Dark background with blue code overlay
ブログ

メタバースに向かって今取り組むべきセキュリティのトレンド

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

メタバースがいま注目を浴びており、主要な報道機関が記事として取り上げています。しかし、実際にはどのようなものなのでしょうか。CSO が関心を持つ理由は何でしょうか。

メタバースは、本質的に次世代のインターネットです。主要な報道機関は、それがどのようなものであるか誰も理解していないと報道するかもしれませんが、それは事実の一面に過ぎません。実際にそれを構築している人もいるため、部分的なものであれ、知っている人はたくさんいます。また、機能させるためにどのようにしなければならないか、かなりしっかりとしたビジョンを持っている人もたくさんいます。

わかりやすくするために、 Alter Egoというショーを例に考えてみましょう。これは「The Voice」のように力を競い合うもので、自分の外見に自信がない人が、アバターの「後ろ」で歌うというコンテストです。なかなか面白いショーなのですが、メタバースがどのようなものなのかのヒントになります。Wired の Kevin Kelly 氏が 2019 年に「(メタバース)が完成すると、私たちの物理的な現実はデジタル世界と融合する」と書いています。

Matthew Ball は、簡単に言うとベンチャーキャピタリストなのですが、メタバースに関する幅広い 入門書とフレームワーク を書いています。ここで彼の著述を引用します。

「メタバースとは、アイデンティティ、オブジェクト、履歴、支払い、権利の連続性を支え、事実上無制限の数のユーザー(個々の存在感を持つユーザー)が同期的に体験することができる、永続的でリアルタイムにレンダリングされる 3D 世界とシミュレーションで構成される広大なネットワークです」

私は、この定義を分解して、メタバースが CSO とそのチームにもたらすと考えられるいくつかの課題にまとめてみました。 

定義

課題

メタバースとは 広大なネットワークであり、

認証、アクセスポリシー、マルウェア、暗号化およびセキュアなトラフィック、DNS セキュリティ、Web アプリ攻撃

それは 永続的で

アップタイム、DDoS 攻撃、フラッシュクラウド

リアルタイムの

セキュリティとパフォーマンスのトレードオフ、API セキュリティ、ストリーム保護、著作権侵害対策

レンダリングされた 3D 世界とシミュレーションであり、

不正行為、物理/アクセスのセキュリティ、ハードウェア/IoT のセキュリティ、コンテンツの完全性

サポートする連続性としては アイデンティティ

セキュアな登録、資格情報のプロビジョニング、承認

オブジェクト、

暗号化、PII、不正防止、知的財産権

履歴、 

PII、暗号化

支払い、 

PII、暗号化、不正防止、PCI コンプライアンス、トークン化、支払いリスク

そして権利などがあり、

暗号化、PII、不正防止、知的財産権、支払いのセキュリティ

事実上 無制限の数のユーザー(個々の存在感を持つユーザー)が同期的に体験することができる

フラッシュクラウド、MFA、大規模なセキュリティ

(Matthew さん、ごめんなさい...)

このようにまとめてみましたが、言うまでもなく少し冗談めかした書き方にしています。しかし、重要なのは、メタバースの出現によって脅威の状況が大きく広がるということです。つまり、メタバースは単にセキュリティのリーダーシップを磨くための練習ではありません。それは未来です。理想を言えば、今すぐ計画を立て始めなくてはならない未来なのです。

ゲームセキュリティでメタバースに対する知見を獲得

メタバースと、その到来までの間に起こるすべてのことに備えるために、業界を問わずすべての CSO が、ゲーム業界のユーザーとセキュリティ上の課題を詳しく知っておくとよいでしょう。

ゲームはすでにメタバースの基本テクノロジーの大部分を提供し、影響を与えています。また、テクノロジーだけでなく、そのビジネスモデルも同様にさまざまな業界に応用され、活用されています。ACC 内の 動画音楽スポーツフィットネス医薬、そして 産業トレーニング の業界では、すでにゲームの世界からの借り物が使われており、メタバースの今後を占ううえで役に立つ縮図になっています。

ゲーム業界では、セキュリティの問題を次のように 4 つに大別して考える傾向があります。

1.アカウントの乗っ取り

2.知的財産の窃盗(データ流出)

3.不正利用

4.アップタイムに対する脅威(DDoS など)

