小売・流通分野におけるデジタル化の多くの利点は、他に類を見ないほど優れている。 電子商取引、ビッグデータ、人工知能(AI)は顧客ロイヤルティを獲得するパーソナライズされたショッピング体験を実現したが、物流を変革したのはIT、運用技術(OT)、モノのインターネット(IoT)システムの融合である。スマート棚は品切れを減らし、販売時点情報管理(POS)端末は決済を迅速化し、統合されたジャストインタイム(JIT)サプライチェーンは廃棄物を削減する。
しかし往々にして、サイバーセキュリティ対策はこうした技術革新に追いついておらず、攻撃対象領域の拡大に伴う新たなサイバーリスクに小売業者は晒されている。本稿では、脆弱性が指摘されるOT IoT OT 業務のあらゆる側面に浸透している実態、それらがもたらすリスク、そしてそれらを管理する方法について考察する。
顧客データの漏洩だけが脅威ではない
今年初め、サイバー犯罪グループ「Scattered Spider」による一連の攻撃が英国と米国の大手小売業者を襲った。ソーシャルエンジニアリングを用いて顧客ロイヤルティプログラムのデータを身代金目的で奪い、闇市場で売却したのである。(アクセスを得るため、攻撃者は企業従業員を装い、ITヘルプデスクスタッフを騙して認証情報をリセットさせ、セキュリティ制御を迂回した。) ペイメントカード業界データセキュリティ基準(PCI DSS)が要求する強力な暗号化のおかげで、金融取引データは侵害が難しく、今回の事件でも被害はなかった。それでもなお、収益性の高い顧客データは様々な不正行為に悪用される可能性がある。
スキャッタード・スパイダーは、一度に一つのセクターを標的とすることで知られている——2023年にラスベガスでMGMリゾーツとシーザーズ・エンターテインメントを攻撃したことで初めて注目を集めた——その後、保険会社や航空会社へと標的を移している。小売業者は安堵の息をついているかもしれないが、他の場所で不意打ちを食らうリスクは依然として残っている。 スマート棚や自動倉庫物流、データセンターへのサイバー攻撃は、顧客データ盗難のような注目を集めないかもしれない。しかし、悪用可能な侵入経路として、これらは同様に迅速に業務を停止させ、復旧時間は指数関数的に長引く可能性がある。
サイバー接続型小売チェーン
現代の小売チェーンは複雑な事業運営であり、効率的なOT 顧客の安全・快適性をOT IT、IoT OT 依存している。ビル管理システム(BMS)と小売自動化システムの間で、大規模小売業者は数百から数千ものデバイスやシステムを保有しており、これらが改ざんされれば業務に支障をきたす可能性がある。以下に具体例を示す。
ビル管理システム
小売業者は店舗の効率性、安全性、収益性を維持するため、BMS(ビル管理システム)に大きく依存している。小売環境におけるBMSは、HVAC(冷暖房換気)、照明、電力、防火安全、セキュリティ、エレベーター、給水など、全ての建物の主要インフラを監視・管理する総合的な監視システムである。適切に管理されたBMSは、最適な室内温度、照明、空気質の維持を支援することで、顧客体験と快適性に影響を与える。また、エネルギー効率と運用効率の管理、コスト管理、資産保護も担う。
小売業務におけるBMSの重要性が高まるにつれ、エネルギー管理や予知保全のための標準的なITインフラやクラウドシステムとの接続性が増加し、高度なスマートビル統合やIoT も拡大している。この融合には重大なリスクが伴う。OT ネットワークは、IT環境に見られるようなサイバーセキュリティ機能を欠いている場合が多いからだ。例えば:
- 彼らは、ブルートフォース攻撃が容易なデフォルトまたはハードコードされた認証情報を使用している可能性があります。
- レガシープロトコルは暗号化されておらず、認証も必要としません。
- OT に対するパッチ(存在する場合)は、多くの場合、次のメンテナンス期間まで延期せざるを得ない。
- ベンダーやOEMは、機器の管理・保守のために頻繁にログインしており、多くの場合、自社の安全性が不十分なリモートアクセスツールを使用しています。これにより、サードパーティリスクが生じます。
