UWS2020チュートリアル1「ユーザブルセキュリティ入門」

UWS2020 チュートリアル1 ユーザスタディをはじめよう！ユーザブルセキュリティ入門金岡晃（東邦大学）

金岡晃（かなおかあきら）東邦大学理学部情報科学科准教授専門分野 • セキュリティとプライバシのユーザビリティ
• 暗号実装・応用 • IDベース暗号、検索可能暗号、秘密計算のシステム実装と運用 • モバイルセキュリティ • Androidのセキュリティ • その他 • BGP関連のセキュリティ • Webサーバ証明書の冗長化

Outline ユーザブルセキュリティとはユーザブルセキュリティの実現実現されたユーザブルセキュリティユーザスタディの立ち位置

ユーザビリティ？ユーザブルセキュリティ？

ユーザビリティとはある製品が、指定された利用者によって、指定された利用の状況下で、指定された目的を達成するために用いられる際の、有効さ、効率及び利用者の満足度の度合い（JIS Z 8521）指定された利用者指定された利用の状況指定された目的有効さ（Effectiveness）
効率（Efficiency）利用者の満足度（Satisfaction）

セキュリティ・プライバシーの対策によりそれぞれ下がるトレードオフを考える指定された利用者指定された利用の状況指定された目的有効さ（Effectiveness）効率（Efficiency）利用者の満足度（Satisfaction）目的≠
セキュリティ担保・プライバシ保護

ユーザブルセキュリティとはそれ自身が高いユーザビリティを持っているセキュリティ技術やプロセス目的利用者環境機能要件非機能要件運用・保守性可用性拡張性
セキュリティユーザビリティ • … • … • ユーザビリティ（ユーザブルセキュリティ） • … 指定された利用者指定された利用の状況指定された目的有効さ効率利用者の満足度

いま学術分野でユーザブルセキュリティが熱い国際会議SOUPS（Symposium on Usable Privacy and Security) の投稿数と採録数

ユーザブルセキュリティの実現高いユーザブルセキュリティの実現それ自身が高いユーザビリティを持っているセキュリティ技術やプロセス有効さ効率利用者の満足度ユーザブルセキュリティユーザの認識や行動特性の把握 •
未知の部分が多い • 新しい世界、文化 • 例：「スマホをみんなが持ちました。スマホ持ったユーザって移動中に何をする？」

ユーザブルセキュリティの実現ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察
• サービス、システム、ソフトウェア • 社会的コンセンサス（標準、ガイドライン）把握の手法実現の手法

実現されたユーザブルセキュリティユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現ブラウザの証明書エラー警告画面実現前難しい文言と、利用者が警告を無視しやすい画面実現後理解しやすい文言と、
利用者が警告を無視しにくい画面

実現されたユーザブルセキュリティブラウザの証明書エラー警告画面実現前難しい文言と、利用者が警告を無視しやすい画面実現後理解しやすい文言と、利用者が警告を無視しにくい画面

実現されたユーザブルセキュリティユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現ブラウザの証明書エラー警告画面実現前難しい文言と、利用者が警告を無視しやすい画面実現後理解しやすい文言と、
利用者が警告を無視しにくい画面ブラウザが警告するもの（＝セキュリティ技術）自体は変わっていない

実現されたユーザブルセキュリティユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現スマートフォンアプリのパーミッション実現前アプリインストール時にすべてのパーミッションの許可をユーザが決める実現後
アプリ利用開始後に初めてその機能を使う時にそのパーミッションの許可をユーザが決めるパーミッションが与える機能（＝セキュリティ技術）自体は変わっていない

実現されたユーザブルセキュリティユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現パスワード強化の対策実現前 • 定期的な変更強制（失効） • 複雑なパスワード
実現後 • 定期的変更強制不要 • より長いパスワードパスワードによる認証技術（＝セキュリティ技術）自体は変わっていないサービス、システム、ソフトウェア社会的コンセンサス（標準、ガイドライン） NIST SP 800-63-3 総務省国民のための情報セキュリティサイト NISC 情報セキュリティハンドブック

ユーザスタディの立ち位置ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察
• サービス、システム、ソフトウェア • 社会的コンセンサス（標準、ガイドライン）把握の手法実現の手法ユーザスタディユーザスタディ

ユーザスタディを用いない評価方法ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察
• サービス、システム、ソフトウェア • 社会的コンセンサス（標準、ガイドライン）把握の手法実現の手法ユーザスタディユーザスタディ

ユーザスタディを用いない評価方法ユーザスタディを用いない行動観察 Webクローリングによるデータ取得 • StackOverflowの質問と回答 • Twitterでの特定キーワードの出現 • モバイルアプリの説明文と実際の機能との乖離 •
特定分野の研究論文での研究対象や評価方法の推移オープンなデータセットの利用 • パスワードの特徴分析

まとめユーザブルセキュリティとはユーザブルセキュリティの実現実現されたユーザブルセキュリティユーザスタディの立ち位置

UWS2020チュートリアル1「ユーザブルセキュリティ入門」

UWS2020チュートリアル1「ユーザブルセキュリティ入門」

Akira Kanaoka

More Decks by Akira Kanaoka

Other Decks in Research

Featured

Transcript

UWS2020 チュートリアル1 ユーザスタディをはじめよう！ユーザブルセキュリティ入門金岡晃（東邦大学）

金岡晃（かなおかあきら）東邦大学理学部情報科学科准教授専門分野 • セキュリティとプライバシのユーザビリティ

Outline ユーザブルセキュリティとはユーザブルセキュリティの実現実現されたユーザブルセキュリティユーザスタディの立ち位置

ユーザビリティ？ユーザブルセキュリティ？

セキュリティ・プライバシーの対策によりそれぞれ下がるトレードオフを考える指定された利用者指定された利用の状況指定された目的有効さ（Effectiveness）効率（Efficiency）利用者の満足度（Satisfaction）目的≠

ユーザブルセキュリティとはそれ自身が高いユーザビリティを持っているセキュリティ技術やプロセス目的利用者環境機能要件非機能要件運用・保守性可用性拡張性

いま学術分野でユーザブルセキュリティが熱い国際会議SOUPS（Symposium on Usable Privacy and Security) の投稿数と採録数

ユーザブルセキュリティの実現ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察

実現されたユーザブルセキュリティブラウザの証明書エラー警告画面実現前難しい文言と、利用者が警告を無視しやすい画面実現後理解しやすい文言と、利用者が警告を無視しにくい画面

実現されたユーザブルセキュリティユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現パスワード強化の対策実現前 • 定期的な変更強制（失効） • 複雑なパスワード

ユーザスタディの立ち位置ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察

ユーザスタディを用いない評価方法ユーザの認識や行動特性の把握認識や行動特性を応用した高いユーザブルセキュリティの実現 • アンケート • インタビュー • 行動観察

ユーザスタディを用いない評価方法ユーザスタディを用いない行動観察 Webクローリングによるデータ取得 • StackOverflowの質問と回答 • Twitterでの特定キーワードの出現 • モバイルアプリの説明文と実際の機能との乖離 •

まとめユーザブルセキュリティとはユーザブルセキュリティの実現実現されたユーザブルセキュリティユーザスタディの立ち位置