳丸浩のtumblr
• 「パスワード 定期」の検索結果 - Togetterまとめ

2016年頃には「パスワードの定期的変更は有害である」という認識が広がったようで、各種メディアでもパスワードの定期的変更を批判する記事が出てきています。しかし皮肉なことに、パスワードの定期的変更を批判する趣旨でトンチンカンなことを書いている記事も少なくありません。

おっと、つい脱線した話をしてしまいました。閑話休題。

パスワードの（定期的な）変更を強要するということはユーザに変更する手間を掛けさせていることになります。その手間を掛けるだけの意味を説明できないのであればUX（ユーザ体験）を悪化させるだけでしかありません。「安全のために定期的変更」とだけしか言わず「なぜ安全になるのか」を説明できないサービス事業者には、ユーザとして疑問を持った方がいいと思います。

autocomplete（オートコンプリート）の停止

このテーマとか議論する甲斐がありそうです。ブラウザ開発者側の主張は正しいでしょうか？（私は懐疑的な立場です。否定もしませんが肯定もしません）

• フォームのオートコンプリートを無効にするには - Web セキュリティ | MDN
• form 要素 - HTML | MDN

2要素認証（2段階認証とも言われるが、多段階より多要素であることが重要）の話をしましょうか。ログインなどユーザ認証をする場合、そのユーザであることを「認証」するために必要な要素としては、次の三大要素があります。

• 記憶 - Something You Know (SYK)
  • 暗証番号、パスワードなど
  • 漏洩（使い回しはリスク増大）、推測（総当たり試行）などの脅威に対して脆弱
• 所有 - Something You Have (SYH)
  • カードキー、鍵、秘密鍵ファイル、所有メールアドレスへのシークレットトークンの通知、SMSでのワンタイムパスワードの通知など
  • 紛失、盗難、盗聴などの脅威に対して脆弱
• 生体 - Something You Are (SYA)
  • 指紋、筆跡、声紋など
  • 認証する側が生体情報を管理するコストやプライバシー上のリスクが大きい。物理的な認証デバイスが必要。怪我をした場合などに生体要素の再設定が不可能。

各要素を1種類しか用いていない場合、その要素認証の特徴としてある問題（脆弱性）の影響を受けてしまいます。一方、パスワードとカードキーの組み合わせで認証していた場合、どちらか一方を他人に奪われても他人が認証を突破することはできません。

「パスワードを2種類用意する」あるいは「鍵を2つ用意する」といった「1要素2段階認証」では、1段階認証よりは安全かもしれませんが本質的なリスクの軽減にはなっていません。鍵を2つ用意した場合でも大抵はその鍵を一緒に持ち歩くはずですので、鍵が1つの場合とリスクが変わっていません。

異なる要素の認証を組み合わせることが重要です。一般には「2要素認証」を指して「2段階認証」と呼ばれているようですが、この「要素」の種類が異なっていることが重要です。

※上記の説明を書くに当たって、おうちで作れる生体認証システムのご提案 - co3k.org を参考にしました。

さて、パスワードは「記憶(SYK)」要素であったわけですが、ブラウザに記録させてしまうとそれは「所有(SYH)」要素になってしまいます。いわゆる2段階認証で「パスワード」と「携帯端末」を組み合わせた場合、「所有」と「所有」になってしまいますから、2要素ではなく1要素認証になってしまいます。

この問題を回避するには、ブラウザに記憶させた「所有(SYH)」要素を使うために他の要素の認証を予め行う必要があります。これには、「ブラウザのマスターパスワード」や「パスワード管理ツールのマスターパスワード」、または「端末での指紋認証」があります。パスワードを「記憶せず、所有して使う」という方針を採用する際には、多要素認証の意味を理解しておくことが大切です。

戻るボタンの問題

そのようなサイトは「ブラウザバックするとエラーになります。改めてログインし直してください」と、ユーザへのデメリットを一切考慮していません。そのようなサイトをユーザが使いたいと思うでしょうか。

まとめ

「よく考えて対策をしよう」という話ばかりですが、もしも考えるのが面倒なのであればその対策をすべきではありません。考えもせず説明もできない余計な対策がアクセシビリティやユーザビリティを低下させてしまいます。セキュリティ対策によってUX（ユーザ体験）が悪化するのは思慮の浅い対策が原因です。あなたが考えるのが面倒ならば、開発者や専門家に任せましょう。

ヤフーでのこれまでと現在の教育体系

座学にしろ実体験にしろ、教育する側が用意すべき「教材」をつくるのは大変ですよね。より効果的な教材として実体験ベースのものが有効だというお話ですね。

関心を持ってもらうための施策

ルールに縛られるということは自由を制限されていることになるので、そのルールの意義が分からなければ誰でさえルールを守ろうという気にならないことが多いと思います。なぜこのルールを守らなければいけないのか？という疑問を最初から解消できるような教育・情報共有が、本当に効果のある教育ということですね。

可視化と測定

Webマーケティングの用語としても「カスタマージャーニー」という言葉がありますが、ジャーニー化というのは顧客（カスタマー）の行動・思考・感情の情報を基に、どのような理由でそのアクションを行ったのかという事実を旅（ジャーニー）に例えて可視化することですね。ペルソナ分析に似ていますが、ペルソナ分析は事前に予測することに主眼を置いているのに対して、ジャーニー化は事後に結果を可視化することに主眼を置いている感じでしょうか。

プログラムのデバッグ作業じゃないですが、何を変更したらどういう影響があるのかを正確に見通すには、異なる状態間の比較が重要ということですね。

「伝える」と「伝わる」は違う

当たり前といえは当たり前の話ですが、特にUX（ユーザ体験）という文脈でユーザに「伝わる」ように伝え方を考える必要があるということですね。ある人に伝わったからといって、同じ方法で別の人に伝わるとは限らないと。

学生は最高の先生

伝えたい側と学びたい側のいいお話ですね。教える側がより効果的な教え方を考えるのに、教えられる側のフィードバックが重要だということですかね。

まとめ

総合格闘技ですか。なるほど。私は、コンテンツの面白さや使いやすさ（UXやUI）、良い設計・実装や運用の容易さ、セキュリティ（安全性や可用性）の担保などを「心技体」のように思っています。原則は心も技も体もすべて必要で、どうしてもどれかが不十分になってしまうような場合でもできる限りバランスを保つことが大事かなと思います。

そのためにも、プロジェクトが始まってから決められたスケジュールの中で心技体を満足することは難しいので（セキュリティの知見のないメンバーにそれを担保させるのは無理がある）、普段から心技体のそれぞれをきちんと満足できるように社内教育をしたり、社内勉強会の開催やイベントへの参加をしたりといった活動が結果に繋がるんじゃないかと思っています。

ところで、今回、ヤフーの「Hardening」ステッカーが配られましたが、この「Hardening」について何も説明がありませんでしたね。Hardening（ハードニング）というのは一般用語で「システムのセキュリティを堅牢にする」といった意味の言葉です。同時に Capture The Flag (CTF) のようなコンテストと同様の、攻める側ではなく守る側の技術を競う Hardening Project というイベントもあります。

今回のステッカーは、ヤフージャパンが主催する実践型セキュリティ総合演習としての Hardening のものですが、その詳細はサイバーセキュリティ演習を実施しました | LAC WATCH | 株式会社ラックあたりの記事を読むと知ることができるかもしれません。