安全な製品開発でUXの摩擦を減らす方法

公開: 2022-07-22

製品開発では、見た目がすべての注目を集めることになります。 心地よいUIは重要ですが、UXは製品の成否を左右します。

プロダクトマネージャーとして、私はほとんどの時間をUX全体の摩擦を減らす方法について考えることに費やしています。 つまり、エンドユーザーが目標を達成するために実行する必要のある手順の数を減らすか、それらの手順の複雑さを減らすことを意味します。 3つのセキュリティ対策を講じて購入するeコマースアプリは、1つしか必要としないアプリと同様に機能しません。

ただし、金融機関や保険会社など、機密性の高い顧客データを維持する組織のセキュリティを犠牲にして、摩擦を少なくすることはできません。

通常、使いやすさと個人データのセキュリティは相反するため、適切なバランスを見つけるのは難しい場合があります。 これがその方法です。

セキュリティと利便性の間の古くからの戦い

1950年代にクレジットカードが誕生してから数十年間、詐欺に警戒する発行者は、取引が「フロア制限」(事前承認なしでカード所有者が請求できる最大額)を超えるたびに、加盟店に電話をかける必要がありました。 これは、新しい車や冷蔵庫の購入を待っている消費者にとっては大きな摩擦です。 その結果、フロア制限を設定する際、銀行やクレジットカード会社は、リスクに対する欲求と、消費者の不便に対する許容度を比較検討する必要がありました。

信用限度額が10,000ドルの顧客は、限度額が1,000ドルの顧客よりも、銀行にとっておそらく価値が高く、サービスへの期待も高くなります。 このタイプの顧客が経験する摩擦を最小限に抑えるために、フロア制限を引き上げることを決定する場合があります。 しかし、これらの価値の高いアカウントも詐欺に対して最も脆弱であるとしたらどうでしょうか。 あなたはそれらの顧客の何人かを失うよりもあなたの収益にもっと多くの損害を与えるであろうレベルのリスクを導入することになるかもしれません。

デジタル時代に早送りすると、脅威は急速に変化し、消費者の忍耐力は低下しますが、この競合する需要のシーソーは残っています。 これらの要求を調整するための正確な公式はありません。そのため、ソフトウェアとアプリケーションに取り組んでいる製品マネージャーは、摩擦とセキュリティのバランスを保つために、常にUXを調整する必要があります。

詐欺が減っても、必ずしも利益が増えるとは限りません

最も安全なソフトウェアとアプリケーションには、製品マネージャーがサービスを提供しなければならない2つの顧客セットがあります。

  1. 可能な限り最高の保護を優先する組織。
  2. シームレスな製品UXを求めるエンドユーザー。

たとえば、銀行は、次のような多くの理由から、不正行為に対する100%の保護を望んでいます。

  • 顧客満足。
  • 不正損失の削減。
  • ブランドの評判。
  • サイバー攻撃の最小化。

一方、エンドユーザーには競合する要件があります。彼らは自分のアカウントに簡単かつ迅速にアクセスすることを望んでいます。 銀行のUXが100%の不正防止用に設計されている場合、これは起こりません。

代わりに、エンドユーザーはアプリを使用するたびに高い摩擦に遭遇します。 たとえば、パスワードを入力した後、ユーザーは自分の電話に送信された2要素認証コードを入力し、続いて生体認証スキャンまたはCAPTCHAチャレンジを入力する必要がある場合があります。 結果として生じる遅延時間により、一部のユーザーはアプリの使用量を減らしたり、さらに悪いことに、新しい銀行を探したりする可能性があります。 このシナリオでは、銀行は詐欺の損失でお金を節約しましたが、減少する顧客ベースでお金を失いました。

問題を複雑にするために、別のサービスプロバイダーを探す前に、エンドユーザーごとに許容できる摩擦のしきい値が異なる場合があります。

銀行を表すアイコンには、「銀行は安全なアプリを望んでいます」というテキストのラベルが付いています。携帯電話を表示するアイコンには、「ユーザーはシームレスなエクスペリエンスを望んでいます」というテキストのラベルが付いています。
クライアントのニーズとユーザーの好みはしばしば対立しています。

クライアントの目標、コスト、およびリスク許容度をロックダウンする

100%の不正防止を提供しようとしてもビジネスに意味がないことがわかったので、何をするかを決定する必要があります。 銀行のリソースであるお金と人から始めましょう。

