新生銀行の件のフォローアップ

前回の新生銀行のサイトの使い勝手についてのポストに思いのほか反応がありました。

はてなブックマークでも「新生の使いづらさは尋常じゃない」とか「こに書いてあること全部の10倍くらいダメ」とか「書いてもらえてスッキリした」みたいな反応が多くて、そういう声を引き出せたのは書いた甲斐があるなぁ。

それで、セキュリティに関する話だから噛みついてくる人もいるだろうと思っていたらやっぱりいて、カレーなる辛口Javaな転職日記で「全般として，いかにも素人っぽい批判に終始しているように思う」と書かれていたのを見つけたので読んでみたのだけど、そこに書かれていた反論は「もっとセキュリティを下げろなんて論外」という、予想通りのいわゆる一段階論理だったのですが、よく考えてみればそういう思考回路の髪のとんがった上司をどう説得するかというシチュエーションは現実問題としてあるわけで、そのためもう少しだけ深追いしてみることにしました。

さて、ちょっと難しい話になりますが、検証と反証の非対称性というのはセキュリティの議論をするときにはいつもつきまといます。「科学的にアプローチする」とは、将来的な可謬性を認めた上で全称命題に取り組むことであって、つまり複数の問題を一度に解決するシンプルな記述（実装）を見つけ出すことなのです。「10-20%の改善をもたらす具体的な方法（セキュリティ実装）を集めて」「やれることは全部やって」「完全に近づける」というのは、一見間違ってないので反論が難しいのですが、極めて非科学的なアプローチなのです。

言い換えると、そもそも「絶対に安全であるということを証明することは不可能」な命題に対して、とにかく防御手段を追加しまくるのはノータリンのやることで、粗っぽいようでも最小コストの手段で最大の効用を引き出すのがイノベーターです。

いつも思っているんですが、日本企業のプロダクトやサービスはこういった単純化志向のイノベーションが極めて苦手ですね。機能をごちゃごちゃ追加したり、80%の品質を100%にするために残業しまくるのは得意ですが、一段階論理が蔓延する組織ではBuild less的な発想ができません。私はそのことを「労働の怠惰ではないが思考の怠惰である」と常々言っています。

さて、余談が過ぎました。

ここからは先ほどのブログに対する徹底反論という形で、頭の固い上司を説得するための想定問答集としてみましょう。

結論から言わせてもらえば，セキュリティとのトレードオフを考えると，十分許容範囲内だ．「びっくりするほど」というほどではない．*1

何をもって「十分許容範囲内」だというのでしょうか。

ユーザビリティとは「おもてなし」ですから、当然主観的な議論に過ぎません。

だからここでいう許容範囲とはあなたにとっての許容範囲に過ぎません。主観的なものごとについて落としどころを見つけるには、相当慎重な議論が求められます。

たとえば、パーティで冷凍食品をチンして出しても料理は料理、同じタンパク質と炭水化物の塊じゃないか、それでも多くの人数を集められるのだから何が悪い、といわれれば、もう返す言葉がありません。たぶん、そのホストはお客さんの顔が見えない場所にいるか、ケータリングをアウトソースしているんでしょう。だから、みんなの顔が暗く沈んでることや、食べ残しが多いことにも気づかないのです。

資本主義のいいところは、競争があることです。

隣ではできたてアツアツの手作りのおいしい料理が食べられるパーティが開かれていて、そちらでは参加者がみんなニコニコしていたら、気がつかないうちにそちらに人が流れていくでしょう。

銀行だって同じです。

いまはパーティの参加費という大きなファクターで差別化できていても、そういう定量的な競争優位は時間とともに逓減していく時代ですから、そのときにはできたての料理が食べられる方に流れていくでしょう。

ひとつだけハッキリ言えるのは、ユーザビリティ（＝ユーザ満足）を軽視する企業は、製造業であれ、銀行であれ、小売りであれ、サービス業であれ、必ず最後には「緩慢な死を迎える」ということです。そして、「使い勝手」に関するユーザの声というのは、作る側でも上司を説得するのが難しいように、ユーザから企業に伝わりにくいものなのです。

いくら頻繁に使うとは言っても，毎日朝昼晩ずっと使い続ける物でもない．たかが月に数回使う程度のUIで合計１０秒〜２０秒の時間短縮にいかほどの意味があろう？実際にためしてみたが，そんなに驚くほど使いにくいものでもない．

滅多に使わないからこそユーザビリティが重要だ、という基本的なことにどうして気がつかないのでしょうか。

頻出のUsability 101では、ユーザビリティ重点項目５つのうち１つとして、「記憶性」を挙げています。

Memorability: When users return to the design after a period of not using it, how easily can they reestablish proficiency?