POSNetworks
POSネットワーク(レジおよびセルフチェックアウト端末)は小売販売の基盤である。現金が減少する中、現在では多様なデジタル決済方法に対応している。 従来のカードスワイプ式POS端末は、決済処理業者への安全な専用回線に接続されている。一方、新しいワイヤレス・非接触型決済手段(ワンタップ決済、非接触型決済、スマートフォン決済)はセキュリティ面で劣る。これらはわずか数センチの近距離無線通信(NFC)に依存し、取引データは無線周波数信号で送信される。
スマートシェルフと移動式デジタルスキャナー
スマートシェルフは小売業界に革命をもたらした。価格設定から補充まで全てを自動化し、各コンポーネントが中央管理システムと無線で通信し、一連の動作を調整する。センサーが特定商品の在庫不足を検知すると補充システムが作動する。電子棚札により小売業者は個別の価格変更やメーカープロモーションの一括適用が可能となる。
もしサイバーセキュリティ投資の全てをITシステムに注ぎ込んでいるなら、自覚しているほど成熟したサイバーセキュリティ体制は整っていない。ITネットワークは攻撃対象領域全体の中で縮小しつつある一部に過ぎず、拡大している部分は最も理解が及んでいない領域なのだ。
こうした自動化が進んでも、人間がすぐに置き換えられるわけではありません。店頭では従業員が移動式デジタルスキャナーを使い、品切れ商品の補充指示、価格確認、顧客対応をその場でこなしています。倉庫ではスキャナーで新着商品の検品、発注書の照合、在庫登録が行われます。メーカーの営業担当者は独自のスキャナーを持ち込み、顧客の棚の正確な在庫数を把握し、製品の販売実績を追跡しています。
ここで説明するビル管理システムや小売自動化システムは、すべてIoT に依存しています。 これらのデバイスの多くは、旧式・独自仕様・非標準の組み込みOSを使用しており、現代的なITデバイスが備える高度なサイバーセキュリティ機能に欠けています。暗号化を有効化したり認証を要求したりといった基本的な保護策すら施されずに設置されるケースが少なくありません。このため標準的なITデバイスよりも侵害されやすく、インターネットに直接接続されているものも多数存在します。有線・無線を問わず、IoT 非標準プロトコルで通信するため、それらを理解する特別な監視が必要です。
倉庫におけるロボット工学とドローン
ロボットシステムは、商品のピッキングと移動の両方において、効率的な流通に不可欠である。自動倉庫システム(AS/RS)は、床面積を節約し、人間が移動できるよりも高く狭い通路を可能にするため、上方向に拡張される。ロボットアームは、注文を履行するためにビンから個々のアイテムを選択するなど、精密なピッキングに使用される。無人搬送車(AGV)は、事前に定義された経路に従って、重い荷物やパレットを一貫したルートで移動させる。 より高度な自律移動ロボット(AMR)は、センサー、カメラ、AIを活用し、動的な環境をナビゲートしながら障害物を回避します。これらのロボットはすべて、物品を安全に移動、持ち上げ、ピッキング、梱OT 、プログラマブルロジックコントローラー(PLC)やOT (OT OT に依存しています。IoT OT と連携し、環境に関するリアルタイムデータを収集・中継OT 、ワークフローの最適化やメンテナンス需要の予測など、分析を可能にします。
サイバーセキュリティを考慮せずに数十年の耐久性を前提に設計されたOT 脆弱ではないものの、倉庫用ロボットは依然としてサードパーティリスクに晒されている。HVACやその他のBMSと同様に、OEMベンダーまたはその認定請負業者がメンテナンスや運用に関与する必要があり、遠隔または物理的なアクセスが求められる。安全でない遠隔接続は悪意ある攻撃者が悪用する侵入経路となり、悪意のある内部関係者(認定請負業者を含む)が運用を妨害するコマンドを悪用する可能性がある。
