メタバース サイバーセキュリティ

メタバースの実現に伴い、企業はサイバーセキュリティの新たな課題の数々とその対処法を検討する必要があるでしょう。
メタバースは、従業員、顧客、パートナーのエンゲージメントとUXを向上させるために、企業が注目する次の必需品となりつつあります。そして、メタバースはまだ到来していませんが、だからといって、企業がメタバースがもたらすセキュリティ上の課題を考慮しないわけにはいきません。

メタバースの主要なコンセプトや正当性は認知、また明確になってきましたが、この新しい仮想世界に含まれるであろうさまざまなサイバーセキュリティリスクやプライバシー問題については、あまり注目されてないのかもしれません。

まず最初に: メタバースとは何か?

メタバースとは、人々がつながり、交流し、買い物をする仮想環境と定義することができます。物理的な世界とデジタルの世界が融合したこの世界は、ギリシャ語で「超える」「後」を意味する「meta」と、「verse」を略して「universe」で表されています。

こちらもどうぞ:メタバースとは

メタバースにある主な2つの形態

仮想現実は、VRヘッドセットを介して人工的な現実を提供し、ユーザーの視野を占拠して没入体験を提供します。没入体験の他の形態としては、音声や、人の手や他の体の一部が仮想環境と相互作用することを可能にする体の位置追跡があります。
拡張現実(AR)は、VRよりも没入感が低い。ARは、ある種のレンズを介して現実世界の上に仮想のオーバーレイを追加するものです。ユーザーは、自分の周囲を普通に見ることができます。ARの例としては、Wazeアプリを使用したスマートフォンや、MicrosoftのHoloLensのようなウェアラブルなどがあります。ホストはユーザーの位置情報を見ることができ、その意図を推測することができます。
一般的にVR体験では、プライバシー権を期待することはできないが、物理的な世界に足場があるAR環境では、プライバシー権がより強固なものとなることに注意する必要がある。

メタバースにおけるサイバーセキュリティの実装: 3つの要素

メタバースにおけるサイバーセキュリティには、ホスティングプラットフォームのサイバーセキュリティ、物件(プラットフォーム上の賃借人)のサイバーセキュリティ、物件のユーザー(物件内で交流する消費者)のサイバーセキュリティの3つの要素があります。

それぞれの構成要素に関連する主なリスクとその対処法を整理してみましょう。

  1. プラットフォームの所有者
    規制の欠如。最大のテクノロジー・ジャイアントは、メタバースのプラットフォームを構築するために投資している。しかし、規制がないため、セキュリティとプライバシーの実践に一貫性がありません。そのため、UXや期待値が分断され、一貫性を欠くことになる。

リスクにどう対処するか プラットフォームの所有者は、一連の義務について協力する機会を捉え、厳格な行動規範を遵守することに同意する必要があります。これは、メタバースにおけるサイバーセキュリティの課題に対するリーダーシップと認識を示すものです。最終的には、プラットフォームの採用を促進することにもつながります。

メタバース・プラットフォームの監視には、プロアクティブな介入とリアクティブな介入が必要です。人工知能(AI)が可能にするセキュリティ戦略に支えられた包括的な管理監督チームを創設する。AIによる洞察を利用して、不正使用、不正行為、不当表示をプロアクティブに特定し、速やかに対策を講じる。また、不動産オーナーやその顧客がセキュリティやプライバシーの問題を提起できる仕組みが必要である。

  1. 不動産オーナー/賃貸業者
    メタバース・サイバーセキュリティのベストプラクティスに関する知識の欠如。仮想不動産の利用者には、顧客、パートナー、ゲストが含まれ、そのすべて、または一部がメタバース初心者である。多くの場合、不動産の所有者や賃借人も初心者のため、サイバーセキュリティとプライバシーのベストプラクティスが欠けているか、誤って解釈されているか、誤って伝えられているか、あるいは単に無視されているような雰囲気が生じています。

リスクに対処する方法 不動産所有者は、ホストしているプラットフォームのセキュリティとプライバシーを理解し、プラットフォーム上で構築または使用しているサービスを検証し、それらのサービスのセキュリティとプライバシーを確保するための措置を講じるために時間をかける必要があります。次の重要なステップは、そのポリシーを理解しやすい形で自分の所有物の利用者に翻訳することです。

