-「孤独な戦い」から「頼られる存在」になるための処方箋

~セキュリティ担当者だって会社のヒーローになれる~第2回

誰でも使える「分かりやすさ」が強み デザインの力で新たな価値を創造する

誰でも使える「分かりやすさ」が強み デザインの力で新たな価値を創造する
第1回 “守るだけ”のセキュリティでは不十分 社員×IT部門が働きやすい環境づくりを支援する第2回 誰でも使える「分かりやすさ」が強み デザインの力で新たな価値を創造する第3回

クラウド型セキュリティソリューション「HENNGE One」の最大の特徴は、その使いやすさへのこだわりにある。多くの導入企業の評価も高い。使いやすさを高めるため、デザイン専門のチームを組織し、日々改善と開発に取り組んでいるという。なぜ使いやすさにこだわるのか。それはセキュリティの不安やリスクから解放し、企業の成長を後押しすることが狙いだという。使いやすいプロダクトにより、企業のセキュリティ環境はどう変わるのか。第2回はデザインマネジメントのセクションマネージャーを務めるアンナ モロゾワ氏にインタビューし、HENNGEの強みを支えるUI/UXの“哲学”を深掘りしていく。

(聞き手:日経BP 総合研究所 大和田 尚孝)

“使いにくさ”がミスや重大リスクの引き金になる

HENNGE株式会社 Anna Morozova氏

大和田普段使っているスマホアプリは直感的な操作が可能です。そういう操作性に慣れたユーザーには、エンタープライズのソフトウエアは使いにくいと感じるようです。特に若い世代でこの傾向が顕著ですね。セキュリティ分野は専門性が高く、これまであまりUI/UXが語られてきませんでした。HENNGEはなぜUI/UXに力を入れているのですか。

モロゾワ使いやすさとセキュリティは密接に関係しています。誤送信や設定ミスといった、いわゆるヒューマンエラーの多くは、実はUI/UXの設計不備によって引き起こされていることが少なくありません。

優れたUI/UXは、ユーザーに余計な負荷をかけることなく、正しい行動へと自然に導きます。そうすればヒューマンエラーもなくなり、安全性が高まります。これはトレーニングやマニュアルを増やすよりも、実用的で効果的なアプローチです。

大事な情報を守るセキュリティだからこそ、UI/UXは重要ではないか――。こうした考えのもとHENNGEではプロダクトデザインの専門部署が、機能開発を担うチームと連携しながら、よりよいUI/UXを考えたプロダクト開発を進めています。

大和田海外の金融機関では操作ミスによって9億ドルもの誤送金事件が起こり、大きなニュースになりました。日本でも、証券取引システムの操作画面が遠因で、ユーザーがうっかり操作を誤り、巨額の損失を出してしまったという事案も過去にありました。金銭的被害もさることながら、個人情報や機微情報が流出したら重大インシデントに発展しかねません。問題ないと思っても設定や操作に不備があると、そこが脆弱ポイントになる。UI/UXが悪いと、それだけでリスクが高まってしまいますね。

日経BP 総合研究所 イノベーションICTラボ所長 大和田 尚孝

モロゾワ何か問題が起きれば、「なんでちゃんとやらなかったのか」とセキュリティ担当者が責められます。現場のユーザーが誤送信や設定ミスをしても、最終責任はセキュリティ担当者にあると言われます。そのためユーザー向けはもちろん、管理者向けの機能でも、デザインや使いやすさの向上を図っています。

大和田管理者向けと現場のユーザー向けで、設計アプローチを変えているのですか。

モロゾワ分かりやすさを重視するという点では同じですが、エンドユーザー向けはB2Cアプリと同じように馴染みのある操作パターンで、抵抗なく使えるようなデザインやUI/UXを考えています。

管理者は現場のユーザーよりセキュリティに精通しているとはいえ、中堅・中小企業の場合は必ずしもセキュリティの専門家とは限りません。管理者向けは視認性、操作の自由度、安心感を重視し、複雑になりすぎないように配慮しています。


マニュアルレスで使えて、困った時は“案内役”になる

大和田サイバーリスクの多様化・高度化に伴い、昨今はゼロトラストセキュリティのニーズが高まっています。ゼロトラストセキュリティを実現するにはやるべきことが多岐にわたるため、いろいろなセキュリティ製品の組み合わせが必要になる。多機能・高機能とUI/UXを両立させることは難しくないのでしょうか。

