スマートフォンで展開されるメタバースとセキュリティ ~「セキュリティフォーラム2022 オンライン」詳細レポート(前編)~
3月24日、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)と一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)は、新たなコミュニケーションプラットフォームの形として実証や活用が進むメタバースを主なテーマに「セキュリティフォーラム 2022 オンライン」を開催した。ここでは、前編として、経産省の担当者による特別講演1の模様と、有識者による3つの活動発表について報告しよう。
スマートフォンで展開されるメタバースとセキュリティの問題
オンラインイベントの開催に先立ち、SIOTP協議会の代表理事・理事長を務める辻井重男氏(中央大学研究開発機構フェロー・機構教授、東京工業大学名誉教授)が「メタバースが広がっていく中で、自由の拡大、公益性・安心安全、個人の権利・プライバシーという相反する要素をなるべく同時に実現するために、真正性の確認が可能な基盤が求めれる」とし、イベント全体のテーマを貫く骨子を説明した。
次にトップの登壇者として、JSSEC技術部会 部会長 仲上竜太氏(ラック)が「スマートフォンが開くメタバースの扉~メタバースとセキュリティ~」をテーマにイントロダクションの講演を行った。
仲上氏は、新たなデジタルのコミュニケーションとしてのメタバースの現状や課題について触れた。メタバースは、アバターによりコミュニケーションが可能な3D空間だ。リッチなショッピング体験やNFTでアイテムの所有をしたり、売買できたり、仮想空間の土地に投資して運用したり、さまざまな切口で話題になっている。
メタバースが注目を浴びている背景には、ここ数年のコロナ禍による行動制限や、デジタル化の進展、VR技術の発達などが背景にある。メタバースそのものは1990年代初頭からあったが、2003年のSecond Lifeで有名になり、その後ゲームにより海外で進展してきた。最近はVR空間で拡張され、身体表現も可能になっている。
メタバースでは、自分にセンサーなどの装置を取り付け、デジタルの仮想上でツインの自分を再現できるようになった。つまり現実のアイデンティティと、メタバースごとの仮想空間で、複数の自分や役割が存在し得るということだ。
仲上氏は、メタバースとして提供される代表的な機能として、「身た目・身体表現」(アバターやモーショントラッキングなど)、「仮想空間表現」(VR機能など)、「コミュニティ・社会基盤」(ユーザー同士のソーシャルなつながり、アイテムやトークンの所有など)を挙げた。
またメタバースへアクセスするデバイスには、PC/スマートフォン/専用デバイスの3種類があり、特に最近はスマートフォンの性能が向上し、メタバースの普及を加速させる要素になると期待されているという。またヘッドマウントディスプレイ(HMD)とセットになった専用VRデバイスも手ごろな価格になってきた。
国内では、スマートフォンに対応するメタバースとして、NTTが提供する「DOOR」や、バーチャル渋谷などを開催した「Cluster」が注目されている。またブロックチェン上の非代替トークンのNFTや、現実世界も仮想化するxR(VR/AR/MR)、分散型の次世代インターネット・Web3.0といった独立した新しいテクノロジーも付随して語られている。
仲上氏は「現在のメタバースの課題は、アバターによる幅広い活動や、HMDやセンサーを使った身体とデジタルとの密な結合、ネット接続を前提としたサービスなどにより、プライバシーとセキュリティ、身体への影響など、新たに考慮すべき点が出てきたことです」と説明した。
セキュリティの観点からいうと、メタバースもWebアプリなので、脆弱性を突いたユーザーへの情報窃取や不正行為、サーバへの侵入、サービスへのDDoS攻撃、視界やVR機器への攻撃なども考えられる。またプライバシー的には、人格(アバター)のなりすまし、盗聴・盗撮、ハラスメント、身体フィードバックへの攻撃などにも注意しなければならない。
仲上氏は「今後メタバースの活用範囲を広げていくには、従来のサイバー攻撃に加え、新しい課題を認識し、メタバースで行われる詐欺や、システムの脆弱性などに対処していく必要があります」と力説した。
メタバースの越境ビジネスにおける法適用、権利保護や侵害行為をどうする?
