サイバーリスク：相互接続性の向上とメタバース

ウクライナ侵攻とサイバー攻撃

ウクライナ国防省は9月26日、ウクライナの重要インフラ企業に対して、ロシアの支援するハッカーがサイバー攻撃を計画していると短い声明で警告した。^*1

BlackEnergyというマルウェアを用いた2015年のサイバー攻撃と、Industroyerというマルウェアを用いた2016年のサイバー攻撃でも、ウクライナの電力供給は被害を受けている。そして今回は、ウクライナ東部と南部の電力供給施設に対するミサイル攻撃の影響を、このサイバー攻撃によって高めるためだとする声も聞かれる。

また、ウクライナに近い同盟国であるポーランドとバルト海沿岸諸国に対しても、アクセスを集中させることで標的となったシステムが身動き取れなくなってしまうDDoS攻撃が重要インフラに対してより強大なものとなることをこの声明において警告している。

実際、セキュリティ企業による観測では、DDoS攻撃の規模が2022年の第一四半期に過去最高記録を更新したとするものもある。^*2

一部ではロシア軍が劣勢とも報じられているが、サイバー攻撃は自国の軍事力を深刻な危険に晒すことなく対応できる手段ではある。

更に、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）からは、西側諸国の政府や組織に対するサイバー攻撃が増加する可能性が高いことを警告したセキュリティガイダンスも発行されている。^*3

このセキュリティガイダンスでは、不正侵入被害に遭う可能性を減らし、組織全体がセキュリティ体制を強化するためのガイダンスを提供しているので、いくつか紹介する。

（一例）

• ソフトウェアが最新であることを確認し、CISAによって悪用されたことの確認された既知の脆弱性に対処するための更新を優先的に行う。
• ビジネス上、必須ではないすべてのポートとプロトコルを無効にする。
• 不正侵入が発生した場合に対応するための準備ができていることを確認する。

これらは他でもよく聞くアドバイスであるが、それだけ重要かつ一定以上の効果が期待できるということでもある。

ここで「ポート」とか「プロトコル」といった言葉を聞きなれない方もおられることと思う。厳密には異なるが、これはサーバやシステムがネットワークに接続するためのドアとか、そこを通る時の決まりごとなどのように便宜上イメージしていただければ良い。

例えば、空の旅に出るのであればエアポート（空港）から飛行機の決められた座席に乗り、航空ネットワークを介して目的地のエアポートに向かうことになるが、概ねそのようなイメージだ。

そして、ビジネス上不可欠ではないポートやプロトコルがあれば、それらを無効にしておくべきだと述べている。更に、安全ではないことが広く知れ渡っているプロトコルでさえも、多くの企業や組織において有効になったままだとする調査結果もある。^*4

相互接続性の向上

さて、空の旅を思い浮かべていただいたが、ここでは赴いた先の電源プラグについて思い浮かべていただきたい。

日本の家庭にあるコンセントのプラグ形状はA型という縦長の穴が二つ開いたもので米国も同様、欧州であればC型と呼ばれる丸穴が二つ開いたもので、英国にいたっては縦長の穴が三つも開いたBF型と呼ばれるものが用いられている。当然、プラグが異なれば形状も電圧も異なり、異なる環境にも対応している製品もしくは変圧器が無ければ、電気製品は動かないどころか出火してしまうことさえもある。

これらのコンセントのように従来は別個のものとして存在していたものがインターネットによって相互接続され、業務効率の改善や更なる付加価値がもたらされている。これらはサイバー空間内での接続だけでなく、IoTによって現実世界とも繋がったり、DX（デジタルトランスフォーメーション）によってビジネスプロセスとも繋がる。また、昨今よく耳にするようになったメタバースやWeb3などでの没入型体験などによってサイバー空間と現実世界との境界線は一層曖昧なものとなってくるだろう。

ところでこの「メタバース」という言葉であるが、1992年の小説「スノークラッシュ」で著者のニール・スティーブンソンが用いた造語だ。

相互接続性が向上することで、私たちの仕事や生活に関するデータは増大し、その価値も増大する。サイバー攻撃を仕掛ける者にとってはより価値のあるものがサイバー空間に増えることになる。実際、メタバースでの没入型体験を得るために、より多くの生体情報を私たちは提供することも考えられるし、多くの子どもたちもメタバースに参加することとなれば、収集されるデータは大人のものだけではない。

これらだけが理由ではないものの、そのような背景もあり、現在世界中でサイバーセキュリティやプライバシーに関連した法規制の整備や厳格化が急速に行われている。日本でも今年4月1日より改正個人情報保護法が施行されていることは記憶に新しいだろう。

米国では証券取引委員会（SEC）によって、サイバーセキュリティの透明性と説明責任を高めるための新しい法案が導入され、関連する事業者はサイバー攻撃の被害に遭った場合にはそのことを開示しなくてはならない。また、子どもに関連するデータを収集している場合には、より多くの法規制が適用される可能性もあり、対応も一層複雑化することになる。