モロゾワ機能の充実と並行する形でUI/UXの向上に努めています。セキュリティは業務を安全に行うために不可欠ですが、現場のユーザーや管理者のコア業務の邪魔になってはいけない。そう考えています。

現場では業務が増加しているのに、セキュリティ担当者の数は増えていません。だからこそ、私たちは「見た目のよさ」ではなく「業務効率を上げるツール」を目指しています。また「セキュリティ=難しい」という印象を持たれないようにするために、落ち着いたデザインやガードレール(セキュリティリスクを伴う操作や設定を制限し、安全な状態を保つための仕組み)を意識しています。

大和田操作で分からないことがあってカスタマーサポートに問い合わせると「マニュアルに書いてあります」と冷たく言い放たれることがある。そういう時間がない、あるいは読んでもよく分からないから聞いてるんですけどね。UI/UXがよければ、そんなストレスからも解放されそうですね。

モロゾワそもそも多くの人はマニュアルを読みません。マニュアルに頼らずに業務を進められることが大事です。そうした考えから、HENNGE OneはUI/UX自体が“案内役”になるように設計しています。

UI/UXの開発は3つの設計原則を軸に進める

大和田使う側の心理的負担を減らすために、UI/UXで大切にしていることは何ですか。

モロゾワ「Clarity:明瞭さ」「Success:できる」「Chodo-ii:ちょうどいい」という3つの原則からなる「HENNGEデザイン・プリンシプル」を定め、これに沿ってデザインを設計します(図1)。

図1 HENNGEデザイン・プリンシプル

「あるべきHENNGE Oneの体験」を言語化するために策定した設計原則だ。デザイナーのみならず、開発メンバーやプロダクトマネジャーとも3つの原則について認識を共有し、デザインイメージの作成と実装を進めていく

図1 HENNGEデザイン・プリンシプル

Clarityは専門性の高い機能でも、誰でも扱いやすい形で提案すること。Successはあらゆるインタラクションを通して成功体験をもたらすこと。Chodo-iiはユーザーにとっての望ましさ、開発チームの実装負荷、HENNGEビジネスにとっての妥当性にバランスよく配慮した“ちょうどいい”デザインプロセスとアウトプットを実現すること。この設計原則をもとに様々な工夫を行っています。

大和田3原則のもと、具体的にはどんなデザインや操作フローを提供しているのですか。

モロゾワ例えば、操作画面は曖昧なアイコンではなく、分かりやすい言葉とラベルでガイドします。専門用語もなるべく使わないようにしています。設定や操作のフローも最後にエラー表示するのではなく、入力段階で間違っていればリアルタイムでチェックし、「何が問題で、どうすればよいか」が分かる支援的なメッセージを出します。入力するデータによってフォーマットを変えたり、カレンダー設定の期間が1週間なら、それを超えた日時は入れられないようにしています(図2、図3)。

図2 認証方法の選択

認証方法は「ID/パスワード認証」「デバイス認証」「その両方」の3つから選択可能だ。選択肢の横に説明と画像が表示されるので、認証方法が一目で分かる。チェックボックスをクリックするだけで簡単に選択できる

図2 認証方法の選択

図3 メール認証のセキュリティタイプ

「アクセス制限」と「誰でも許可」を選択できるが、より安全な「アクセス制限」がデフォルトで選択されている。管理者が設定したポリシーに基づいてアクセスが制限されるため、ユーザーによる設定作業は必要ない

図3 メール認証のセキュリティタイプ

ほかにも、ある設定をオンにしなければ関連する設定情報が表示されないようにしたり、何かを削除する際には「〇〇ができなくなりますが、よろしいですか?」といった確認を促したりしています。自分のアクションがどのような結果になるのか見えるようにしているのです。

セキュリティ設定も「高・中・低」があるとしたら、安全性を考慮し「高」をデフォルトに設定しています。何もしなくても最も安全な状態にするためです。後からセキュリティレベルを高めるとなると、調整や変更が必要で大変ですからね。


