IoTは、実用的なインサイトを通じて顧客の購買意思決定を促進し、接続されたエッジデバイスでサプライチェーンのアウトプットを改善し、店舗で卓越したショッパーエクスペリエンスを提供するなど、小売部門を変革している。IoTは、物理的な世界とデジタルの世界をつなぐエコシステムを成長させる機会を小売業者に提供する。防犯カメラ、キオスク端末、センサーなど、小売店のコネクテッドデバイスの数は飛躍的に増加している。最近のガートナーのレポートによると、2020年には世界で約58億個のコネクテッド・オブジェクトが存在するという。小売分野では、4億4,000万台のコネクテッド・エンドポイントが存在する。
IoTは、カスタマー・エクスペリエンス、サプライ・チェーン、新たなチャネルや収益源などの分野で、小売企業に可能性を提供している。中でもIoTイノベーションは、小売業者がロボットの販売アシスタントを配備し、RFIDタグで商品を監視し、スマートセンサーを使用し、スマート棚を使用して在庫管理する世界を可能にした。
このような幅広いスマートデバイスの相互接続性により、小売業界の領域はセキュリティとプライバシーに関する様々な問題に直面している。あらゆる物理デバイスのネットワーキングとセンシング機能により、最新のサイバー攻撃を受けやすくなっており、ユーザーのプライバシーが危険にさらされている。例えば、アマゾンのチェックアウト・フリー・ストアを例にとると、膨大な顧客情報、カードデータ、商品の傾向、さらには何に似ているかといった情報までが、IoTセンサーによって収集され、保管されているはずだ。その情報の漏洩は、アマゾンとその顧客の両方に影響を与える可能性がある。
先進的な小売業者が知っておくべき課題と、それに対処するための潜在的な取り決めを探ってみよう。
小売IoTのセキュリティ脆弱性
小売IoTのセキュリティ脆弱性は、エッジ接続デバイスの課題とソフトウェアセキュリティの課題の2つに大別できる。エッジ・コネクテッド・デバイスの脅威は、IoTデバイスのユビキタスで異質な性質に起因し、ソフトウェア・セキュリティの脅威は、機能性と安全なネットワークを達成するために実施されるべき原則に関連している。エッジ接続デバイスの脆弱性は、一般的に無線技術やブルートゥース技術に関連しており、一方、ソフトウェア・セキュリティの課題は、完全性、認証、エンド・ツー・エンドのセキュリティ、機密性などによるセキュリティを確保する能力を必要とする。
POSセキュリティの脆弱性
POSシステムに大きな脅威がある理由は、暗号化されていないデータにある。これらのシステムは毎日何百件もの取引情報を収集するため、攻撃者にとってはまさに金鉱となる。さらに、これらのシステムは、実際に利用されている性質上、マルウェアにもさらされている。
完全な決済を通じて、プロセスデータは何度も公開され、新たな高度な脅威に対して脆弱になる。例えば、アメリカの小売業者であるターゲットは、4,100万人の顧客のペイメントカードと6,000万人以上のターゲットの顧客の連絡先情報が影響を受けたPOS侵害を経験した。
サイバー攻撃からPOSシステムを守る
定期的な脆弱性スキャン、セキュリティパッチの導入、エンド・ツー・エンドのPOSデータの暗号化により、小売業者はネットワーク上のデバイスを特定し、システムを保護するためのポリシーを実施することができます。
クラウドベースのアプリケーションの脅威
クラウドに接続されたキオスク端末、エンドレスアイル、デジタルサイネージは、サイバーハッカーにとって新たな標的となり、潜在的な攻撃プラットフォームとなっている。システムの完全性、可用性、機密性は、脅威の3つの主要な形態である。
最近の例では、アメリカのセルフサービス式食品販売会社であるアバンティ・マーケッツが、キオスク端末で利用者から収集した決済カードの詳細や生体情報までもが危険にさらされる可能性のある攻撃を受けた。
クラウドベースのアプリケーションを保護する方法
小売企業は、不審な動きがないかネットワークを継続的に監視するという考えを受け入れなければならない。クラウド・アプリケーションの脅威が発生した場合、小売企業のクラウド・ジャーニーのあらゆる段階でSSL/TLSを使用してクラウド・インフラを保護することが重要である。それに伴い、Trusted Platform Moduleを使用したコンフィギュレーションとデバイスIDの適切なアクセス制御が重要になる。
