2025年にM&S、Co-op、Harrodsなどを襲ったサイバー攻撃は、IT問題に留まらず、サプライチェーン全体に甚大な影響を与えた。法律事務所TLTのEd Hayes氏は、小売企業がいまだサイバーリスクを狭く捉え、サプライチェーン全体にわたる「隠れたゲートウェイ」や、IT部門以外との連携によるリスクを十分に認識していないと指摘する。経営層がITをコストセンターと見なし、レジリエンスより効率性を優先する傾向があるため、実効性のある対策が進まない。今後は、コストとレジリエンスのバランスを再考し、サプライチェーン全体でのサイバーセキュリティを経営の中核課題とすることが求められる。
10のポイント
- サイバーリスクの認識不足: 小売企業はサイバーリスクをIT問題として狭く捉えがちであり、サプライチェーン全体のリスクとして認識が不十分である。
- サプライチェーン全体への影響: 2025年の大手小売企業への攻撃事例(M&S, Co-op, Harrods)は、システム停止、決済障害、棚の空き、多額の営業利益損失といったサプライチェーン全体の深刻な影響を示した。
- 隠れたデジタルエントリーポイント: IT部門以外(例: マーケティング部門)が契約する低価値のプラットフォームなどが、サイバーセキュリティチームの認識外でシステムへの「隠れたゲートウェイ」となりうる。
- サプライヤーリスクの過小評価: サプライヤーのサイバー成熟度が低い場合、その脆弱性が全体のサプライチェーン攻撃の侵入経路となる。Blue Yonderへの攻撃がStarbucksを含む複数小売に波及した事例がある。
- レジリエンスとコストの葛藤: 冗長性やバックアップシステムなどのレジリエンス強化策はコストがかかるため、CFOなどの経営層から「理論的リスクに対する不要な投資」として反対されやすい。
- 経営層のIT知識不足: CEOやCFOがITバックグラウンドを持たないことが多く、IT部門が「コストセンター」と見なされ、役員レベルでの戦略的影響力が低い傾向にある。
- 「ペーパーコンプライアンス」の実態: PCI DSSやISO 27001などの業界標準に準拠していても、実地での監査や訓練が不足しており、契約上の要件と実際の運用に乖離がある。
- 法規制への懐疑とインセンティブの重要性: 新しい法規制(例: UKのCyber Security and Resilience Bill)だけでは行動変容は限定的であり、レジリエンス指標とボーナスを結びつけるなどのインセンティブがより効果的である。
- AI導入による新たなリスク: AIはサプライチェーン最適化に貢献するが、入力データ操作による誤作動や自律的な意思決定メカニズムが、新たな攻撃対象となる可能性をはらむ。AIは人間の判断を代替するものではない。
- サイバーリスクの経営中核課題化: サイバーリスクを単なるIT部門の事後処理ではなく、サプライチェーンの中核的な経営規律として位置づけ、設計段階からの包括的な対策が不可欠である。
着目点
本記事が指摘する小売業界のサイバーセキュリティに関する課題は多岐にわたるが、特に重要なのは、サイバーリスクが単なるIT部門の技術的問題ではなく、サプライチェーン全体を巻き込む経営戦略上の課題であるという認識の転換である。2025年にM&Sなどが受けた攻撃は、物理的な棚の空きや巨額の営業利益損失に直結し、その影響の甚大さを示した。
多くの小売企業では、IT部門以外の部署がデジタルツールを導入する際にサイバーリスクを軽視したり、サプライヤーのセキュリティ体制を十分に検証しない「隠れたゲートウェイ」が多発している。また、経営層がITをコストセンターと見なし、レジリエンス向上のための投資を躊躇する傾向も根深い。これは、サイバー攻撃による潜在的な事業中断やブランド毀損のコストを過小評価していることに起因する。
今後は、サプライチェーン全体におけるデジタルエントリーポイントの可視化と厳格な管理、サプライヤーとの契約におけるセキュリティ要件の強化と実効性のある監査の実施が不可欠である。さらに、AIのような新技術の導入に際しても、それが新たな攻撃対象とならないよう、人間の監視と判断を補完する形で慎重に進める必要がある。サイバーセキュリティを事業継続と成長を支える経営の中核課題として位置づけ、コストと効率性だけでなく、レジリエンスを考慮した投資判断が求められる。
(※本記事の比較・考察セクションは、最新のAI(Gemini)による分析をベースに構成しています。)