記憶性：ユーザがしばらく使わない期間の後その画面に戻ってきたとき、以前の習熟をいかに簡単に取り戻せるか？

今回問題にしたのはログインの部分です。そして、ログインというのは入り口の部分ですから、このプロセスそのものが使いにくければ、高い記憶性など望むべくもありません。

そして毎回、戻ってくるたびに「いつもいつも使いにくいな」と、満足ではなくストレスを蓄積していくのです。あのUIで満足を蓄積していける人がいるとはとても思えません。

仮に1024 x 768のノートパソコンで使うにしても、勝手にウィンドウサイズを最大化するのは良策ではありません。

これには半分同意．だが「どちらかと言えば好ましくない」程度で「致命的欠陥」というほどのものでもない．

もちろん致命的欠陥とは言いませんが、ユーザが「普通こうなるだろう」と想定する結果とはネガティブな意味で異なることは明らかです。

反対に、これを採用することによる利点が全く見えません（想像もできません）。また修正コストも限りなくゼロです。従って修正しない理由が見つかりません。

口座番号なんて、毎回同じ番号を繰り返し入力することになります。どうして保存してくれないのでしょうか？

「パスワードなんて毎回同じ番号を繰り返し入力することになります」「暗証番号なんて同じ番号を繰り返し入力することになります」．アホか．
口座番号はパスワードと違ってそれ自体はセキュリティ関係の情報ではないが，自分の住所氏名や電話番号並に重要な個人情報なので，あまりパソコンの中に残しておきたいとは思わない．

さて、核心に近づいてまいりました。

私は、ミッションクリティカルな銀行の勘定系システムの仕事をしていた時代がありますから、当然ながら「口座番号を保存して欲しい」という要望に対して「アホか」という脊髄反射をする人（好意的にいえば常識人）が多いことを知っています。そして、私はそういう脊髄反射をする善良だが浅学な常識人のことをいつも「アホか」と罵っています。

だから、下品さという点では同格なのですが、この点は改めて問いたいと思います。

「なぜ口座番号を保存することがいけないことなのでしょうか？」

これは、本物のセキュリティ知識がある人なら「即答できない」と答えるはずです。そして、その回答こそが正解です。「バカか」という反応をするのは主に素人（か酔っぱらった専門家）です。

認証にはIDとクレデンシャルがペアで必要です。クレデンシャルの秘匿性を守ることは重要ですが、IDはあくまで一意性を保証するための背番号であり、そのIDに関連づけて取り出せる情報がすべてクレデンシャルによって保護されているならば、IDそのものを知られることは一般に思いこまれている印象に比べてかなり無害です。むしろセキュリティというよりはプライバシーという文脈で感情的な議論になることが多いものです。

たとえばアメリカには社会保障番号（SSN）という、一人一人につけられる背番号のようなIDが与えられます。これを使って確定申告や携帯電話の申し込みなどをするので、私のような外国人にも必要なのですが、たとえば携帯電話を契約しようと思ったら、お店に行ってSSNをメモに手書きして店の人に渡したりするんです。このSSNはクレジット・ヒストリー（個人の与信）にも直結してますから、銀行の口座などに比べてはるかにリセットが難しいものです。まぁそういうわけでアイデンティティ・セフトは社会問題になってるんですが、それにしたって現金を盗むことができるわけじゃありません。

しかも、今回のケースでは他人にIDを教えるなどという次元ではなく、IDを自分のローカルマシン上に保存するというだけのことです。ウィルスをのぞけばどんなリスクがあるというのでしょうか？（前回も言いましたが、一旦ローカルへのウィルス侵入を許したらもう何でも起こりえますから、ウィルスは本件固有の懸念ではありません）