特別講演 1に登壇したのは、経済産業省 商務情報政策局 コンテンツ産業課 課長補佐(産業戦略担当)の上田泰成氏だ。同氏は「仮想空間の今後の可能性と諸課題に関する調査分析」を中心に報告した。
まず上田氏は、メタバースがもたらす世界観として「3次元空間を主にコミュニケーションや経済活動などが、ゲーム以外への用途にも使われている」とし、将来的に現実社会を上回る経済圏を創出する可能性があることを示唆した。
「メタバースのメリットは地理・空間的な制約がなく瞬時につながり、多くの人とコミュニティで交流したり、現実で体験できないクリエイティビティや、多様な生き方・人格として存在できること。ビジネスでもメディアやマーケティングのDXを進める際に無視できない存在です」(上田氏)。
このような状況で、経産省は令和2年度に、仮想空間の今後の可能性と諸課題に関する調査・分析を実施。国境なきメタバースの越境ビジネスでの各国の法適用や、仮想オブジェクト(アバター)に対する権利保護や侵害行為、消費者保護の観点から個人間取引きプラットフォームにおける債務、プラットフォーマーに適用される各業務法などが法的な論点となるという。
この点について上田氏は「さまざまな法的リスクがありますが、対応策として官民が一体となり、ガイドラインに基づいて業界を統一して道筋をつけ、新市場ができたときに、法の整備や改正が行われていくという流れになるでしょう」と予測。
仮想空間のビジネス市場拡大に向けた課題は、こういった法整備、HMDの低価格化や仮想空間内でのマネタイズ、XR領域での人材確保やキラーコンテンツの普及、VRデバイスの性能向上やXRの仕様標準化などが挙げられる。
「そのような中で政府が果たす役割は、コンテンツ産業育成のために、クリエイターのマネタイズやエコノミーの創出という点で、メタバース領域のプレイヤー環境整備だと思います。またメタバース空間で、さまざまコンテンツの創作が促されるスキームの構築も求められています」(上田氏)。
メタバースにおける自己表現は日本が得意な分野で、Web3.0時代ではGAFAMに牛耳られていた構造をパラダイムシフトさせる可能性を秘めている。NFTを活用し、コンテンツにクリエイターや流通経路を紐づけることで、新たな価値やコミュニティが細分化されて拡大する。その際のデータを日本に還元し、世界中の消費行動を最も早く把握できるようになるかもしれない。
環境整備にあたり、政府はサービス提供者側とユーザー側からの観点から検討が必要とみている。サービス提供者側では、決済手段のオープン化、サービスが平等になるアクセスビリティ、自由度の高い組み合わせが求められる。一方でユーザー側の裁量や、プラットフォームを渡り歩ける相互運用、バーチャル渋谷のようにリアル社会との連携度が高いことが重要だ。
上田氏は「経済産業省コンテンツ産業課では、メタバース関連技術を用いると補助金として加点されるようなイベント支援策を進めています。またバックエンドでコンテンツ業界のDXに関するシステム開発や実証時の事業も支援しているので、ぜひ活用していただきたい」と説明した。
スマートフォン利用ガイドライン”対策チェックシートII/解説編”の活用法とは?
次に、JSSEC 利用部会ガイドラインWGリーダーの松下綾子氏(アルプスシステムインテグレーション)が成果発表 1として「スマートフォン利用ガイドライン”対策チェックシートII/解説編”の活用法」について解説した。
松下氏は、スマートフォンやタブレットはメタバースの接続ポイントになるため、基本的なセキュリティ対策がますます重要になると指摘し、これらを踏まえたうえで、スマートフォン利用ガイドライン”対策チェックシートII”について紹介した。
そもそも、この対策チェックシートは2014年にリリースしたスマートフォン利活用のためのセキュリティガイドラインの巻末冊子だった。昨年それを見直して対策チェックシートIIとして独立させたという。
松下氏は、その背景として「コロナ禍でWeb系のサービスやアプリが急激に増えたこと、テレワークなどで働く環境が激変してセキュリティポリシーの見直しが求められたこと、スマートフォンの活用シーンが広がり、タブレットも増加傾向にあること」を挙げた。
対策シートIIはPDF版とExcel版の2つがあり、JESSCのWebサイトからダウンロードできる。
この対策シートIIでは、米国のNIST-CFS+(サイバーセキュリティフレームワーク)を活用し、識別/防御/検証/対応/復旧という5つの観点と、既存チェックシートを統合・再整理し、過不足を補ったという。
「対策シートIIのポイントは、50項目に簡潔に絞り、簡単に読めるように工夫し、NIST-CFSの観点から網羅的にチェックできるようにしたこと。また過不足項目の追加・補完や、用途レベルごとにセキュリティ対策の推奨項目を設定したり、自社状況も記入できるようにしました」(松下氏)。
現在、JSSEC利用部会ガイドラインWGでは、このチェックシートを読み解いて理解を深めるための資料作成も行っており、この夏にリリース予定だという。
スマートフォンやアプリを狙う攻撃を知り、セキュアコーディングを!