メタバースをビジネスに

メタバースが話題となる時、VR（仮想現実）ゴーグルと呼ばれるゴーグル型のディスプレイが用いられることも多い。そのため、ゲームなどエンターテイメント向けの技術と思われることもあるが、労働環境における活用についても期待されている。

既に私たちはTeamsやZoomといったウェブ会議ツールを日々の業務で活用しているが、メタバース上に構築された仮想ワークスペースで同僚や顧客とミーティングを行ったり、作業を行うといったことも既に始まっている。仮想ワークスペースでのコラボレーションは現実世界の業務を補完したり、一部の業務が完全にメタバース上へ置き換わる可能性もある。

これらは当然オフィスワークだけでなく、サービス業や製造現場などにおいても適用することができ、既に一部の工場ではAR（拡張現実）グラスといったものを用いて、現場での問題解決をサポートしたり、熟練労働者のノウハウを提供したりといったことが行われている。

ここでVRゴーグルとARグラスという言葉が出てきたが、前者では外界が遮断されたゴーグルの中に仮想空間が映し出され、後者ではメガネのレンズに必要な情報が映し出されるため外界を眺めながら映し出された情報を読み取ることができる。

経済産業省は今年7月、「Web3.0政策推進室」を設置し、メタバース関連の事業環境整備の検討体制を強化することを発表している。^*5 ここでも、”Z世代など若者世代を中心にメタバースが新たな個人のインターフェースとなりつつあり、デジタル空間の比重が高まり、ビジネス的価値も飛躍的に上昇する可能性があります。”としている。

コロナ禍においてリモートワークが一気に浸透することで労働環境が変革したように、もしくはそれ以上の大幅な働き方の変革が起こるかもしれない。そして、企業における多くのデータや知的財産、商標などもメタバースに展開されることになる。

一人一人の従業員に

メタバースへの期待が高まるなか、現時点で大きく問題になっているのは知的財産権にまつわるもので、主に商標の問題である。実際、日本でも人気のあるナイキやアバクロ（アバクロンビー&フィッチ）などの有名企業は、デジタル製品の商標保護について米国特許庁への申請を行っている。同様に、欧州においても、EU知的財産庁に対してロレアルやクロックスといった企業が仮想商品に対する商標保護について申請している。

また、EUの欧州委員会のフォン・デア・ライエン委員長は9月14日に公表した意向書において^*6、メタバースは私たちの前に差し迫った課題の1つであると述べている。ここでも、娯楽目的だけでなく、芸術的創造性を開発し、医療介助、文化保全、環境保護、防災などへの期待も述べられている。EUでは既にデジタルサービス法（DSA）とデジタル市場法（DMA）が存在しているので、既にメタバースに構築された仮想空間を規制するツールが欧州にはあるとも述べており、最初から真に安全で繁栄するメタバースの発展を形作るつもりだと述べられている。

ここまで見てきたように、メタバースやWeb3への期待は非常に高く、従来までは困難であったコラボレーションを実現することも可能になる。そして、その時には前述したポートとプロトコルでの問題のように、相互接続性が向上することによって引き起こされる問題が新たなサイバーリスクとして出てくることになるだろう。

新たな価値が生まれる場所に、別の意味での価値を求めて悪意ある者も跋扈する。前述した米CISAの公表したガイダンスは非常に参考になり、尚且つ随時更新されており内容も充実しているため、是非参考にされたい。^*3

また、9月21日に米下院国土安全保障委員会の公聴会において、十分な資金やサポートを得られていない水道事業者に関する課題とサイバーセキュリティ予算の使途に関する言及があった。水道システムが不正操作されれば、消毒液の量を過剰に混入させ水道利用者の健康に影響を及ぼす可能性もあるため深刻な問題であるためだ。

そして、そこではセキュリティ予算がまず割り当てられた先として、従業員向けのトレーニングが最も多く行われたことであるという発言があり、最低ラインとして従業員向けトレーニングを実施することが望ましいと述べられている。

従業員一人一人がサイバーセキュリティを意識しなければならないということだ。

出典

^*1 https://gur.gov.ua/content/okupanty-hotuiut-masovani-kiberataky-na-ob-iekty-krytychnoi-infrastruktury-ukrainy-ta-ii-soiuznykiv.html

^*2 https://securelist.com/ddos-attacks-in-q1-2022/106358/

^*3 https://www.cisa.gov/shields-up

^*4 https://www.extrahop.com/resources/papers/benchmarking-cyber-risk-readiness-report/

^*5 https://www.meti.go.jp/press/2022/07/20220715003/20220715003.html

^*6 https://state-of-the-union.ec.europa.eu/system/files/2022-09/SOTEU_2022_Letter_of_Intent_EN_0.pdf