業界トレンド

進化する脅威動向における小売業界のサイバーセキュリティ

投稿者 Courtney Radke | 2021年7月5日

業界の視点

新型コロナウイルスの大流行の結果、2020年の世界のオンライン小売業界の売上は増加しました。統計によると、2020年に消費者が米国の小売業者向けにオンラインで支出した金額は8,611億2,000万ドルで、2019年から前年比で44%増加しました。一方で、小売全体の売上の増加はわずか7%でした。このことは、消費者が支出する金額は同じだが、購入の形が異なっていることを示しています。この消費者の買い物の習慣の変化は、デジタル小売ビジネスに影響を与えるセキュリティリスクのタイプと類似しています。小売業者はこのことを念頭に入れて、業界全体のサイバーセキュリティの姿勢にも影響を与える可能性がある、企業の存続につながるさまざまな技術動向を理解するよう取り組む必要があります。

小売業者が注意すべきサーバー脅威の動向

来年、小売業者にとって課題となる可能性のある世界的なトレンドがいくつかあります。消費者のショッピングに対するアプローチは、引き続きデジタル化が増加する可能性が高く、小売業者はサイバーセキュリティの全体的な脅威動向における業界の位置付けに注目する必要があります。

IoTデバイスによってカスタマーエクスペリエンスをデジタル変革

多くの小売業者は、新しいクラウドベースのカスタマーエクスペリエンスに対応するためにビジネスを適合させてきました。モバイルアプリのリリースや、オンラインストア環境の改善など、デジタルトランスフォーメーションは、ミッションクリティカルな戦略となっています。たとえば、新型コロナウイルスの拡散を防止する手段として、非接触型の取引技術に投資することなどが挙げられます。フォーティネットの「Retail Security & COVID-19 Industry Survey 2020 Trend Report(小売のセキュリティ&新型コロナウイルスに関する業界調査2020年動向レポート、英語)」によると、調査対象の企業の58%が、非接触型の取引を採用したと回答しています。非接触型の取引技術を利用すると、健康は物理的に守ることができますが、サイバーセキュリティの衛生面で新たなリスクが生まれます。このことは、最新のFortiGuard Labsの「フォーティネット グローバル脅威レポート」の調査でも強調されており、2020年を通してIoTベースのIPSの脅威検出が広がっていると指摘しています。

多くの非接触型の決済技術はIoTを利用して支払いを迅速に処理することで、消費者のストレスを軽減しています。一方で、このことがかえって問題を大きくしているケースがあります。たとえば、お客様がスマートウォッチの画面をタップして商品の支払いを行う場合、売り場には、安全に懸念がある新しい技術が追加されることになり、サイバー脅威の可能性の新しい扉が開きます。

APT(持続的標的型脅威)への継続的な取り組み

小売業者がクラウド戦略を導入するのに伴い、デジタルフットプリントが増加し、攻撃対象領域が拡大します。一方で、ITインフラは複雑化しており、安全なアクセスの実現には困難を伴います。小売業者のITチームは、場合により、地理的に分散した複数の支店の場所にまたがる大規模なネットワークを管理しています。このような複雑さに加えて、小売業者はデータを保存、転送、収集していることも重なり、小売業者はサイバー犯罪者にとって格好の標的となっています。

小売業界は、個人データを収集するには非常に適した場所となっています。特にカード所有者のデータは、カード所有者の名前、クレジットカード番号(PAN)、およびセキュリティコード(CVV)などの豊富な情報が得られます。悪意のある行為者は、盗難された認証情報を使用してこれらのシステムやネットワークにアクセスし、権限のあるユーザーに偽装してデータを収集します。2020年の後半は、悪意のある行為者の活動が続き、APTの活動が増加しました。また、FortiGuard Labsの最新の「フォーティネット グローバル脅威レポート」によると、APTの攻撃グループは個人情報の一括的な収集を試みていると指摘しています。一例として、MUMMY SPIDERというグループは、アカウントの認証情報を盗難し、ローカルネットワークを横方向に移動することを期待して、電子メールを介した新しいバージョンのマルウェアを拡散していました。

進化する脅威動向に対する小売業者のサーバーセキュリティ戦略

小売業者が、このような新しいデジタルトランスフォーメーションのビジネスモデルに対応するには、早期に基盤を構築して、評判や売上にマイナスの影響を与える可能性のあるサイバー攻撃を防止する必要があります。この防御の戦略には、以下の要素が含まれていなければなりません。

セキュアSD-WANから開始

小売業者は、社内外のアプリケーションを含むITインフラが複雑化する中、クラウドセキュリティをより迅速に強化する必要があります。SD-WAN(ソフトウェア定義型広域ネットワーク)ソリューションを利用すると、柔軟性が高まるため、アーキテクチャの変更を迅速に実施して、ビジネス要件に対応することができますが、統合によってセキュリティが複雑(または不十分)になる場合が多くあります。この結果生まれた課題について、小売業者は、セキュリティが複雑化するビルトインもしくはオーバーレイアーキテクチャを採用するか、セキュリティを備えずマルチクラウド接続に移行するかのいずれかを迫られています。小売業者がセキュリティを犠牲にせずに、SD-WANによるパフォーマンスの利点とコスト削減を得るには、SD-WANソリューションにセキュリティを統合することが重要です。