メタバースにおけるユーザーデータには、センサー、位置情報、生理的データ、ソーシャルデータなどが含まれます。所有者は、プラットフォームプロバイダーがどのようなユーザーデータを収集しているかを理解し、その上で、自分たちも収集しているユーザーデータを重ねることが重要です。そして、これらのデータが何であるか、なぜ収集されるのか、顧客がどのようなデータの権利を有しているのかを、ユーザーが理解しやすい形で提供する必要があります。

  1. 消費者/ユーザー
    消費者保護の欠如。没入感を得るためにセンサーやトラッカーを搭載したヘッドセットを使用すると、消費者は自分の個人データがどのように、またどの程度収集されているのかに気づかなかったり、注意を払わなかったりすることがあります。GDPRやCCPAのような消費者に力を与えるデータプライバシー法がある現実世界とは異なり、メタバースにはそれに相当するものがないため、消費者は危険にさらされています。

特にアバターの顕在化に関するクレデンシャル検証プロセスの欠如は、消費者を危険にさらすことになる。動画ではディープフェイクが、電話会議ではなりすましが蔓延しています。メタバースでは、さらに大きな課題となります。

また、メタバースのプラットフォームによって、コミュニケーション権が異なります。ARの世界では、コミュニケーション権は物理から仮想へのやりとりだけでなく、仮想から仮想へのやりとりもカバーします。VRの世界では、すべてのインタラクションがバーチャルとなります。

リスクにどう対処するか 消費者は、プラットフォームプロバイダーと所有者が採用しているセキュリティとプライバシーの安全策を理解する努力をする必要があります。消費者は、プラットフォーム・プロバイダーと不動産所有者に質問をする義務があります。どのようなデータが収集されるのか?そのデータはいつまで保存されるのか?このデータを消去するために、どのようなデータの権利が存在するのか?

また、消費者は、あらゆる情報を共有する際に警戒し、慎重になる必要があります。疑わしい点がある場合は、積極的に不動産所有者に連絡を取り、確認する必要があります。

メタバースにおけるサイバーセキュリティの重要性

メタバースの基盤は、以下の理由から、セキュリティによって支えられる必要があります:

メタバースの成功は、プラットフォームの所有者が、プラットフォームとその利用者(所有者/賃借人)に信頼を与えるかどうかにかかっています。信頼構築の重要な柱の1つがサイバーセキュリティです。顧客は、現実の世界で目にしたデータ漏洩やサイバー攻撃によって、サイバーセキュリティに対する意識が高まっています。プラットフォームオーナーが顧客の機密情報を保護できることを証明することは、評判を上げるために非常に重要です。
波及的な影響 メタバースはまだ比較的初期の段階ですが、大手ハイテク企業がプラットフォームを構築し、不動産所有者がそれを埋めているという事実は、この分野の仮想存在の需要と長期的成功の可能性を示しています。

一方、メタバースに存在するすべての企業は、物理的な世界でも長い間、もしかしたら永遠に存在し続けることになる。つまり、組織は、メタバース内とメタバース外の二重の存在である。メタバース世界でのセキュリティ侵害、個人情報の盗難、サービス妨害は、現実世界にも波及し、評判を落とし、ビジネスを衰退させる可能性があります。逆に、メタバースでのポジティブな体験は、組織の現実世界でのビジネスを強化する可能性があります。
ビジネスの成長。メタバースの規制環境は存在しないため、安全な環境でリードし、安全な顧客第一の体験をモットーとするプラットフォームのオーナーは、それを強力なマーケティングとして活用し、早い段階でビジネスの成長を促進することができます。また、オーナーは規制の策定にも貢献できるため、後から追いつく必要がなく、先行者利益を得ることができます。

メタバース・サイバーセキュリティの一般的な課題

ここでは、メタバースに存在する一般的なセキュリティの課題をチェックリストで紹介します:

