私にとってOkta Designチームで特に印象に残っている瞬間は、マネージャーと一緒に次の図案を最初に描いた時に生まれました。
一方で最も身が引き締まる思いをしたのは、同僚の一人に「なぜ円は一つではないのか」と尋ねられた時です。なぜセキュリティがすべてではないのでしょうか?
セキュリティは、「オン」か「オフ」かという単純な問題ではありません。もしそうならば、Oktaのような企業はそもそも存在しないでしょう。そして、設計者以外の人がインターフェイスに触れるようになると、使いやすさはトレードオフの議論へと変わっていきます。
セキュリティと使いやすいが併存しないものならば、なぜその関係が直線的なスペクトラムとして単純化されることが多いのでしょうか?
ベン図は、セキュリティ管理者とエンドユーザーがポリシーと行動を方向付ける中で、両者が直面する現実より多くのものを表しています。
しかし、どんなコンセプトでも最も有益になるのは、誰が反対しているかを見つけて、その理由を理解することです。
円をめぐる試行
上記のベン図は、より生産的な設計レビューを行うために作成しましたが、製品およびエンジニアリングとより幅広い前提を考え直す機会となりました。
では、なぜセキュリティがすべてではないのでしょうか?
Okta Device Accessの一部として3つの新製品を設計する中で、セキュリティを「ドア」と表現することがよくありました。Oktaの多彩な製品スイートは、お客様が守りたいものを取り囲む、「施錠されたドア」と「壁」を築きます。私たちは誰が鍵を持つべきかを特定し、適切な条件が揃ったときにドアが開くようにします。多要素認証(MFA)は、そのドアにいくつの鍵がかかっているかという話です。シングルサインオン(SSO)は、1つのドアを開けると、他のドアも自動的に開くことを意味します。
それでは、完璧なセキュリティについて考えてみましょう。それは、頑丈で突破できないものでしょう。では、決して開かないドアよりも頑丈で突破できないものがあるでしょうか?そうです、セキュリティの円しかなければ、施錠されたドアではなく、壁だけが存在することになってしまいます。
完璧な使いやすいとは、目に見えないものでもあります。施錠されたドアではなく、そこに存在するのは、空のドア枠だけになるでしょう。
では、あの重なった部分に目を向けてみましょう。
Oktaの真価は重なった部分で発揮
完璧なセキュリティと完璧な使いやすいのデメリットについて見てきましたが、この両者がどのように交差するかについて触れてみます。
ここで、アイデンティティは有用な「レンズ」となります。
完璧な使いやすさの例で言うならば、誰でも通れてしまうため、アイデンティティが入り込む余地はありません。これで、使いやすいの話から、従来からあるセキュリティ上の懸念事項、本人確認へと焦点が移ります。
私たちは、どのように人々に対して本人確認を求めるのでしょうか?パスワードのような「知っているもの」、専用アプリを入れた携帯電話のような「持っているもの」、指紋のような「本人そのもの」を要求することができます。これらはそれぞれセキュリティ上の特性がある一方で、使いやすさに影響を与えます。記憶は当てにならず、デバイスは故障したり、紛失したりします。指はケガをすることもあれば、誰が生体認証を要求して保存できるかは法的な制約があります。
「適切な人に適切な条件でこのドアを開ける」という基本的な考え方が、いつしか複雑な議論へと発展していきます。どのような条件なのか?何が「適切な人」を構成するのか?ソフトウェアの自動化やAIエージェントを使用する場合、対象を人に限定すべきなのか?そして、これらの質問をすべて受け止めるのが、このドアで適切なのか?この人または人以外のモノが、ドアを最後に開けたのはいつなのか?何枚のドアが開けられたのか?どのような条件が揃っていたのか?セキュリティを高めるために、これらの質問をすべて1人のユーザーに投げかけてよいのでしょうか?
「いかにして最高の安全を最も簡単なものにできるのだろうか?」
— OktaのSVP(設計および調査担当)
これらの質問に答えていくことが、Oktaとお客様の成功につながります。セキュリティと使いやすいのベン図で重なった部分には、名前を付けておく価値があります。「使いやすいセキュリティ」とは、エンドユーザーの生産性を維持する使いやすさと、管理者の不安を軽減するセキュリティを兼ね備えた考え方なのです。
このような質問を楽しんだり、優れた図表が呼び起こす好奇心に心を躍らせるようでしたら、Okta Designの一員として働きませんか?ぜひとも検討してみてください。採用情報はこちら