ロボットに比べ、ドローンは小売倉庫では新参者だが、人間もロボットも到達できない場所へ進めるため急速に普及しつつある。ドローンはカメラとRFIDスキャナーを用いて倉庫の通路を飛行し、高い棚の在庫をカウントできる。屋外ドローンとは異なり、通常は中央倉庫管理システム(WMS)によって管理され、その特定環境に最適化された独自プロトコルで通信するため、屋外を飛行するドローンよりも攻撃を受けにくい。
サプライチェーン統合
サプライチェーンリスクは至る所に存在し、様々な意味を持ち得る。小売業にとって、それはしばしばJIT発注を指し、特に生鮮品に関して廃棄を回避するための重要な戦略的手段である。連携型サプライチェーンには、補充発注を自動で発動する在庫システム、統合された輸送ネットワーク、そして前述の通りシームレスな価格調整が含まれる。
最近のサイバー攻撃により、生鮮食品に関わるJIT(ジャストインタイム)サプライチェーンのリスクが注目された。ユナイテッド・ナチュラル・フーズ社(UNFI)は米国最大の公開食品卸売業者であり、アマゾン傘下のホールフーズ・マーケットの主要供給元である。 6月にサイバー攻撃で同社の発注・出荷システムが停止した際、UNFIは全米3万の小売顧客への供給を維持するため、手作業による流通と他卸売業者の協力を余儀なくされた。UNFIのようなベンダーは、在庫予測から配送スケジューリングに至るまで、顧客システムに深く統合されている。
データセンター
現代の小売業務では、リアルタイム取引処理を含む膨大なデータが生成され、安全に保管・管理される必要がある。ウォルマート、ターゲット、アマゾンといった大手小売企業は自社データセンターを構築しており、その他多くの大規模チェーンも同様である。ビジネス上極めて重要であるため、データセンターは高度なサイバー攻撃の標的となっている。 サーバーやアプリケーションへの直接攻撃による知的財産の窃取や身代金要求に加え、データセンターの稼働を支える接続されたスマートデバイスも標的となり、運用を妨害し広範な障害を引き起こす可能性がある。冷却装置や発電機からCCTVやビルオートメーションに至るまで、OT IoT データセンター内の最適なコンピューティング・ストレージ環境を確保する上で不可欠である。これら全てを保護しなければならない。
ITは小売業者の攻撃対象領域の中で縮小しつつある一部に過ぎない
業界を問わず、OT IoT デジタル資産全体に占める割合が増加しており、小売業界も例外ではない。2024年の調査によると、OT、IoT その他の専門システムは企業資産の42%を占め、中~高レベルの企業リスクの64%を占めている。IoT ITアプローチとは異なるツールが必要であるため、導入と成熟度はしばしば遅れるが、状況は変化している。
要するに、サイバーセキュリティ投資の全てをITシステムに注ぎ込んでいるなら、自覚しているほど成熟したセキュリティ態勢は整っていない。ITネットワークは攻撃対象領域全体の中で縮小しつつある一部に過ぎず、拡大している部分は最も理解が及んでいない領域だ。自社環境で稼働OT IoT 何か、その機能、通信相手、インターネット接続の有無を把握する必要がある。
Nozomi Networks どのようにNetworks
集中型クラウド管理、分析、レポート機能をNozomi Networks 、スーパーストア、地域配送センター、分散拠点を含む最大規模の攻撃対象領域をカバーします。ネットワーク、エンドポイント、ワイヤレスなど多様なセキュリティセンサー を活用し、環境全体を監視します。必要に応じてディープパケットインスペクション(DPI)を実施し、一般的なIoT 解析。デバイス動作、コマンド、脅威を完全に可視化します。 最も重要な点として、10年以上にわたり、当社はプラットフォーム内でAIと機械学習を活用し、資産発見とプロファイル強化、脅威および異常検知、リスク優先順位付け、修復アクションを推進してきました。
サイバーセキュリティリスクを事業全体で管理する準備が整い、小売店舗と倉庫のサイバーセキュリティリスクを完全に可視化したい場合は、今すぐお問い合わせください。
