Table of Contents

妥協なし: セキュリティと顧客体験のトレードオフは受け入れられない

ウェブサイトで新規ユーザーとして登録するときに複雑なパスワードを作成するように求められ、「このアカウントを作成するのに時間と労力をかける価値は本当にあるのだろうか」と疑問に思ったことが何回ありますか。パスワードを作成するという行為は、ほとんどのサイトやアプリが強制する多くのセキュリティ手順の 1 つに過ぎず、強力な保護を確立することも、顧客として私たちを満足させることもありません。むしろ、摩擦が生じ、放棄につながることがよくあります。もちろん、他にも例はあります。サイトでは、ワンタイム パスコードやマジック リンクを追加したり、財布の外からの質問 (お気に入りの学校の先生は誰でしたか? など) に答えるように求めたりすることがありますが、これはすべて、パスワードがそもそも強力なセキュリティを提供できないためです。多くのサイトでは、後続のログイン時や、ユーザーがアカウント プロファイルの更新や大規模な金融取引の実行などの特定のタスクを実行するときに、これらの手順が繰り返されます。しかし、これらの追加手順は、補強するために設計された再利用可能なパスワードと同じくらい安全ではありません。一部のサイトでは、ソーシャル ログイン (Facebook や Google でのログインなど) を使用するという代替アプローチを採用しています。これは、「Bring Your Own Identity (BYOI)」と呼ばれる形式です。これにより、登録とログインがはるかに簡単になりますが、BYOI によって提供される保証レベルは通常低いため、パスワードで使用されるものと同様の対策 (OTP、ウォレット外の質問など) と組み合わせられることがよくあります。もちろん、最悪のユーザー エクスペリエンスは、顧客のアカウントが侵害されたり、個人情報が盗まれたりすることです。このプライバシー侵害から回復するために顧客が取らなければならない手順と、顧客(そして後にあなた)が支払わなければならないコストは非常に高額です。アカウントの乗っ取りを防止する必要があります。教訓は、セキュリティが不十分だと、ユーザー エクスペリエンスが低下し、離脱率が高くなり、コンバージョン率 (つまり収益) が低下し、運用コストが高くなり、エンゲージメントとブランド ロイヤルティが低下するということです。あるいは、優れたセキュリティは、よりシームレスかつ効率的になり、快適な顧客体験の提供にも役立ちます。実際、優れたセキュリティはほぼシームレスである必要があり、それによってより良いエクスペリエンスがもたらされると考えています。その理由は、セキュリティがユーザーに依存するほど、障害が発生する可能性が高くなり、顧客にとって煩わしくなるからです。セキュリティとユーザー エクスペリエンスの間で妥協するのはやめましょう。この妥協ではバランスを取ることはできません。代わりに、優れたセキュリティは優れたユーザー エクスペリエンスにつながります

セキュリティを強化してCXを向上させるにはどうすればよいでしょうか?

まずはアカウント登録と認証から始めましょう。最も効果的な対策の 1 つは、ユーザーにパスワードの作成を要求しないようにすることです。パスワードレス認証は、特に顧客がデバイスの生体認証を使用してサイトにログインする FIDO2 標準に基づく場合、はるかに使いやすくなるだけでなく、はるかに安全です。これは、セキュリティと UX に対する妥協のないアプローチの今日の最良の例です。使いやすいだけでなく、ユーザー登録も簡単に行えるため、サインアップ中にユーザーが離脱するケースが大幅に減少します。ユーザーが後でサイトに戻ってきた場合はどうでしょうか?適切な保護があれば、顧客が以前に確立したセッションを信頼できます。多くのサイトでは、セッション クッキーが盗まれてセッションがハイジャックされる可能性があるため、セッション クッキーだけでは十分に安全ではありません。統合された継続的な不正検出により、デバイスのフィンガープリントやデバイスの移動速度などの信頼とリスクの信号を監視します。信頼性が高くリスクが低いセッションでは、引き続きセッション Cookie に依存できます。顧客が再認証する必要はありません。

ステップアップはどうですか?

口座の変更や大規模な金融取引には、ステップアップが必要になることがよくあります。ここでも、適切な保護によりユーザーの摩擦を排除できます。継続的なリスク評価により、再認証などのステップアップを本当に必要とするリスク要因があるかどうかを判断できます。ボットが検出された場合、またはリモート アクセス トロイの木馬 (RAT) がユーザーのデバイスにインストールされた場合、ハイジャックされたと思われるセッションを終了することができます。デバイスが信頼できるままであり、他の要因が信頼性が高くリスクが低いことを示しているユーザーの場合、サイトではステップアップによってユーザーに不便をかける必要がなくなります。

なぜすべての企業がこのアプローチを採用していないのでしょうか?

正直に言うと、今までそれを実行するのは本当に困難でした。まず、企業はパスワードレス認証、オンライン詐欺検出、互換性のあるユーザー ストアなど、これらすべてのテクノロジに個別に投資する必要がありました。優れたユーザーエクスペリエンスを損なうことなく、それらをつなぎ合わせるための知識が必要でした。そして、ポリシーを強制し、ユーザー ジャーニーをガイドするためのオーケストレーション製品が必要でした。このアプローチは構築が難しく、維持と運用にコストがかかり、可動部分が多いためイノベーションが大幅に遅れます。

これらの問題をどう解決したか

私たちのアプローチは、パスワードレスおよび多要素認証オプション、デジタル ID 保護サービス、認証およびユーザー管理機能を備えた拡張可能なユーザー ID ストア、およびユーザー ジャーニーを容易にすることに重点を置いた組み込みオーケストレーションを含む、モジュール式の統合 ID セキュリティ サービスを備えた、最新の開発者向け SaaS プラットフォームを構築することでした。これはTransmit Security CIAM プラットフォームであり、Fortune 500 企業、中規模企業、新興企業などで、安全で快適な顧客体験を実現するために使用されています。Transmit Security では、構築して提供するすべてのものにおいて、優れたセキュリティは優れたユーザー エクスペリエンスを提供するというこの原則に従うよう日々取り組んでいます。私たちのビジョンは、企業が強固なセキュリティと卓越した顧客体験の間で妥協する必要がなくなる世界です。私たちが受け入れることに慣れてしまったトレードオフを拒否する限り、このビジョンは現実のものとなり得ます。

Author