メタバース活用において考慮すべきサイバーリスク（東京電機大学）

メタバースのブレイクにはキラーアプリの存在が必須

林：
佐々木先生は約40年にわたり、セキュリティ研究に携わっていらっしゃいます。最初に先生のご経歴を教えてください。

佐々木：
私は大学卒業後、最初の30年は大手電機メーカーでお世話になりました。その後の20年は東京電機大学でお世話になっています。

セキュリティ研究に着手したのは大手電機メーカー勤務時代の1984年からで、東京電機大学でも継続してセキュリティ研究とその教育に携わってきました。その中で重点を置いたのは、リスクアセスメントやリスクコミュニケーションの研究です。なお、メタバースの研究に携わったのは2022年からで、現在は主にリスクアセスメントの研究をしています。

林：
PwCでも2021年12月からメタバースに関する取り組みをスタートさせ、まずは「メタバースコンサルティング」というサービスを立ち上げました。同サービスはクライアントのメタバース活用による経営変革・事業構想を包括的に支援するものです。

また、2022年3月には「メタバースのビジネス利用に関する日本企業1,000社調査」を実施し、その結果を同年6月に公開しました。同調査によりますと、87％の企業が「メタバースはビジネスにとってのチャンスである」と捉えており、全体の38％が「活用を推進もしくは検討している」と回答しています。さらに活用を推進・検討している企業の49％が、「メタバース活用ビジネスを1年以内に実行する予定」だとしています。

この調査結果から、多くの企業がメタバース活用に期待を寄せていることが分かります。佐々木先生はメタバースがビジネスに与えるインパクトをどのようにご覧になっていますか。

佐々木：
私の専門はセキュリティです。ですから、メタバースについて自信を持って多くのことを申し上げられるわけではありませんが、少なくとも次のことは言えると考えています。

まず、ゲームなどのエンターテイメントの世界では確実にニーズがあり、今後も普及していくでしょう。特にVRゴーグルは今後軽量化が進んで使いやすくなり、高い没入感が得られるようになると思います。

そしてこれらに対応したコンテンツも増えていき、大ヒット作品も誕生すると予測しています。こうした発展に伴って、ビジネス活用も増えていくでしょう。メタバースを利用した会議システムや店舗なども高度化し、アバターを経由した会話などを通じ、新たなコミュニケーションの可能性も広がると考えています。

ただし、今のままでは大きなブレイクは難しいと思います。メタバースがブレイクするためには、VRの新しい使い方や、キラーアプリの存在が必須になります。

林：
PwCでは2022年6月、3,000台のVRゴーグルを調達して従業員に配布し、メタバースがどのようにビジネス活用できるのかを実証実験を行いました。そこで得られた課題を紹介させてください。

最も多かったのが「セットアップに手間取る」というVRゴーグルに対する不満でした。現在のVRゴーグルはコンシューマー向けプロダクトですから、利用するには個人アカウントの作成が必要です。これには「セキュリティやプライバシーの観点から不安」というコメントが多くありました。

一方、運営側からも個人情報の管理に関するセキュリティ上の懸念が聞かれました。また既存のセキュリティ製品との干渉もあり、これを解消するのに手間取りました。

この実証実験で判明したのは、「セキュリティ評価には時間がかかる」ということです。メタバースのセキュリティインシデント事例はほとんどありません。ですから、「過去の事例を参考にしながらセキュリティを評価する」ことが難しいのです。こうした状態では、全てのリスクをコントロールすることは困難です。現在は不測の事態に備えて「メタバースに関する保険」に加入するといった対応も検討しています。

メタバースのリスク評価は「CIA＋Safety」

林：
メタバース上のリスク評価についてもう少し深掘りをさせてください。具体的にどのようなアプローチで、どのようなリスクを想定すればよいでしょうか。

佐々木：
最初にリスク指標を明らかにし、それに伴うリスク要因を明確化します。この段階のリスク指標には、従来の情報システムを対象とした情報セキュリティである「CIA（Confidentiality／Integrity／Availability：機密性・完全性・可用性）」に加え、IoTの広がりとともに意識されるようになった「Safety（安全性）」も評価に入れます。メタバース上の脅威も、基本的には「CIA+Safety」を対象としています。

メタバースのゲームを対象とした脅威とリスク指標は、以下のような指標を用いました。

一番左の「Confidentiality」は、機密性に関するものです。アバターの発言の盗聴などがあります。隣の「Integrity」は完全性に関するもので、ゲームにおける得点の改ざんなどが考えられます。次の「Availability」は可用性に関するものです。ゲームサービスの停止を対象にしています。これら3つの指標が「CIA」です。

その上で一番右の「Safety」は、安全性としてヒューマンヘルスに関するものを挙げました。具体的には参加者の健康に及ぼす悪影響です。また、メタバース上の脅威を洗い出す際には、バーチャル空間だけでなく、視界が遮られた現実世界での脅威も対象としています。

そしてそれぞれのリスクに対するシステム構成と情報の流れを捉え、アタックツリーを使ってリスク要因をリストアップした結果、右図のように全体で31のリスク要因がリストアップされました。

なお、安全性の観点から通信路上でのノイズの負荷による表示装置の異常フラッシングなど、従来とは異なる脅威もリストアップしています。また、このような形でこれらの要因のうちリスクが比較的小さいものをリスク評価テーブルでスクリーニングした結果、対策すべきものとして28のリスク要因が残りました。

林：
残った28のリスク要因の重要度評価は、ITと同じアプローチが使えるのでしょうか。

佐々木：
そのポイントは非常に重要です。実際に実施したリスク評価のアプローチを紹介しましょう。まず、これらリスク要因の対策案をリストアップします。次に対策案の「事前のリスクレベル」「対策効果」「使い勝手」を考慮し、右図のような準定量的な手順で対策優先度を決定します。この結果、優先度が高い17のリスクがリストアップされました。メタバースのゲームでは、このような対策案の優先度評価が重要だと考えます。東京電機大学では今後、さまざまなビジネスにメタバースを応用する際のリスクアセスメントを実施していく予定です。

林：
これまでIoT向けに活用していたリスク評価のアプローチを少し改良することで、メタバースでも活用できるのですね。こうしたアプローチが形式化され、適切にリスク管理ができれば、メタバース活用の幅も広がると考えています。

最後に今後の展望と、これからメタバース活用を計画している企業へのアドバイスをいただけますか。

佐々木：
先述したとおり、私は1984年からセキュリティ研究に携わっていますが、最初の10年間は企業貢献の少ない研究の代表のようなものでした。しかし、早期より研究に着手し、長期にわたって継続していくことで企業貢献をはじめ、社会的に大きな影響を及ぼすことのできる研究にすることができました。

同様にメタバースの研究も継続し、さまざまな観点からメタバース活用のアプローチを考えることは非常に大事だと思います。当然、その際にはメタバースの安全対策を考えていくことも不可欠です。

林：
メタバースにおけるサイバーセキュリティ研究は始まったばかりです。PwCでもメタバース空間を活用した新たな試みを積極的に実施し、クライアント支援に活かしたいと考えています。本日は貴重なお話をありがとうございました。