チャーリー ベル (By Charlie Bell)
※本ブログは、米国時間 3 月 28 日に公開された ”The metaverse is coming. Here are the cornerstones for securing it.” の抄訳を基に掲載しています。
メタバースは大きな話題となっていますが、その背後には予測可能な要素と予想外の要素の両面があります。
ヘッドセットと複合現実 (Mixed Reality) を使った新しい体験が、文字通り、目前に迫っていますが、それらは他にもわかりにくい影響を及ぼす要素があります。すべての新しいカテゴリーがそうであるように、意図した、あるいは意図しないイノベーションや体験と共に、セキュリティ面の課題も当初の想像よりも深刻になるでしょう。
どの新しい技術にも固有のソーシャルエンジニアリング上の課題があります。メタバースでは、あなたの身元を狙った詐欺やフィッシングの攻撃が、誤解を招くドメイン名や電子メールアドレスではなく、同僚になりすましたアバターという見慣れた顔からやってくる可能性があります。今行動しなければ、このような脅威は企業にとって破滅的なものになりかねません。
メタバースのプラットフォームや体験は単一なものではないため、相互運用性が重要です。信頼は、たとえば、バーチャルな会議室の出入口で終わるものではありません。その中で実行されるインタラクションやアプリにも及ぶ必要があります。そのような対策を行わなければ、セキュリティの不確定要素から、新しい仮想空間での人々の言動に支障をきたし、悪用される隙を生じさせることになります。
すなわち、メタバースにとって重要なのは今という初期の時代なのです。この時期にこそ、メタバース体験の信頼と安心を育むための、具体的で中核的なセキュリティ原則を確立する機会があるのです。この機会を逃すと、アクセシビリティやコラボレーション、ビジネスを向上させる大きな可能性を秘めたテクノロジの採用をいたずらに妨げてしまうことになります。セキュリティコミュニティは、メタバースで、安全に働き、買い物をし、遊ぶための基盤を作るために協力しなければなりません。
では、メタバースに何を期待し、どのように信頼される環境を作ればいいのでしょうか。
歴史は繰り返すというのを忘れてはいけない
テクノロジの変化は、気が付かないうちに浸透するものです。仮想世界での不動産ブームは今に始まったことではなく、1990 年代にはドットコムのドメイン名がブローカーや投機家の間で話題となりました。
初期のウェブは、確かに商取引に革命をもたらしましたが、その方法は、1990 年代には多くの人が予想もしなかったものでした。その一方、ウェブサイトを簡単に開設できるようになったことで、銀行、政府機関、有名なブランドになりすました模造ドメインによる詐欺の被害が相次ぎました。こうした問題は現在も続いています。
私たちは、このサイクルを何度も見てきました。Wi-Fi がノートパソコンで利用できるようになった当初、企業のセキュリティチームはその導入に慎重でした。やがて、企業のセキュリティポリシーに無線 LAN 対策が含まれているかどうかにかかわらず、Wi-Fi を搭載していないノートパソコンは買えなくなりました。
iPhone や Android スマホの爆発的普及は、職場における BYOD ポリシーの大きなきっかけとなりました。ほぼ一夜にして個人所有のデバイスが新たなカテゴリとなり、組織はそれに追いつかなければならなくなったのです。メタバースに影響された機能や体験が、同じように企業にもたらされると論理的に予想できます。
教訓を活かして、一歩先を行く
セキュリティ対策はチームスポーツであり、どのベンダー、製品、技術も単独で保護を行うことはできないことは以前から明らかでした。今の防御者のコミュニティにおける情報共有と協力の文化は、一夜にして実現したわけではない誇るべき成果です。今日では、ISP、クラウドプロバイダー、デバイスメーカー、そしてこれらの市場におけるライバル企業でさえ、セキュリティ問題で協力する必要性を認識しています。
新次元のテクノロジの入り口にいる今、メタバースを何世代にもわたって守っていくために、重要な優先項目について意見を一致させることが重要です。ここでは、アイデンティティ、透明性、そして防御者の継続的団結が鍵になります。