小売企業は、クラウドアクセスセキュリティとクラウドワークロード保護アプリケーションを導入することで、さまざまなクラウド状況に対する可視化とアクセス制御を一元化することもできる。
ウェブアプリケーション攻撃
この領域では、様々な IoT ベースのウェブ・アプリケーションが脅威の標的となっている。これらの攻撃は、モバイルやデスクトップベースの安全でないアプリケーションによって発生します。攻撃の種類にもよりますが、攻撃者は機密性の高い顧客情報のデータベースにアクセスしようとしたり、悪意のあるコードを注入してユーザから機密情報をだまし取ろうとしたりします。小売業者を標的とするサイバー脅威の大半は、ウェブアプリケーション攻撃です。例えば
- クロスサイトスクリプティング(XSS)攻撃。
- コマンド・インジェクション。
- クッキー中毒。
ウェブ・アプリケーション攻撃に対するセキュリティ・ソリューション
無線侵入防御システム(WIPS)の使用、ウェブ・セキュリティ・ソフトウェアのテスト、モバイル・アプリケーションのセキュリティ・テスト、ゲートウェイやファイアウォールでの高度なセキュリティの使用などは、強力なネットワーク・セキュリティの実現に役立つ簡単な対策である。セキュリティ・テイスティングの助けを借りて、小売業者はユーザーとエンティティの行動分析(UEBA)と攻撃者を誘惑するために計画された偽のターゲットの使用に基づいて、内部の脅威を特定することができます。
DDoS攻撃
DDoS脆弱性とは、さまざまなソースからのトラフィックでオンライン・サービスを圧倒し、アクセス不能にする試みである。攻撃者は、ウェブサイトのメッセージ、電子メール、ソーシャルメディアを通じて悪意のあるソフトウェアの脅威を広めることにより、感染したPCのネットワーク(「ボットネット」)を形成します。
ベライゾンのデータ侵害調査報告書(DBIR)によると、DDoSの脆弱性は小売業内部で最もよく知られたタイプの攻撃である。車両追跡から在庫管理まで、幅広い業務を近代化するためにIoTアイテムを送り込む小売業者の数が拡大しているため、このような脅威の危険性は根本的に高まっている。
IoTプロトコルの不適切な使用は、通信ベースの脅威につながる可能性がある。(DDoS)は潜在的な脅威であり、小売業界のデータと情報セキュリティに影響を与える可能性がある。
DDoS攻撃の管理
アプリケーション・レイヤー・セキュリティ・テストとZed Attack Proxyを導入することで、小売業者は高いアクセシビリティとビジネスの継続性を提供し、潜在的なDDoS攻撃に対抗することができます。もう一つの選択肢は、クラウドベースのアンチDDoSソリューションを設定し、あらゆる種類の悪意のあるトラフィックを迂回させることです。
デジタル・リテール環境におけるさらなる脅威
- Bluetooth対応のバーコードスキャナー:サイバー攻撃者は、ブルートゥース関連の脆弱性を利用してこれらの機器をハッキングし、商品の価格を変更したり、顧客情報を狙って大規模な攻撃を行ったりすることができる。
- Wi-Fiに接続されたプリンター:オープンホットスポットプリンターは、ハッカーがウェブアクセスコントロールを回避し、データにアクセスすることを可能にする可能性があります。
- 生産ラインのセンサー:倉庫の自動制御やスマートセンサーが危険にさらされ、納期遅延を引き起こす可能性がある。
結論
組織は、システムとアプリケーションの両方のレベルで、マルウェア、脆弱性、ウイルス、設定ミスがないか、ITインフラを一貫してチェックする必要がある。これらの手法以外にも、小売業者は、信頼されたプラットフォーム・モジュールを使用して、コンフィギュレーションとデバイス・アイデンティティの適切なアクセス制御を確実に行う必要がある。サイバー犯罪者がより最新のアプローチを採用する中、小売業者はサイバーセキュリティの問題に対応するため、上記の観点に集中しなければならない。IoTの正確な可能性は、それが安全である場合にのみ生じる。
eInfochipsはサイバーセキュリティサービスを提供することで、IoT革命を実現します。脅威モデリング、セキュリティ設計の実装、脆弱性管理により、お客様のIoTデバイスセキュリティの評価、改善を支援します。小売業界はIoTを始めたばかりかもしれませんが、eInfochipsのサイバーセキュリティソリューションがあれば、安全性と保護性を同時に維持することができます。
詳細については、今すぐお問い合わせください。