前回はBank of Americaの事例を出しました。Bank of Americaは、口座番号のエイリアスであるユーザIDを（Persistent cookieに）保存してくれます。

では、なぜ日本の銀行で同じことをやってはいけないのでしょうか？ちょっと信じがたいことですが、もしかして、Bank of Americaもバカだと言っているのでしょうか？

そんな1%の非日常的な場面に対応するために、自分のマシン上での日々の使い勝手を大きく減じるものです。

ほう？この人は毎日朝昼晩とオンラインバンキングを利用しているというのか．だったらログインしっぱなしにしておけば良いのではないかな？普通はオンラインバンキング自体が「日常的」というほどでもないだろうに．

ご存じないかも知れませんが、ほとんどの銀行サイトは「ログインしっぱなし」を許していません。ほうっておくと10分ぐらいで自動的にログアウトします。

これも前回触れなかった点ですが、よくあるのは「10分間お取引がありませんが、継続しますか？」というアラートを出してくるというもので、それを放置するとログアウトしてしまう。ひどいものになると、10分ぐらい経つと有無を言わさず突然ログアウトしてしまう。

これはまぁ、作業後の閉じ忘れなどのケースを考えると仕方がない側面もあります。

また、純粋に技術的な限界として、本当にユーザが机の前にいるかどうか（そのブラウザ画面以外で作業をしていないかどうか）をサイト側で正確に知る手段はありませんから、これは簡単な問題でないのは確かです。

でも、よくあるのは、口座の取引明細を見ながらインボイスなどとの照合作業などをしている最中にこのダイアログが頻繁に出てくるというものです。「見てるだけだからしばらく開けておいてくれ」という希望を、正しく伝える手段がないのです。

ややパッシブな方法としては、JavascriptでウィンドウのFocus/Blurイベントを見るという方法が考えられます。たとえばLingrではこの方法を使ってフォーカスを持っていないタブに未読メッセージの件数を表示していますが、ただこの方法にもブラウザ互換性含めいくつかの問題があります。

が、それでもFocus/Blurイベントが発生するということも立派な「ユーザがそこにいる」証拠ですから、思いつきレベルですが、セッションを延長するリクエストを非同期でXMLHttpRequest経由で飛ばすなどの方法も考えられるでしょう。（イベント単位で毎回リクエスト発行しなくてもタイムアウト直前までキューイングするなど工夫の余地もある）

もう一つの考え方としては、先ほどの「延長しますか？」に対してOKをクリックしたということは、「今は見てるだけ（明示的なクリック・イベントは発生しない）の作業をしてるから開けておいてくれ」というユーザの意志と解釈することもできます。であるならば、OKをクリックした回数に応じて20分、30分と延長間隔を長くしていくとか、いろいろと工夫の余地はあるはずです。

こういうのをアイデアとか創意工夫というのであって、「現状で十分」と追認するところからはイノベーションは生まれません。

なお、新生銀行の場合にはこのアラートダイアログがJavascriptのConfirmで実装されているためタイムアウト後も自動的に閉じられずずっと残っているので、「あ、まだ間に合うのか」と思ってOKをクリックしたのに、結果は「ただいまご使用になれません。しばらくお待ちいただき再度ログインしてください。Your session has been terminated. Please try again after some time.」という、なぜか英語のほうが正しくて日本語のほうが間違ったメッセージだけがあるページに飛ばされます。これもかなり初歩的なチョンボです。

そもそも私ならセキュリティ上の理由から，ネットカフェや他人のパソコンでオンラインバンキングを使用すること自体をお勧めしない．それだったらATMを探す方を選択する．

これは同意。

ちなみにこれをうまくやってるのもまたBank of America。前回も紹介したSiteKeyという事前認証システムはマシン単位に保存されます。新しいマシンでログインしようとすると、あらかじめ登録しておいた数個の秘密の質問に答えないといけません。いつもと違うログイン方法を要求されるので、ユーザのアテンションを喚起でき、「共用マシンではユーザIDを保存しないでください」というメッセージがちゃんと強調されて伝わります。繰り返しますが、警告とはメリハリが大事なのです。

