{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
近年、日本でもメタバースをビジネスに活用する事例が増加しています。バーチャル空間でのセミナー開催といった一方向の使い方だけでなく、コミュニケーションやコラボレーションの可能性を広げるものとして注目が高まっています。一方で、メタバースは仮想現実(VR)や複合現実(MR)、拡張現実(AR)といったテクノロジーの使用を伴うことで、より多くの情報を扱うことになるため、サイバー脅威は高まります。では、企業がメタバースでビジネスを展開するにあたっては、どのようなセキュリティリスクに留意すべきでしょうか。東京電機大学の佐々木良一名誉教授にお話を伺いました。
(本文敬称略)
登壇者
東京電機大学 名誉教授
サイバーセキュリティ研究所 客員教授
佐々木 良一氏
PwCコンサルティング合同会社
サイバーセキュリティ&プライバシーリーダー
上席執行役員 パートナー
林 和洋
(左から)林 和洋、佐々木 良一氏
メタバースのブレイクにはキラーアプリの存在が必須
林:
佐々木先生は約40年にわたり、セキュリティ研究に携わっていらっしゃいます。最初に先生のご経歴を教えてください。
佐々木:
私は大学卒業後、最初の30年は大手電機メーカーでお世話になりました。その後の20年は東京電機大学でお世話になっています。
セキュリティ研究に着手したのは大手電機メーカー勤務時代の1984年からで、東京電機大学でも継続してセキュリティ研究とその教育に携わってきました。その中で重点を置いたのは、リスクアセスメントやリスクコミュニケーションの研究です。なお、メタバースの研究に携わったのは2022年からで、現在は主にリスクアセスメントの研究をしています。
林:
PwCでも2021年12月からメタバースに関する取り組みをスタートさせ、まずは「メタバースコンサルティング」というサービスを立ち上げました。同サービスはクライアントのメタバース活用による経営変革・事業構想を包括的に支援するものです。
また、2022年3月には「メタバースのビジネス利用に関する日本企業1,000社調査」を実施し、その結果を同年6月に公開しました。同調査によりますと、87%の企業が「メタバースはビジネスにとってのチャンスである」と捉えており、全体の38%が「活用を推進もしくは検討している」と回答しています。さらに活用を推進・検討している企業の49%が、「メタバース活用ビジネスを1年以内に実行する予定」だとしています。
この調査結果から、多くの企業がメタバース活用に期待を寄せていることが分かります。佐々木先生はメタバースがビジネスに与えるインパクトをどのようにご覧になっていますか。
佐々木:
私の専門はセキュリティです。ですから、メタバースについて自信を持って多くのことを申し上げられるわけではありませんが、少なくとも次のことは言えると考えています。
まず、ゲームなどのエンターテイメントの世界では確実にニーズがあり、今後も普及していくでしょう。特にVRゴーグルは今後軽量化が進んで使いやすくなり、高い没入感が得られるようになると思います。
そしてこれらに対応したコンテンツも増えていき、大ヒット作品も誕生すると予測しています。こうした発展に伴って、ビジネス活用も増えていくでしょう。メタバースを利用した会議システムや店舗なども高度化し、アバターを経由した会話などを通じ、新たなコミュニケーションの可能性も広がると考えています。
ただし、今のままでは大きなブレイクは難しいと思います。メタバースがブレイクするためには、VRの新しい使い方や、キラーアプリの存在が必須になります。
林:
PwCでは2022年6月、3,000台のVRゴーグルを調達して従業員に配布し、メタバースがどのようにビジネス活用できるのかを実証実験を行いました。そこで得られた課題を紹介させてください。
最も多かったのが「セットアップに手間取る」というVRゴーグルに対する不満でした。現在のVRゴーグルはコンシューマー向けプロダクトですから、利用するには個人アカウントの作成が必要です。これには「セキュリティやプライバシーの観点から不安」というコメントが多くありました。
一方、運営側からも個人情報の管理に関するセキュリティ上の懸念が聞かれました。また既存のセキュリティ製品との干渉もあり、これを解消するのに手間取りました。
この実証実験で判明したのは、「セキュリティ評価には時間がかかる」ということです。メタバースのセキュリティインシデント事例はほとんどありません。ですから、「過去の事例を参考にしながらセキュリティを評価する」ことが難しいのです。こうした状態では、全てのリスクをコントロールすることは困難です。現在は不測の事態に備えて「メタバースに関する保険」に加入するといった対応も検討しています。
東京電機大学 名誉教授 サイバーセキュリティ研究所 客員教授 佐々木 良一氏
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシーリーダー 上席執行役員 パートナー 林 和洋
「MRC4IoT」の改良版でメタバースに対応
林:
佐々木先生はメタバース上のリスクアセスメントを研究されていると伺いました。同分野に注目したきっかけは何だったのでしょうか。現在の研究内容と併せて教えてください。
佐々木:
注目したきっかけは、同僚が画像関係の研究をしており、共同研究ができればいいなと考えたからです。画像研究とセキュリティ研究の接点としてメタバースのリスクについて調べ始めたことが、直接のきっかけです。
その後、私が代表理事を務めている一般社団法人日本スマートフォンセキュリティ協会にメタバースセキュリティワーキンググループが誕生し、メタバースのセキュリティチェックリストを作成することになり、現在はこれを支援しています。