侵入者が最初に狙うのはアイデンティティ
長年にわたり、詐欺師は財産を分け与えようとする退位した王子や懸賞の主催者を名乗ってきましたが、電子メールやテキストメッセージの出現により、これらの詐欺手法がデジタル世界に再び姿を現しました。
今後のメタバースにおけるフィッシングの姿を思い浮かべてみてください。それは、銀行からの偽メールではありません。それは、バーチャルな銀行のロビーであなたの情報を尋ねてくる窓口係のアバターかもしれません。それは、偽のバーチャル会議室の会議に招待しようとする、あなたの会社の CEO のなりすましかもしれません。
そのため、メタバースにおけるアイデンティティの問題への対応が最重要課題となっています。メタバースに対応したアプリケーションやエクスペリエンスを採用しても、アイデンティティやアクセスコントロールの管理は今まで大きく変わるわけではないことを、組織は知っておく必要があります。つまり、この新しい世界においても、企業がアイデンティティの管理を実現しなければならないのです。
建設的なステップとして、多要素認証 (MFA) やパスワードレス認証をプラットフォームに必須の要素にすることが挙げられます。また、IT 管理者が単一のコンソールで、ユーザーが利用する複数のクラウドアプリケーションへのアクセスを管理できるというマルチクラウドの分野における最近のイノベーションを活用することもできます。
透明性と相互運用性が鍵
メタバースには多くのプラットフォームや体験のプロバイダーが存在しますが、真の相互運用性があれば、それらの間のギャップをシームレスかつ安全にし、エキサイティングな新しいシナリオを実現できます。クライアントのバーチャル会議室が異なるプラットフォームで運用されている場合でも、自分のパワーポイントのバーチャルプレゼンテーションを持ち込めるようになることを考えてみてください。
透明性を確保することで、あらゆる段階でこれを可能にできます。新しいプラットフォームは、通常、企業に大規模導入されると、厳しい試練に直面します。セキュリティ研究者がコードや機能、製品の宣伝文句を本格的に調査し始めるのは、たいていこの時期です。
メタバース関係者は、セキュリティに関する質問を予期し、あらゆるアップデートに迅速に対応できるよう準備しておく必要があります。利用規約、そして、暗号化の場所や方法、脆弱性の報告、更新といったセキュリティ機能に関する明確かつ標準化されたコミュニケーションが必要です。
透明性は、導入を推進します。つまり、セキュリティの学習プロセスを加速します。
協力こそが最強の防御
なりすまし、認証情報の盗用、ソーシャルエンジニアリング、国家によるスパイ活動、不可避な脆弱性など、昨日そして今日のインターネットの問題は、メタバースにおいても常に存在します。そして、それらを予測し、対応するためには、誠意、規範、チームワークを持つセキュリティコミュニティが必要なのも同様です。
近年、脅威が増加する中、テクノロジ業界全体で協力して取り組んできたことは、メタバースのプラットフォームや体験による未来が形作られる中でのセキュリティの基盤となるものです。
攻撃者と同様に、セキュリティ研究者、CISO、業界関係者にも、メタバースの状況を理解し、有利に活用する機会があります。メタバースのプラットフォームは、認証機能の向上、疑わしい活動や悪意のある活動の特定、さらにはサイバーセキュリティの再認識など、人間のアナリストが瞬時に意思決定できるよう支援する、全く新しいデータを生み出す可能性を秘めています。
他の新しいフロンティアと同様、大きな期待、激しい競争、不確実性、そして臨機応変の学習が、メタバースの進化、そして、そのセキュリティの特性となるでしょう。しかし、メタバースの最終的な影響を予測する必要はありません。すべての人にとってより安全な旅を実現するためのセキュリティと信頼の原則を認識し、それを採用していくことが必要です。
アイデンティティ、透明性、セキュリティコミュニティの強力な協力体制について学んだ教訓を、この次のテクノロジの波がその可能性を最大限に発揮できるようにするための足がかりにしていきましょう。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。