まず、銀行の現在の不正率と、銀行が吸収できる損失額を特定します。 また、この新製品で得たいと考えている純節約額と、開発および保守のコストを比較検討してください。 (詐欺防止には、詐欺自体よりもコストがかかる場合があります。)

次に、銀行のスタッフが1日に処理できる疑わしいケースと「誤検知」の数を把握します。 誤検知は、リスクの誤算により銀行がユーザーのアカウントを削除または制限した場合に発生します。 これらの誤検知は、ユーザーの摩擦を増大させ、銀行の従業員の時間を浪費し、最終的にブランドの評判を損なう可能性があります。

銀行がお金と労力で費やしたり失ったりする余裕があるものをロックダウンしたら、製品のスコープを開始できます。 この情報を使用して、エンドユーザーから収集するデータポイントを決定し、不正リスクスコアをリアルタイムで計算できます。

エンドユーザーから収集するデータを特定する

安全なソフトウェアとアプリケーションは以下を検証します。

  • あなたは誰ですか。 これらはあなたの行動であり、ログイン場所やマウスの動きなどが含まれます。
  • あなたが持っているもの。 これらは、あなたに登録されている、またはあなたが定期的に使用しているデバイスです。
  • あなたは何を知っている。 これには、パスワード、セキュリティの質問、誕生日、およびその他の個人情報が含まれます。

ソフトウェアがこの情報を収集すると、機械学習モデルは各カテゴリからの入力を使用して、ユーザーに不正リスクプロファイルを割り当てます。 このプロファイルに基づいて、組織は、アクセスを許可するか、アクセスを拒否するか、追加の認証を要求するか、機能を制限するか、またはこれらのオプションの任意の組み合わせを決定できます。

プロダクトマネージャーとして、できるだけ多くの情報を収集したいと思っています。 ただし、これが常にベストプラクティスであるとは限りません。 これは、各ユーザーから収集する情報が多いほど、バックエンドでリスクスコアを計算するのにかかる時間とリソースが増えるためです。 これにより、ユーザーの遅延時間が増加します。つまり、摩擦が増加します。

代わりに、場所、既知のデバイス、パスワードなど、ユーザーのIDを最も単純に示すと思われるインジケーターから始めます。 次に、悪意のある攻撃者がこれらの指標を回避する方法について考えます。 高度な犯罪者は、ユーザーの場所やデバイスを偽装する可能性があり、データ漏洩やマルウェア攻撃によって侵害されたパスワードにアクセスする可能性があります。 これらの抜け穴を塞ぐために、マウスの動きを分析したり、ユーザーが過去に同様の購入をしたことがあるかどうかを確認したりすることもできます。

新しい指標を追加する前に、不正防止への影響と、それを製品に追加するための初期費用を比較検討してください。 また、追加の計算とデータストレージに伴う経常的な人件費と財務コストも考慮に入れる必要があります。

適切な指標のセットを見つけることは、試行錯誤の練習であることを忘れないでください。 各指標の利点を真に判断する唯一の方法は、各指標を加算および減算し、クライアントとエンドユーザーの両方の不正率とユーザーエクスペリエンスに対するすべての組み合わせの影響を監視することです。

指標を検証するためにクライアントを埋め込む

クライアントは不正の削減を優先する場合がありますが、バックエンドでは自分の従業員(不正アナリストなど)の使いやすさも重要です。 したがって、収集する予定のデータポイントが、それらを妨げずに役立つことを確認することをお勧めします。

デザイン思考フレームワークは、2つのユーザーセットにサービスを提供する製品への有用なアプローチです。 それは問題中心ではなく人間中心であり、デザイナーにユーザーに共感してもらい、ユーザーが将来のニーズを想像できるようにします。 デザイン思考は、製品マネージャーが競合する利益(この場合はセキュリティと利便性)に役立つ動的な製品を開発するのに役立ちます。

共感の段階に投資するということは、質問をし、クライアントの日常のワークフローに組み込むことを意味します。 これにより、RFPを利用して市場の変化を予測し、クライアントのデータがリアルタイムの脅威の状況とどのように一致しているかを確認できます。 これらの戦略的および戦術的な課題を理解したら、開発を開始できます。

開発段階とテスト段階では、クライアントとできるだけ多くの時間を過ごすように計画してください。 フィードバックはクライアントの希望リストの感覚を与えますが、シャドウイングは、自己報告には表示されない誤解、知識のギャップ、および設計上の欠陥を特定するのに役立ちます。