成果発表 2では、JSSEC技術部会 部会長 仲上竜太氏が再び登場し、「スマートフォンやアプリを狙った攻撃を知る」というテーマで解説した。
同技術部会では「Androidアプリのセキュア設計・セキュアコーディングガイド」を毎年発行している。部会にはセキュアコーディングWG/ネットワークWG/マルウェア対策WGが活動中で、前出のセキュアコーディングガイドは10年前から継続的に改訂しており、安全なAndroidアプリの設計から実装までを、便利なサンプルコード付きで解説しているという。
(参考記事)
前バージョン12版ではAndroid11対応と、オートリセットや対象範囲別ストレージをなど、プライバシーに関する仕様追加・変更に伴って、セキュリティを配慮したサンプルコードや実装方法を紹介。続く13版ではAndroid12のプライバシーに関する拡張内容の変更点が中心となり、あわせて記載内容を更新した。またフィッシングサイトへ誘導されるアプリ間のURLのやり取りについての注意点なども追記されている。
もうひとつの活動として「スマートフォン・サイバー攻撃対策ガイド」も公開中だ。こちらはスマートフォンが攻撃を受けて踏み台にされるケースが増えており、攻撃手法を理解するためのコンテンツをWeb上で掲載(https://www.jssec.org/smartphone-malware/)。攻撃の概要から技術的な解説、対策までを説明している。
「セキュリティかるた」で、子供から青少年までセキュリティの啓蒙活動を推進
続く成果発表 3では、JSEEC 啓発事業部会部会長 藤平武巳氏が「学生のスマホ利用傾向調査レポートから見た今後の啓発活動」をテーマに興味深い発表を行った。
近年、スマートフォンを含むモバイル端末の利用状況を見ると、小学校6年生で約8割、中学生で9割、大学生ではほぼ全員が使う時代になっている。利用開始時期も年々、低年齢化が進み、子供へのスマートフォンの安心・安全な啓発活動が求められている。
「特にスマホネイティブな子供たちとに一般の大人目線では使い方にギャップがあるため、これを認識しながらルールづくりを心掛けています」と藤平氏は語る。
今回のアンケート(2022年3月)では、学生のおすすめゲームアプリは、男女・学年によって大きな特徴がある。たとえば、女性では中学・高校・大學という世代を超えて「ツムツム」がダントツの人気。一方、男性は人気がバラけている。ただし他人とコラボして楽しむゲームは上位だ。またゲーム以外のアプリで女性にダントツで人気なのはinstagramだ。また男女ともに「トリマ」といった恋活アプリでポイントが貯まるものに人気が集まる。
次に学生にネット行動の調査では、不特定多数が集まったSNSで、文字だけ投稿する人が過半数を占めているが、それ以外にも動画・写真投稿・ライブ配信や、ネットで知り合った人との交流など、幅広い行動がみられるという。
またスマホを使った購入・課金状況は7割が経験があり、AmazonなどのECサイトやフリマからの購入が3割以上と多い。面白い点が、ライブ配信での投げ銭にお金をかける人も少し出てきたこと。学生はTiktok(6割)、ツイキャス(2割)、その他1割以上で、ニコニコ生放送、LINE LIVEを使い、大人と同じ状況で配信を始めている。
このような状況を鑑みると、学生のスマートデバイスの勝代うが年々進化しており、今回のコロナ禍でさらに変化していることが分かる。そこで学生にも更なる情報セキュリティ保護の啓発が求められる時代になってきた。大げさのよううに思われるかもしれないが、実際に学生が経験したヒヤリハットは約4割もあり、かなり多い。
具体的には、ウイルス感染を装った不正アプリのダウンロードたワンクリック、架空請求、詐欺が最も多く、次に見知らぬ人や出会い系サイトからのアプローチ、アカウント乗っ取りやなりすまし、個人情報の投稿と続く。
一方、保護者側から見た場合は、間違って子供が課金したり、無駄な課金をされた親が最多で、次は教室で撮った動画などを友人がTikTokに個人投稿したり、ウイルス感染を装う不正アプリのダウンロード、ワンクリック、架空請求、詐欺不正が多い。しかし、こういったリスクを防ぐ家庭内のルールはほとんどない。またヒヤリハットに合っても個人情報流出などでは、保護者でも対策をとる自信がないという結果だ。
そこでJSSECでは、今後の解決策として、スマートフォンを自分で主体的に使い始める小学校高学年をターゲットとした啓発教材の作成と、遊びながら気づきと考えて周りの知識や経験を取り入れられる内容として「セキュリティかるた」を制作し、全国に展開していくという。