  • モデレーションの課題 ほとんどのメタバースでヘルプやサポートアクセスが存在しない。例えば、NFTの盗難は、ユーザーをサポートなしで放置する可能性があります。
  • アイデンティティの問題 メタバースユーザーの身元が詐称されたり、アカウントがハッキングされたり、アバターが乗っ取られたりする可能性があります。メタバースユーザーの取引相手の身元が常に疑わしいというのが、共通の課題です。
  • クライアントの脆弱性 VRやARのヘッドセットは、多くのソフトウェアとメモリを搭載したヘビーデューティーなマシンです。また、悪意や不注意によるハッキングの格好の標的でもあります。さらに、位置偽装やデバイス操作によって、犯人はユーザーのアイデンティティを乗っ取り、メタバースに入った後に大混乱を引き起こすことができます。
  • ユーザー間のコミュニケーション メタバース体験は、ユーザー間のコミュニケーションを促進することにあります。これらの関係は、通常、商取引を通じて構築され、信頼に依存しています。一人の悪質なアクターが甚大な被害をもたらす可能性があります。規模に応じたモデレーションの必要性は重要であり、対処しなければなりません。
  • データの正確性 位置情報、商品の品質、レビュー、ユーザー情報、サードパーティの信頼できるデータなどは、その正確さによって支えられていますが、メタバースで正確さを確保することは困難です。
  • プライバシー 前述の通り、メタバースには規制が存在せず、真にパーソナライズされた没入体験のためのデータ収集の必要性は、プライバシー侵害を必要とします。しかし、ユーザーは通常、自分が提供しているデータのレベルについて知ることはありません。また、地域主権を要件とするGDPRなどの規制とは異なり、仮想体験には国境がないため、プライバシーの確保はプラットフォームオーナーやプロパティの所有者の意向に委ねられることになる。

VR・AR特有のセキュリティ上の課題

VRやARの環境は、セキュリティやプライバシーに関する多くの問題を提起します。課題には以下のようなものがあります。

VRセキュリティの課題

依存性。メタバースには標準や共有サービスがないため、製品やプラットフォームの利用者は、体験の安全性に関してプラットフォームの所有者に依存することになります。例えば、初期のメタバース・プラットフォームの1つであるSecond Lifeの使用を選択したアーリーアダプター企業は、セキュリティ、ID保護、プライバシー、さらには金融取引において、完全にそのプラットフォームに依存しなければなりませんでした。
責任。ユーザーがVR環境で購入したり借りたりする財産は、解決しなければならない多くのセキュリティとプライバシーの課題を生み出します。誰がその物件に入ることを許可され、またはブロックされるのか?物件の所有者は、誰が入場できて、誰が入場できないかを決める権利を持っているのか?これらの物件の内部では何が行われているのか?金融取引や違法な取引が内部で行われる可能性はあるのか?
認証(Authentication)。エンティティが彼らの言うとおりの人物であることを知ることは困難です。あなたが関わっている人々が、彼らが主張する人物であることをどのように証明するのでしょうか?例えば、遠隔医療を考えてみましょう。患者は、相手が医療従事者であることをどうやって確認するのでしょうか。不動産所有者は、医師の診療を許可する前に、どのようにして医師の資格を認定できるのでしょうか。
説明責任。詐欺、ハラスメント、その他の不正行為が発生した場合、VR環境の所有者は責任を負うことができるのか?
プライバシー。VR環境に関する規制はまだ存在しない。メタバースVRプラットフォームの所有者が侵襲的なデータ収集と分析を行い、VRユーザーにとって未知のユーザーによって多くのデータが常に共有されていることを考えると、規制は来るだろうが、この先も続くだろう。しかし、現在、このデータの保護または共有は、完全にプラットフォーム所有者の裁量に委ねられています。
広告フィード。メタバースオーナーはこれを完全にコントロールすることができます。現実の世界で、物理的な店舗の前に広告バナーが貼られるのと同じように、バーチャルな店舗の前にバーチャルな広告が表示されることがあります。これらの広告は、顧客に喜ばれるかもしれないし、そうでないかもしれないが、あなたはそれを制御することはできない。
特権的なアカウントとハッキング カスタマーサポートや管理者アカウントの乗っ取りは、VR環境の重大な侵害につながる可能性があり、発見されない場合、多くのユーザーに損害を与える可能性があります。
アクセスポイントの侵害。VRメタバースへのアクセスは通常ヘッドセットを介して行われるため、ヘッドセットのエンドポイントが侵害されると、そのユーザーのアバターが完全に乗っ取られてしまう可能性があります。
スパイ行為。アバターは外観を変えることができるため、会議、個人的なチャット、その他のやり取りが、影響を受ける当事者の知らないところでスパイ行為や侵入の対象となる可能性があります。

ARセキュリティの課題

データの完全性。ARではサードパーティのデータを重ね合わせるため、データの整合性が損なわれると大きな問題になります。例えば、ヘッドセット上にオーバーレイされた位置情報アプリが欠陥のある位置情報データを使用した場合、ユーザーに誤った指示を与えることになりかねません。
物理的なセキュリティ。ユーザーは通常、ARオーバーレイを装着したまま現実世界を移動するため、物理的なセキュリティが懸念される。ユーザーが仮想空間に没入しすぎると、自分自身や周囲の人に危害を加える可能性があります。