社内の製品マネージャーが詐欺アナリストとオフィススペースを共有している場合、シャドウイングは非常に簡単です。 コンサルタントまたはオフサイトワーカーの場合は、できるだけ頻繁にサイト訪問を手配する必要があります。 旅行が選択肢にない場合は、画面共有を使用した仮想セッションは努力する価値があります。

製品が稼働し始めたら、毎週詐欺アナリストにチェックインして、特に新機能を起動するときに、UXデザインが詐欺アナリストにサービスを提供していることを確認します。なぜ彼らは特定の順序でタスクを実行するのですか? 特定のボタンをクリックするとどうなりますか? 通知を受け取ったとき、彼らはどのように反応しますか? 彼らは日々の仕事でどのような変化に気づいていますか?

データを収集する

データ収集テクノロジーにより、組織は何百ものデータポイントを活用してユーザーのIDを確認できます。 また、eコマースサイトやアプリがユーザーエクスペリエンスを人口統計プロファイルに合わせて調整するのにも役立ちます。 特定のプロファイルに適合するユーザーは、カスタム取引を取得したり、自動支援をトリガーしたりすることもできます。

では、これはセキュリティアプリケーションでどのように機能しますか?

  • Webブラウザー:ユーザーがブラウザーで保護されたサイトに移動するたびに、埋め込まれたJavaScript「コレクター」が識別情報を収集します。 これには、場所、デバイスの詳細、マウスの動きなどのデータポイントが含まれる場合があります。
  • ネイティブアプリ:ネイティブアプリは、iOSやAndroidなどの特定のデバイスプラットフォーム用に設計されています。 これらのアプリは、モバイルデバイスからサービスにアクセスするときに、ソフトウェア開発キット(SDK)を使用して識別情報を収集します。これには、マウスの動きの代わりに指のタップやスワイプが含まれる場合があります。

機械学習モデルは、これらのデータポイントが形成する全体的なパターンに基づいて不正リスクスコアを割り当てます。 リスクスコアが平均を上回っている場合は、2要素認証またはセキュリティの質問の形でより多くの摩擦を導入することは理にかなっています。 ただし、あまりにも多くのユーザーが追加の検証手順をトリガーしている場合は、リスクのしきい値またはデータ収集戦略を再検討する時期かもしれません。

エンドユーザーの摩擦を減らし続ける

製品が実行されたら、コールセンターまたはアプリストアを通じて記録されたエンドユーザーの苦情を追跡し、問題点と改善のための提案を見つけます。 最高のリリース前テストでさえ、すべての摩擦点を捉えることはできません。新しいオペレーティングシステムとデバイスのリリースは、エンドユーザーの速度を低下させる予期しない問題を引き起こす可能性があります。

電子商取引に基づいて構築されたビジネスの場合、これらの減速のコストは明らかです。 2022年、Baymard Instituteは、回避可能なカートの放棄の17%が、過度に長いまたは複雑なチェックアウトプロセスによるものであると推定しました。 さらに18%の回答者が、クレジットカード情報のセキュリティに対する信頼の欠如を非難しました。 Baymardは、チェックアウトの遅延とサイトセキュリティへの信頼の欠如が、米国とEU全体で2600億ドルの売上損失をもたらした一連の要因の1つであると推定しています。 これは、eコマース製品マネージャーがPOSソリューションを再考する素晴らしい機会を提供します。 しかし、業界に関係なく、ユーザーの摩擦を減らし、データ保護への信頼を確保することは、より幸せな顧客と主要なビジネス革新を生み出すことができる継続的な実践でなければなりません。

チェックアウト中に予防可能なカートの放棄の理由を示す棒グラフ。値は次のとおりです。追加コストが高すぎる、48%。アカウントの作成が必要、24%。配信が遅すぎる、22%;サイトのセキュリティは信頼できないと感じています、18%。チェックアウトが複雑すぎる、17%。総費用は不明、16%。ウェブサイトのエラー、13%;返品ポリシーが厳しすぎる、12%。支払い方法が制限されている、9%。カードは4%減少しました。
複雑なチェックアウトプロセスとサイトセキュリティへの信頼の欠如が、2022年の回避可能なカート放棄の35%を占めました。