セキュアSD-WANを企業側で利用することで、小売業者はネットワークファブリックにセキュリティを確実に組み込むことができます。同様に、このような複雑なクラウドインフラストラクチャ内では、従来のルーターでは必要な可視性が得られなくなっています。セキュアSD-WANには高性能なトラフィックシェーピングや管理プロファイルも備わっており、これらでビジネスクリティカルなトラフィックを優先することで、ネットワークの無秩序な広がりという問題を解決できます。

小売業者が利用するクラウドベースのアプリケーションが増加する中、従業員および顧客の両者にとって、SD-WANが提供する高度なネットワーク接続性と、悪意のある行為者を阻止するビルトイン型のセキュリティ機能が必要になっています。

ゼロトラストアクセスの導入

ゼロトラストアクセス(ZTA)アプローチは、導入が非常に難しいと考えられることが多く、セキュリティの有効性を高める方法を模索する企業に見過ごされています。ZTAは、適切なサイバーセキュリティコンロールを小売スペースに導入する上で非常に重要な要素の1つですが、このことがジレンマとなっています。

ZTAの基本的な考えである「誰も信頼しない」という言葉は、スパイ映画のように聞こえますが、実際は、ユーザーやデバイスのアイデンティティとアクセスを制御することに焦点を当てたアプローチです。小売業者にとって、ゼロトラストアプローチを導入すると、IoTデバイスに起因するセキュリティ問題に対応する必要があります。

小売業者に焦点を当てたZTA戦略では、非接触型決済とIoTに関連するリスクを防止するために、マイクロセグメンテーションを導入する必要があります。PCI DSS (Payment Card Industry Data Security Standard)では、小売業者はカード所有者のデータを管理するネットワークを分離する必要がありますが、マイクロセグメンテーションを導入することで、セキュリティ管理を強化し、PCI DSSのコンプライアンスを上回る堅牢なセキュリティ態勢を構築することができます。また、IoTデバイスを利用して購入できるように、非接触型決済技術を利用する専用のゾーンを構築することも検討する必要があります。これらのデバイスを利用した購入を分離することで、小売業者は悪意のある行為者の移動をそのネットワーク内に制限して、セキュリティが不十分なウェアラブル端末やその他のIoTデバイスに関連するリスクを減災することができます。

強力な認証要件の実行

認証情報の盗難を防止するには、「人的な要素」を保証する必要があります。小売業者各社で、顧客が利用するWebサービスやモバイルアプリケーションが増える中、顧客を第一に保護することによって、企業自身を守る必要があります。

すべてのWebアプリケーションは、8文字以上の長さのパスワードを設定し、大文字、小文字、特殊文字を1つ以上使用する必要があります。また、小売業者はセキュリティを最大限に高めるため、可能な限り、またはビジネス上に必要性に応じて適宜、多要素認証を要求し、アカウントのログインや作成の試行回数を制限することを検討する必要があります。また、地理情報を利用したフィルタリングを導入することも、Webアプリケーションへの悪意のある試行を追跡し保護する上で、評価すべき別の機能の1つです。

ビジネスのスピードに合わせて進化する小売業者のサイバーセキュリティ

小売業者は、クラウドのスピードに合わせてビジネスモデルを進化させており、サイバーセキュリティプログラムと同様に俊敏である必要があります。オンラインショッピングや新しいデジタルエクスペリエンスに慣れた消費者が増加する中、同じやり方では、多くの消費者は買い物をしなくなる可能性があります。ブランドの評判を守り、新しい収益源を確保するために、小売業者はデジタルトランスフォーメーション戦略のセキュリティ強化を後回しにするのではなく、最初に実施する必要があります。

同様に、小売業者は、これらを実現する新しいセキュリティ対策やテクノロジーを導入する必要があります。組織が新しいセキュリティ対策を導入するたびに、サイバー犯罪者はそれらを悪用して、機密性の高いシステム、ネットワーク、アプリケーションにアクセスするための新しい方法を模索しています。つまり、小売業者は、蔓延 / 巧妙化が続く攻撃から自身の環境を守るには、ダイナミックでアダプティブなセキュリティソリューションが必要になります。EコマースやPOSを利用しているため、小売業界はこれまで以上に多くの顧客のデジタルデータを収集、転送、処理、格納しています。一貫性があって安全なカスタマーエクスペリエンスを実現するためには、小売業者はデジタルトランスフォーメーションに包括的なアプローチを取り入れて、セキュリティを構築してネットワークに導入することが可能なテクノロジーやプラットフォームを模索する必要があります。