『セキュリティキーボードを使用する』のデフォルトはONであっても、一度ユーザがそれを明示的にOFFにしたなら、その事実はちゃんとcookieなりで記憶して（そのマシンはおそらく自分のパソコンなのだから）、次回からは自動的にOFFにしておくべき。毎回チェックを外すのは面倒この上ない。

私はこれには反対．デフォルト設定は安全な方にしておくべき．「ついうっかりチェックを付け忘れる」リスクが一番恐い．そもそも世の中にはセキュリティキーボードがなぜ必要なのか，全く理解できないユーザーもいるのだ．

えーと、私はそもそも「セキュリティ・キーボードは要らない」と主張しているので、その前提からして食い違っていますね。

セキュリティ・キーボードにはキーロガー対策としての意味はほとんどないので（逆にウィルス作者の立場になってみて、どうやってクラックすればいいか考えてみてください）、百歩ゆずって価値があるとすれば、それはATMなど見知らぬ人がいる公共の場でショルダー・ハックに対する耐性を高めることであって、一人でパソコン使っているときには全く無意味といっていいでしょう。

それから、ここの文脈はデフォルト設定はONでも、ユーザが明示的に操作したんならちゃんと学習しろよ、といっているわけです。

そうでなくとも、こんなユーザに判断が難しいものがオプションであること自体がおかしい。

やはり、セキュリティ・キーボードは使いにくすぎる、でもセキュリティは確保したい、という迷いが開発サイドにあったんでしょうけど、その迷いをユーザの選択にゆだねることは単なる丸投げです。開発者にさえ判断つかなかったものが、ユーザに判断できるわけがない。

ま、どっちにしてもセキュリティ・キーボードによるゲインは理論的にも実践的にも小さすぎるので、私としては、セキュリティ・キーボード自体をなくすことを推奨。

あと、世の中には「あえて不自由にすることでユーザをＸＸへと強制する」というような発想をする技術者がびっくりするほど多いことを知っていますが、これは大局的にみれば常に技術者のほうが負けます。ユーザに不満を感じさせるということは、より良い（競合の）ソリューションをユーザに待望させる効果しかありません。

もしあなたが技術者で、「あえて不自由にすることでユーザをＸＸへと強制する」というような発言をしたことがあったなら、それは自分が間違っている（ベターな解が必ずある）というサインです。自己診断にどうぞ。

ウェブ上ではより強固なパスワードを入力するだけで十分で、暗証番号の入力は冗長です。

半分同意．しかし現実的でない．
すべてのユーザが常に完璧なパスワード管理ができるくらいなら，セキュリティ問題の大半は解決するんだがね*3．この人はユーザーのことを全く理解していないようだ．

ちょっと誤解があるようなのですが、私はユーザビリティが専門なので、ユーザにそんな期待をするわけがありません。

ここでは、「4桁数字の暗証番号よりも6文字英数字のパスワードのほうが堅い」という当たり前のことを言ってるだけです。それが「包含関係」の意味です。

ユーザのパスワード管理という点は、暗証番号もパスワードもいい加減に管理されてるのは同じなので、両方を入力した方がいいか片方だけでよいかという議論には影響しません。

で、私は「片方だけでよい」と言っているに過ぎません。

そもそも電子的なデバイスだけではセキュリティ上の弱点は回避しきれない．理想を言えばFeliCaや指紋認証デバイスやワンタイムパスワードを使ったセキュリティを標準で採用したいくらいだが，そうすると使える端末（パソコン）が限られたり追加のコストが発生してしまう．今のシステムは最善ではないが，現状考えられるリスクと利便性のトレードオフの中では十分実用的なものだと思う．

指紋認証などのバイオメトリクス認証がいかに問題含みかをご存じないようです。バイオメトリクス情報は、一度でも生データが流出したら人体ゆえリセットや復元がほぼ不可能、しかも多くのサイトで同じ情報を使うことになるので（サイトごとに変えることができない）、ダウンサイドのリスクはパスワードの比ではありません。

たとえば、パスワードなどのクレデンシャルをユーザから受け取ったらsaltをつけてハッシュして不可逆にしてからデータベースに保管、というのが一般的かと思いますが、たまに平文のまま生パスワードを保管しているサイトがあります。たとえばそういうサイトに登録した生のバイオメトリクス情報が流出したらどういうことになるか、考えてみてください。