安全な製品開発で摩擦を減らすことに成功した2つの例を次に示します。

3DS

1990年代後半、VisaとMastercardは協力して、3Dセキュアペイメント(3DS)セキュリティプロトコルを作成しました。 2001年にリリースされた元のプロトコルでは、すべてのユーザーがカードを3DSに登録し、チェックアウトのたびに専用の3DSパスワードを使用してログインする必要がありました。 ユーザーが3DSパスワードを思い出せない場合は、購入を完了する前にパスワードを取得またはリセットする必要がありました。 それ以降のリリースでは、カード発行者は、忘れられがちな静的パスワードを動的ワンタイムパスワード(OTP)に置き換えるオプションがありました。 ただし、追加のログイン手順により、チェックアウトプロセスが引き続き妨げられました。

3DS開発者は、この長引く摩擦に注目し、2016年に3DS 2.0をリリースしました。これには、アプリケーションが3DS要素をコードに埋め込むことができるSDKコンポーネントが含まれています。 3DS 2.0はモバイルトランザクションに適しており、より多くのデータポイントを分析して、より正確なリスク評価を実現します。 その結果、3DS 2.0ユーザーのごく一部のみが、多くの場合OTPの形式で追加の認証手順を実行する必要があります。

新旧の3DSプロセスを比較した画像。元の3DSでは、すべての買い物客が静的パスワードを使用してIDを認証する必要がありました。これは、多くの場合、ポップアップウィンドウまたはリダイレクトサイトに入力されます。 3DS 2.0プロセスでは、買い物客のチェックアウトプロセスを遅くするのではなく、自動的かつ並行して行われる認証ステップが増えています。これらの認証手順には、購入者の場所、デバイス、ショッピング履歴、現在の購入、タイムゾーン、および生体認証を表すアイコンが含まれます。
3DS 2.0はパッシブ認証機能を使用しており、ほとんどの買い物客をチェックアウト中の余分な手順から解放します。

Uber

3DS 2.0は、反復によって製品の摩擦を減らす例です。 しかし、破壊的な製品を導入することで、業界レベルでの摩擦を減らすこともできます。

Uberのビジネスモデルは、従来のタクシーから摩擦を差し引くことに基づいています。 Uberを使えば、旅行の最後にタクシーのサービスを待ったり、財布の中を探し回ったりする必要がなくなります。

シームレスな支払いプロセスは、会社の初期の成功の鍵でしたが、いくつかのリスクが伴いました。 Uberがアプリに保存されているクレジットカードで取引を自動的に処理するたびに、チャージバック(カード所有者が取引に異議を唱え、払い戻しを受ける)のリスクがあります。

ただし、Uberは、これらの潜在的なチャージバックのコストは、ユーザーエクスペリエンスを最適化する機会に見合う価値があると計算しました。 ユーザーが乗車を要求するたびにクレジットカードを掘り出したりパスワードを入力したりしなければならなかった場合、ビジネス全体が失敗した可能性があります。 代わりに、Uberは摩擦に対するリスクを受け入れ、サービスを開始しました。

これらの例の両方で、セキュリティとリスクも考慮したユーザー中心の製品管理アプローチは、画期的で収益性の高いイノベーションをもたらしました。

最高のメンテナンスは良い犯罪です

詐欺は、製品チームの一歩先を行きたいと考えています。 他のタイプの開発は変化する要件に対応できますが、安全なソフトウェアプロジェクトはそれらを予測する必要があります。 つまり、製品マネージャーは業界の文献を読み、複数のクライアントからのデータを活用して、過去のセキュリティ違反や成功した偏向から学ぶ必要があります。

製品チームは、定期的な脅威の状況レポートを提供し、それらをクライアントの経験や要件と相互参照する必要があります。 すべての新しい脅威が製品の更新を保証するわけではありません。 あなたのチームは、UXが保護しない新しいタイプの攻撃を特定したかもしれませんが、クライアントとの話し合いにより、脅威環境とは関係がないことが明らかになりました。南アフリカのある銀行のクライアントが、 SIMスワップ詐欺、ニューヨークの別の詐欺では、VPNを使用するハッカーからの攻撃が増えている可能性があります。 ほとんどの場合、両方の銀行を両方のタイプの詐欺から保護することは、費用効果が高くなく、不必要なUX摩擦をもたらします。

プロダクトマネージャーとしてのあなたの役割は、セキュリティを快適なユーザーエクスペリエンスと交換したり、その逆を行ったりしないように、機能を絶えず調整する必要があります。 クライアントとエンドユーザーのニーズを真に理解するには大量のデータが必要ですが、このバランスを取るための残りの作業は、試行錯誤と芸術の組み合わせです。