“裏側の複雑さ”を意識させないUI/UXを目指していく

大和田使いやすくなったことで、セキュリティ事故の防止や業務効率の向上につながった実例はありますか。

モロゾワ成果は上がっていたとしても、UI/UXの向上がそれにどれだけ貢献しているか定量的に示すのは難しいですね。ただ、HENNGE Oneに切り替えた結果、マニュアルを作らずに社内展開できたという声は数多くいただいています。

ツールを導入しても、展開や運用定着にはコンサルティング会社の支援や、ベンダーのオプションサービスを利用するケースもあります。しかし、HENNGE Oneであれば、そうした手間や費用は不要です。展開が容易でスピーディーに進められる上、コスト的な負担も少なく済みます。

大和田エンタープライズ向けのソフトウエアは使い手が企業の社員なので、UI/UXが悪くてもユーザーサイドが「そういうものだ」と割り切っているケースがあります。UI/UXの課題はなかなか顕在化しにくいのではないか思います。どうやって課題を掘り起こしているのですか。

モロゾワお客様の声を聞くことから始めますね。製品のフィードバックフォームから意見や要望、改善点などを受け付けています。

「chameleon(カメレオン)」というHENNGE Oneユーザーの会員制コミュニティーもあります。投稿形式でHENNGE Oneや各種クラウドサービスに関するQ&A、情報システム部全般のお悩み相談などを行っています。ユーザー同士で自由にコミュニケーションも可能です。

対面でのイベントやユーザー会なども頻繁に開催しています。プログラムの一部では、HENNGEが開発したボードゲーム「情シスすごろく」を実施しています。情報システム部門の“あるある”や困りごとを追体験し、様々なソリューションを駆使したり、プレイヤー同士で助け合いながら問題を解決し、最も平穏に過ごせた人が勝ちというルールです。参加者同士で親睦を深め、横のつながりの大切さも実感してもらえます。

場が和むと、いろんな意見や要望が上がってきます。営業が伺った意見、製品のフィードバックフォームやchameleonの投稿なども含めて社内で共有し、そこから改善や開発のアイデアを見つけていきます。お客様の声は本当に貴重な情報源です。

大和田DXの流れの中で最近はデータ分析を現場のユーザーが担う、いわゆる“データの民主化”に取り組む企業も増えています。これからはセキュリティにも同じことが言えそうですね。担当者任せにせず、“セキュリティの民主化”を考える必要がある。分かりやすいUI/UXがより重要になりますね。

モロゾワゼロトラストセキュリティが進化するほど、その“裏側の複雑さ”をユーザーに意識させない工夫が必要になります。UI/UXでうまく橋渡ししていくことが重要です。

例えば、すべての設定を一度に表示するのではなく、ユーザーの役割・リスクレベル・状況に応じて必要な操作だけを表示する。操作に困った時にユーザーが驚かないように、恐怖を煽るのではなく、透明性と納得感を高めるメッセージで説明する。生体認証やパスキーなど不慣れな手順でも安心して進められるよう、ガイド付きのナビゲーションを増やす。そういうUI/UXを充実させていきます。

安全に業務がやりやすい環境を用意できれば、セキュリティ担当者は会社のヒーローになれる。そのために、UI/UXの向上は重要な要素と考えます。機能性の強化・拡充と歩調を合わせつつ、今後もユーザー視点でよりよいUI/UXの提供に努め、プロダクトの価値向上に貢献していきます。

写真

取材後記

セキュリティ関連の取材を重ねてきた中で、UI/UXをテーマにしたことはそれほどありませんでした。それだけにモロゾワさんのお話は非常に興味深かった。

マニュアルレスで使えることが本来業務を効率化し、トレーニングや研修の手間も減る。使いやすいからミスも起こりにくいし、組織のセキュリティ強化につながる。UI/UXが生み出す価値の大きさを改めて実感しました。

セキュリティはとかく多機能であることや強固であることに目が向きがちです。それらはもちろん大事で妥協は許されませんが、その裏で肝心のユーザーが置き去りにされていたら本末転倒です。複雑な使い勝手や過剰な機能が設定ミスを誘発するようでは逆効果。これからはセキュリティ製品選びに「UI/UX」という選択肢も加える必要がありそうです。

問い合わせ

HENNGE株式会社
URL:https://hennge.com/jp/service/one/form/
E-mail:info@hennge.com