とはいえ、たしかに利便性の面ではバイオメトリクス認証には未来を感じます。上に挙げたような課題が技術的に解決してくれば（いつかは解決するでしょう）、コンピュータ本体に組み込まれて主流になるときがくるかも知れません。でも、それはだいぶ先の話です。

それから、ハードウェアトークン方式のワンタイムパスワードなんて最悪です。こんな低信頼性デバイスがSPOFになるのを許容できるなんて、高可用性システムの設計をする技術者には考えがたいことです。故障・時刻ずれ・電池切れ・紛失などの例外系に弱すぎます。しかも、カードと違って財布にも入りません。しょうがないからバッグの奥に入れておいて、しまいになくしておろおろするのが関の山でしょう。

それでもなお、ログインのたびにセキュリティ・カードの情報を入力させられるのに比べたら正常系の使い勝手はだいぶマシです。（でもイヤですけど）

つまり改めて強調したいのは、バイオメトリクスやワンタイムパスワードは、少なくとも通常のパスワードに比べて利便性を高める面もあるということです。アメとムチは常にセットでなくてはユーザ満足は引き出せません。

それに対して、セキュリティ・カードを使ったログインは、失われた利便性の低下に見合うだけのセキュリティ面でのゲインがあるかどうかは疑わしい、と言っているのです。

セキュリティ・カードの携行を忘れたらログインできないネットバンキングなんて、ナンセンスにもほどがあります。

カードを忘れたら支払いできないクレジットカードとか，カードを忘れたら金を下ろせないキャッシュカードって普通なんだけど？

これも誤読ですが、ここで大事なのは「ネットバンキングなのに」という限定です。

とにかく、ネットと物理デバイスは相性が悪い。

たとえばクレジットカードなら、ネット上で決済するときに物理カードは必要ありません。これまた私はテキストファイルに書き出しているので、それをみてコピペするだけです。

このカードに印刷されている情報を全部テキストファイルに書き出して、自宅および会社のマシンで保存することにしました。

「パスワードをメモに書いてディスプレイに張り付けることにしました」と変わらんな．まあ自己責任でやってくれ．*4

「パスワードをメモに書いてディスプレイに張り付けることにしました」というのは、よく笑い話として取り上げられるのですが、あれは「パスワードという必要悪な認証技術の副作用だからしょうがないよなぁ」という、技術者が自分たちの今いる技術パラダイムの水準の低さを自虐的に笑っているのであって、ユーザのほうを指さして笑っている技術者はバカです。そしてこういうバカな技術者はびっくりするほど多い。

この*4を参照すると「「馬鹿は死ななきゃ直らない」とはよく言ったもんだ．」と書かれているのですが、いやほんとにバカは死ななきゃなおらないのかも。

つい一昨日、アップル本社でiPhone / iPod Touchの日本語入力システムを開発した増井さんがオフィスに遊びにきていたのですが、その増井さんが「オルタナティブな認証技術を真面目に研究しているやつはほとんどいない。日本で５人ぐらいじゃないか。」と言われていました。画像なぞなぞ認証とかの、あの増井さんですよ。ちなみに増井さんも新生銀行ユーザらしいですが、あまりに不便なのでセキュリティカードの情報を画像に落としてウェブ上にアップしていつでもどこでも参照できるようにしているそうです（Basic認証つきで）。ちょっと驚いたし、私にはそこまでの度胸はなかったですが、よく考えたらそれでもいいかも。かえって認証技術の専門家ならではの見切りなんでしょうね。

ま、ともかく、パスワードをメモに書いてディスプレイに張っているということは、そのシステムはその人にとってそれほど重大なものやデータを扱ってないとか、周囲にいる人間がそれなりに信頼されているとか、そういうことです。どんな素人でも、直感的にその程度の判断をして素人なりのトレードオフを考えた結果なのです。当然、それをお勧めするとは言いませんが、まったく馬鹿げてるとは全然思わない。

