小売業はなぜ危ない サイバー攻撃にどう立ち向かうか

サイバーセキュリティの取り組みには、業界ごとに濃淡がある。金融業が先頭を走り、サービス業は比較的遅れていた。2023年に入り小売業が業界全体のサイバー保護に取り組む動きが始まった。

[David Jones，Cybersecurity Dive]

　個別の企業だけではサイバー攻撃の脅威に対抗することが難しい場合がある。そこで金融業では脅威情報を共有するなど業界全体の取り組みが進んでいる。2023年に入り、小売業でも業界一丸となった対策が始まった。

「オムニチャネル購買」とサイバー脅威の関係とは

　全米小売業協会（NRF）は悪質なサイバー攻撃と戦い、顧客データの保護を強化するための対策を打ち出し、Retail＆Hospitality Information Sharing and Analysis Center（RH-ISAC：小売・接客業情報共有・分析センター）とパートナーシップを結ぶことを2023年1月10日に発表した（注1）。この2つの組織には、中規模から大規模の小売業者をはじめ、それぞれの組織に既に多くの会員が参加している。

　世界最大の小売業団体であるNRFとRH-ISACが協力する内容は、脅威情報の共有や仮想脅威演習の計画、連邦規制当局との取り組みの調整、サイバーセキュリティ関連の調査などだ。

　今回のパートナーシップは、世界的なパンデミックの影響から経済が回復し、消費者のオムニチャネル購買（実店舗やECサイト、アプリケーションなどさまざまな経路で取引すること）へのシフトが加速する中、小売業に対する脅威の動きが活発化しているタイミングで実現した。

　NRFのクリスチャン・ベックナー氏（リテールテクノロジー・サイバーセキュリティ担当バイスプレジデント）は次のように述べた。

　「サイバー攻撃の観点から企業全体を保護することが目的だ。店舗運営やeコマース運営、サプライチェーンなど、企業の立場で行っている全てのことをシームレスに保護できるようにする」

　Veracodeが2022年11月に発表したレポートによると（注2）、小売業や接客業が利用するアプリケーションの約4分の3にはセキュリティの脆弱（ぜいじゃく）性があり、そのうちの約5つに1つは深刻度が高いという。

　NRFはRH-ISACとの連携を強化することで、既存の脅威共有ポータルサイト「NRF Cyber Risk Exchange」を段階的に廃止する予定だ。

　RH-ISACのスージー・スクワイア氏（プレジデント）は「当会が提供するのは、会員企業との脅威の共有による情報とインテリジェンスだ」と述べている。

出典：NRF forms cyberthreat intelligence partnership with RH-ISAC（Cybersecurity Dive）

注1：Retail & Hospitality ISAC and National Retail Federation Partner to Enhance Cybersecurity in the Retail Industry

注2：Three-quarters of retail, hospitality applications have security flaws（Cybersecurity Dive）