2022-10-18
メタバースが企業のビジネスの可能性を広げるのは明らかです。しかし同時に、セキュリティの課題も広がってしまう可能性があります。メタバース空間が何者かにハッキングされ、多額の暗号通貨が盗まれるといった事件もすでに発生しています。デジタル化の進展に伴い、攻撃対象領域(アタックサーフェス)も拡大の一途をたどっています。最たる例ですが、メタバースは仮想現実(VR)や複合現実(MR)、拡張現実(AR)といったテクノロジーを伴うことで、より多くの情報を扱うことになるため、攻撃の対象となる可能性が高まるのです。今回は、メタバースでビジネスを展開する企業が頭に入れておくべきセキュリティリスクについて考えます。
メタバースのビジネス活用において考慮すべきセキュリティのポイントは多岐にわたりますが、本稿では、メタバースビジネスを展開する企業が直面する可能性が高い内容に絞って紹介します。
情報を盗む手口としては、従来のスパイウェアや二重恐喝型ランサムウェアなどが、そのままメタバースに持ち込まれる可能性があります。そして、こうした攻撃のリスクは、通常のインターネットよりメタバースのほうが高くなる点に注意が必要です。
通常のインターネットの場合、スマートフォンやPCからインターネットに接続しますが、メタバースの場合はそれらに加えて、VRヘッドマウントディスプレイ(ゴーグル)やウェラブルデバイスなど、複数のデバイスからもアクセスすることも珍しくありません。デバイスが増えるということは攻撃対象が増えることを意味するので、必然的にリスクは高まります。
仮にゴーグルがハッキングされると、ユーザーの部屋の中の様子が侵入者から見られてしまうでしょう。また、視界や音声が改ざんされることで、実際には無いものを見せられたり、聞こえるはずのない声や音を聞かされたりといったことが発生することも考えられます。個々のプライバシー侵害のみならず、企業の情報漏えいや従業員のマインドコントロールといった、重大事象にすらつながる可能性があります。また、ゴーグルを物理的に盗まれれば、攻撃者がそれを利用してユーザーのアバターになりすまし、メタバース空間で開かれるビジネスミーティングに出席して企業秘密を盗み出すといった事態も想定されます。
メタバースにおける個人情報の扱いに関する規制は、まだ確立されているとは言い難い状況です。虹彩などのバイオメトリクス情報、行動・健康状態に関する詳細情報、人工知能(AI)との会話の内容など、メタバース空間には膨大な量のデータが日々蓄積されることになります。そのため、規制が強化された時への対応をあらかじめ考えておく必要があります。
コンテンツのモデレーションは、現在のSNSプラットフォームでも大きな問題となっています。個人に対するいじめや差別から、誹謗中傷から国家の安全保障に関わるような偽情報を使った世論操作まで、幅広い課題が解決されないままメタバースにも持ち込まれる可能性があります。
メタバースではSNSに比べて、表現力が大幅に向上します。自社の製品やサービスが攻撃者の標的となった場合、リカバリーに要する時間やコストはこれまで以上に増大すると考えたほうがよいでしょう。
「メタバースのビジネスモデルを考える【前編】既存のメタバース空間でビジネスを行う場合と、インフラやツールを提供する場合」では、製造工程の最適化や工場稼働率の改善のために、企業がデジタルツインを活用し始めていることを紹介しました。デジタルツインは、現実世界にある工場あるいはこれから設計する工場をメタバース空間に実装し、実際に稼働させることで、あらかじめシミュレーションを行うことができる技術です。デジタルツインでのシミュレーションは、工場のレイアウトに応じて人の導線や物を配置することなどが可能であり、稼働によって生じるあらゆる動きを確認できるメリットがあります。また、ユーザーが必要に応じてその中に入って体験することもできます。
※Technology Laboratoryのデジタルツインにおける災害発生時のシミュレーションの様子
ICS(産業制御システム)あるいはOT(Operational Technology)をも含めた設備全体を再現することで、トラブルが起きた場合の問題特定を速やかに実現できるとも考えられ、その利便性の高さから、企業による活用が今後さらに増えると見込まれています。
仮にこうしたデジタルツインが攻撃された時のことを想像してみてください。デジタルツイン上の情報が改ざんされ、その内容がリアルのシステムに反映されてしまった場合、稼働率が低下するどころか、故障や事故が誘発されかねません。ICS/OTは発電所や水道設備など、24時間365日の稼働が当たり前のものに組み込まれていることが少なくないため、仮に稼働が停止することになれば、消費者や取引先に直接的な影響を与え、大きな損害につながることは想像に難くありません。
メタバースでビジネスを展開する上では、セキュリティの多くの部分をプラットフォーマーに依存することになります。上記のような被害を防ぐためには、参加するプラットフォームのセキュリティ管理状況を事前に確認することが不可欠です。
また自社内ですぐにできることとしては、セキュリティポリシーの整備が挙げられます。従来のサイバーセキュリティをメタバースに応用した場合に必要なアクションをあらかじめ特定し、従業員間で共有しておくことで、被害を最小限に留められる可能性は高まります。もちろん、問題は起きないに越したことはありません。しかしながら、デジタル社会でビジネスを展開する私たちは、否が応でもリスクを背負っていかなければならないのが実情です。いざ問題が発生した際に速やかに対処できる体制を、今から整えておくことが肝要です。