パスワードをメモ書きしているユーザの方が、恐怖バイアスに判断力を歪まされた中途半端なセキュリティ知識しかない頭でっかちな技術者よりよっぽど物事の本質が見えているな、と思います。

逆に言えば頻繁にサイトを使えば（全マスのデータを取得されて）いずれ突破されるわけです。だから、同じセキュリティ・カードの使用法でも、振込を実行するシーンに限定してセキュリティ・カードの使用を求めるジャパンネット銀行の方式が正解です。

これには珍しく賛成．

これに反対するというのは単に数理センスがないということですからね。ロジカルに証明すればいいだけなので、説得は簡単かと思います。

というわけで、セキュリティ・カードはログイン時には使用せず振込時（一番大事な箇所）のみ使用するべし、というのは、再度ここでも強調しておきます。

ともかく、問題の根っこは、ウィルスに感染させられたらもう何でも起こりうるということであって、かつウィルスの感染は絶対にゼロにはならないということです。

これは今回の話とはほとんど関係なし．
まずウイルス対策ソフトを入れる．これは大前提．しかしそれ以外にもパスワードの漏洩，パソコンの盗難や紛失，スリ，フィッシング詐欺などは現実に存在する脅威だ．

ここの文脈は、新生銀行の立場でものを書いていますから、「まずウイルス対策ソフトを入れる．これは大前提．」などという前提の立て方は間違っています。「ウィルスに感染させられたユーザは常にいるものと考えよう」ということを書いているわけです。

それから、フィッシング詐欺によるパスワードの漏洩も、つまるところセキュリティ・カードを導入しても事態は変わりません。セキュリティ・カードの情報を入力させるフィッシング詐欺のサイトが登場するだけです。

これを根本的に解決するには、よく知られているように「時間枠」を利用してダイナミックなパスワードを使うのが今の技術では唯一の方法のように思えます。これをウェブでやろうとすると例のワンタイムパスワードの話になってしまうので、コスト面も含めて妥協してセキュリティ・カードになったのでしょう。そして、セキュリティ・カードはログイン時のセキュリティ向上には何ら貢献しない（振込時のみに使うべし）という先ほどの話に逆戻りしてしまうわけです。

恐怖のあまり過敏に反応するのではなくて、統計的なアプローチで科学的に冷静に向き合っていくしかないんです。

冷静に判断して，セキュリティというのは必ずしも統計的アプローチで構築するもんでもないんだが．なにしろ一番の脆弱性はそれを使うユーザー自身なのだから．
たとえば弱いパスワード*5，杜撰なパスワード管理といった，ごくごく初歩的なことも，一般ユーザーに強制することは難しいものだ．だから専門家であれば，その現状を踏まえた上でセキュリティを設計しなければならない．「ユーザーが絶対にミスを犯さない」というあり得ない仮定に依存するセキュリティは実際の役には立たないのだ．

これも同様に的外れ。あまりに当たり前のことばかり書いてあるので何を伝えたかったのかよくわからないのですが、私が統計的アプローチといったのは、「それで、結果として実際何％ぐらいの顧客が被害に合ったの？そしてその被害の平均額は？」というような意味においてです。

セキュリティは、堅ければ堅いほど良いというのではなくて、仕組みを簡単にしたけど意外と被害の頻度や程度は変わらなかったり、ちょっとしたことを実装しただけで劇的に改善したりするものです。たとえばスパム対策などを自分で実装してみればよくわかります。だから、仮説・実行・検証という実践サイクルなくして、ほんとうのことは何もわからないのです。結果ベースで見るまでは全てが机上の空論です。当たり前の話ですよね。それが、ここで統計的なアプローチといっていることの意味です。

冷静に根気強く、「これは本当にコスト・パフォーマンス比が妥当なセキュリティ対策か？」ということを常に疑いながら、使い勝手を改善していってもらいたいなと願っています。例えば、預金残高１０万円の人と１億円の人を同列に扱う必要はありますか？

預金残高１０万円の人は優良顧客でないから，バッサリ切り捨てちゃっていいんですよ．
よって預金残高３００万円〜1千万円超の人をメインターゲットにしてセキュリティを設計するのは，銀行としては良い戦略だと思います．*6 *7