メタバースは多くのメリットがある反面、依存症やエコーチェンバー現象、プライバシーやセキュリティといったさまざまな問題があり、そのリスクが指摘されています。特にセキュリティリスクの問題は重要です。事前に適切なリスクアセスメントをしておかないと、重大なインシデントとなる可能性があると考えています。
現在の私たちの研究課題は、メタバースのリスクアセスメントやリスクコミュニケーションを利用し、リスク要因や対策を明確にしていくことです。
林:
メタバースのリスク評価と、これまでのITに対するリスク評価にはどのような違いがありますか。例えば、ITに対するリスク評価を少しだけ改変すれば、メタバースにも流用できるのでしょうか。
佐々木:
メタバースのセキュリティリスクのアセスメント手法については、いろいろな文献調査を行いましたが、見つけることはできませんでした。
一方、私はこれまでさまざまなITシステムやIoT(Internet of Things)システム向けにリスクアセスメント手法を開発してきました。このうち、IoT向けのリスクアセスメント仕様である「MRC4IoT(Multiple Risk Communicator for IoT)」はメタバース向けに少し改良すれば、メタバースのリスクアセスメントに適用できそうだと考えました。
左図はメタバース向けのリスクアセスメント手法をまとめた概要図です。
最初に行うのは、リスクアセスメント対象の調査や評価です。次にリスク要因を洗い出し、それを基に対策が必要なリスク要因を明確化します。その上でリストアップされた対策案のコストや効果、使い勝手を考慮し、適切な対策案の組み合わせを求めます。
この手法の特徴は、実施する過程において関与者間で合意形成をするため、さまざまなリスクコミュニケーションを行うことが必要となります。
メタバースのリスク評価は「CIA+Safety」
林:
メタバース上のリスク評価についてもう少し深掘りをさせてください。具体的にどのようなアプローチで、どのようなリスクを想定すればよいでしょうか。
佐々木:
最初にリスク指標を明らかにし、それに伴うリスク要因を明確化します。この段階のリスク指標には、従来の情報システムを対象とした情報セキュリティである「CIA(Confidentiality/Integrity/Availability:機密性・完全性・可用性)」に加え、IoTの広がりとともに意識されるようになった「Safety(安全性)」も評価に入れます。メタバース上の脅威も、基本的には「CIA+Safety」を対象としています。
メタバースのゲームを対象とした脅威とリスク指標は、以下のような指標を用いました。
一番左の「Confidentiality」は、機密性に関するものです。アバターの発言の盗聴などがあります。隣の「Integrity」は完全性に関するもので、ゲームにおける得点の改ざんなどが考えられます。次の「Availability」は可用性に関するものです。ゲームサービスの停止を対象にしています。これら3つの指標が「CIA」です。
その上で一番右の「Safety」は、安全性としてヒューマンヘルスに関するものを挙げました。具体的には参加者の健康に及ぼす悪影響です。また、メタバース上の脅威を洗い出す際には、バーチャル空間だけでなく、視界が遮られた現実世界での脅威も対象としています。
そしてそれぞれのリスクに対するシステム構成と情報の流れを捉え、アタックツリーを使ってリスク要因をリストアップした結果、右図のように全体で31のリスク要因がリストアップされました。
なお、安全性の観点から通信路上でのノイズの負荷による表示装置の異常フラッシングなど、従来とは異なる脅威もリストアップしています。また、このような形でこれらの要因のうちリスクが比較的小さいものをリスク評価テーブルでスクリーニングした結果、対策すべきものとして28のリスク要因が残りました。
林:
残った28のリスク要因の重要度評価は、ITと同じアプローチが使えるのでしょうか。
佐々木:
そのポイントは非常に重要です。実際に実施したリスク評価のアプローチを紹介しましょう。まず、これらリスク要因の対策案をリストアップします。次に対策案の「事前のリスクレベル」「対策効果」「使い勝手」を考慮し、右図のような準定量的な手順で対策優先度を決定します。この結果、優先度が高い17のリスクがリストアップされました。メタバースのゲームでは、このような対策案の優先度評価が重要だと考えます。東京電機大学では今後、さまざまなビジネスにメタバースを応用する際のリスクアセスメントを実施していく予定です。
林:
これまでIoT向けに活用していたリスク評価のアプローチを少し改良することで、メタバースでも活用できるのですね。こうしたアプローチが形式化され、適切にリスク管理ができれば、メタバース活用の幅も広がると考えています。
最後に今後の展望と、これからメタバース活用を計画している企業へのアドバイスをいただけますか。
佐々木:
先述したとおり、私は1984年からセキュリティ研究に携わっていますが、最初の10年間は企業貢献の少ない研究の代表のようなものでした。しかし、早期より研究に着手し、長期にわたって継続していくことで企業貢献をはじめ、社会的に大きな影響を及ぼすことのできる研究にすることができました。
同様にメタバースの研究も継続し、さまざまな観点からメタバース活用のアプローチを考えることは非常に大事だと思います。当然、その際にはメタバースの安全対策を考えていくことも不可欠です。
林:
メタバースにおけるサイバーセキュリティ研究は始まったばかりです。PwCでもメタバース空間を活用した新たな試みを積極的に実施し、クライアント支援に活かしたいと考えています。本日は貴重なお話をありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