ここでは、アカウントの乗っ取りに焦点を当てます。これは、現在からメタバースの間に見られるセキュリティの傾向を明確に表しているからです。Akamai は、ゲーム空間における問題をはっきりと認識しています。私は 犯罪者がゲーム業界を攻撃する方法と理由について記事を書いていますし、Akamai の同僚は、ゲームのセキュリティに関する最新の「インターネットの現状」レポートを 2 つ作成しています。 「セキュリティも一人ではプレイできません」「パンデミックにおけるゲーム業界への攻撃」です。これらのレポートのそれぞれで、攻撃者が絶え間なく攻撃してくる中でも、システムをオンラインで稼働させるために必要なことをいくつかの側面から検証しています。「セキュリティも一人ではプレイできません」では、Akamai が国際ゲーム会議組織 DreamHack(現 ESL Gaming)と共同で実施したハードコアプレーヤーに関する調査の結果を取り上げています。その中で、プレイヤーがゲームのセキュリティについてどのように感じているか、自身のゲームアカウントのセキュリティに関してどの程度、個人の責任が保証されているのかについて触れています。重要なポイントは以下の通りです。

  • 犯罪者の目的は(当然のことながら)金銭的な利益であり、その価値はたいてい PII ではなく、アカウント自体にあります。 これはメタバースでも重要なポイントです。10 年前には、あらゆるアカウントの主な価値は、クレジットカード番号や、犯罪者が銀行口座に入り込むために役立つ可能性のある情報にありました。しかし今では、アカウントそのものが、プレイヤーの時間やゲーム内のアイテムという形で価値を持つようになりました。盗まれたアカウントの購入者は、そのアカウントが、プレイに時間をかけ、アイテムを増やしたアカウントであれば、労力をかけずに高いレベルでプレイできるようになります。また、ゲーム内アイテムは、第三者のマーケットで実際の現金で販売することもできます。このような仮想的な価値という形は、NFT を購入する人々によって、投資コミュニティーにすでに反映されています。世界とあなたのビジネスがメタバースでの運用に移行する中で、アカウントとアクセスの保護は引き続き最優先事項となるでしょう。

  • 犯罪者は、ユーザーコミュニティーが可処分所得を所有し、頻繁に取引を行うゲームのような業界に目を光らせています。 ゲームは常に攻撃されています。過去 1 年間で、Web 攻撃は 340% 増加し、認証情報攻撃は 224% 増加しました。このような Credential Stuffing キャンペーンは成功することが多いのです。DreamHack/ESL が 1,253 人のハードコアゲーマー(81% が毎日ゲームをプレイ)を対象に調査を行ったところ、52% が 1 つ以上のアカウントをハッキングされたことがあり、70% がアカウントをハッキングされてオンラインで販売されていたことがわかりました。このようなゲームのアカウントの状況は、さまざまな業界やサービスで今後、メタバースアカウントを扱う際の目安として考えるとよいでしよう。

  • 顧客はあなたの助けを求めています。 DreamHack/ESL による調査でも、回答者の 76% が、ゲーム会社にアカウントセキュリティの責任があると思うと回答しました。しかし、これは複数選択の質問でした。同じ回答者の 67% が、プレイヤーである自分たちも責任を負うべきだと回答しています。あらゆる企業がメタバースでのビジネスに移行する中、アカウントセキュリティを中心としたユーザーと従業員との間のパートナーシップは、顧客体験やブランドとの関係においてより大きな役割を果たすようになり、エンタープライズにおけるセキュリティの役割も拡大していくでしょう。 

メタバースに移行すると、組織の攻撃対象領域の規模が桁違いに大きくなります。この「別世界」への転換路線を維持するためには、業界を超えたセキュリティ戦略の連携が必要であり、競合他社やそのセキュリティベンダーは、ユーザーのアカウント情報を安全に保つために、皆で足並みを揃える必要があるでしょう。その一方で、自社のアカウントセキュリティ対策の現状を深く調査し、ユーザーとの新たなパートナーシップやトレーニング方法を模索するセキュリティリーダーは、今後発生し得るさまざまな複雑な問題に対処できる万全の体制を整えることができるでしょう。 

Akamai がゲーム業界をどのようにサポートできるかについては、こちらをご覧ください。

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021