前半はまぁ理解できるのですが、後半は何のことだかよくわかりません。

とくに*7で「ひょっとしてこの人は預金残高１０万円の人なのかな．だとすると批判も理解できるが，同時に新生銀行がこのようなユーザーのためにセキュリティを下げることもないだろう．」というのは、逆にいうと、預金残高が多ければセキュリティを高めるために使い勝手が悪くてもいいという意味でしょうか。

だとしたら、それは間違いです。一般に、預金残高の多い人ほど時間に対する要求が厳しいものです。個人にとって、お金はスケーラブルですが、時間は誰にとっても平等だからです。だから、お金がある人ほど時間をお金で買うようになるわけです。

また、ここでいう優良顧客は小銭に対するセンシティビティが低いですから、一日あたりの振込上限額程度のお金がぶっこ抜かれても、ちゃんと最終的に保障してくれればそれでOKで、そういう事件に遭遇しても「怖いな」というより「めんどくさいな」という感覚の方が優位になります（私もそう）。一方、こういう場面では少額預金者のほうが相対的な被害が大きく、「めんどくさいな」より「怖いな」が優位となり、大騒ぎするのです。興味深いパラドックスですね。

優良顧客こそ、（めんどくさいなと思わせない）日々のユーザビリティが勝負なのです。

さて、最後に

こういう条件の元では，セキュリティを上げるために利便性を『多少』犠牲にするのはやむを得ない判断だ．利便性とセキュリティの両立は可能だが，そのためには追加のコストが必要になることが多い．通常のユーザーにはこれは受け入れがたい代物だ．

という結論になっているのですが、最後まで意味がよくわかりませんでした。

どうも新生銀行の現行のやり方が妥当である、という主張をしたいようなのですが、それを立証する根拠は何でしょうか。無限の選択肢がある中から、何らデータも持ってないのに、現状がベストなどと言い切るのは、技術的に誠実な態度ではありません。

一方、私のほうは具体的なデータを持っています。繰り返しますが、Bank of Americaは使いやすいのです。それも圧倒的に。前回は、そのことをログインにかかる時間が約8倍という実データで示しました。では、Bank of Americaにできているのに新生銀行にはできない理由とは何でしょうか。

この質問に答えることができない限り、少なくとも「今よりベターな解がある」という可能性を否定することはできないはずです。

さて。

私は多少なりとも日本の銀行システムに携わった経験があるので、この点に関して自己レスで少しだけ深追いしてみると、もしかしたら日米の決済慣行の違いに起因する部分があるのかもしれません。

日本では「銀行振込」という直接送金するメカニズムが主流で、間違った送金を行った場合やトラブルの際には「組戻し（くみもどし）」というプロセスでお金を戻してもらう必要があります。これは全銀協手順で定められており、リスク按分のメカニズムであり、また手数料も発生するものです。

しかし、アメリカではダイレクト・デポジット（いわゆる振込）よりも小切手決済やクレジットカードが主流です。小切手やクレジットカードは、ようするに信用取引です。アメリカの銀行では、小切手を振り出したりデビットカードは頻繁に使われますが、直接送金はほとんど行われません。

たとえばBank of Americaのサイトでは、Transfer（送金）するときにはまず自分のメールアドレスが登録されていることを確認し、そのアドレスで確認番号を受信し、その確認番号を入力してから銀行名やルーティング番号を入力していく手続きに進みます。これで現金を送金することはできますが、あまり一般的でないのは確かです。（ちなみにこの確認番号方式ひとつとっても、セキュリティカードよりもベターだと思いますけど？）

この差異がどの程度、日本とアメリカの銀行サイトのセキュリティ設計に影響しているのかは興味があるところです。

そういえば、クレジットカードのサイト（American Expressなど）で自分の銀行口座を引き落とし先に指定するのはウェブだけで完結できますね。必要なのはルーティング番号、口座番号、種別だけです。パスワードはおろかサインすら必要ありません。もちろん氏名の一致などは照合するでしょうけど、ひょっとしてこれってすごいこと？

ま、とにかく一度この便利さに慣れてしまうと、もう日本の銀行サイトのあの不自由な環境は耐えられないな、と思ってしまいます。

♪ Janet Kay / Silly Games