今日、ホテルの安全を確保するには、防犯カメラやドアの鍵だけでは不十分です。サイバー攻撃はどの組織にも起こり得ますが、ホテルも例外ではありません。ホテルは、宿泊客のクレジットカード番号などの個人情報や金融データを大量に保管しているため、こうした情報を盗もうとする犯罪者にとって魅力的なターゲットです。そして残念なことに、サイバー犯罪者は、ホテルの Web サイトやバック オフィスでサイバー セキュリティ対策が不十分であったり、まったく実施されていないことに遭遇することがよくあります。サイバー攻撃が発生すると、盗まれるのはデータだけではありません。ホテルは、その評判に傷をつけ、金銭を失い、ゲストの体験を一瞬で台無しにする可能性があります。そのため、ホテルはサイバー セキュリティ対策を強化し、より厳格なアクセス制御やセキュリティ監査などの戦略を活用して、侵害の可能性を防ぐよう努めています。この記事では、今日のホテルが直面している脅威、ホテル業界におけるサイバー攻撃の実際の例、そしてホテルが次のターゲットにならないようにするために実施できる戦術について説明します。
ホテルが直面する一般的なサイバーセキュリティの脅威
サイバーセキュリティ攻撃はどのようにして起こるのでしょうか? ホテルで最も一般的なサイバーセキュリティの脅威をすでに 1 つまたは 2 つ目にした (または防いだ) ことがあるかもしれません。犯罪者がホテルのセキュリティ保護されたデータに侵入しようとする最も一般的な方法は次のとおりです。
フィッシング攻撃: この攻撃は、従業員を騙して機密情報を共有させる詐欺メール、テキスト メッセージ、または電話から始まります。たとえば、ホテルが OTA から送信されたように見えるメールを受信し、そのメールには、ホテルのリストが非アクティブ化されないようにリンクをクリックするように指示されている場合があります。このタイプの攻撃に気付いていない従業員は、リンクをクリックして、誤って金融情報や個人データを攻撃者と共有する可能性があります。
ランサムウェア攻撃: この攻撃では、悪意のあるソフトウェアが、身代金 (通常は暗号通貨による金額) が支払われるまでデバイスをロックします。この種の攻撃により、ホテルのソフトウェアが数日間使用できなくなる可能性があります。2023 年には、MGM Resorts がランサムウェア攻撃を受け、システムが60 時間オフラインになりました。これにより、PMS がダウンしただけでなく、キーカードの作成、支払いの回収、駐車場の管理もできなくなりました。
データ侵害: クレジットカード情報やパスポート番号などの機密情報の盗難は、データ侵害とみなされます。ホテルは大量のデータを扱っているため、データ侵害の大きなターゲットとなります。マリオットは 2018 年に大規模なデータ侵害の被害に遭い、5 億人を超える宿泊客の個人情報が漏洩しました。
内部脅威: サイバー攻撃の多くは攻撃を受けた組織の外部から発生しますが、内部犯行が発生することも珍しくありません。従業員がゲスト情報、財務データ、パスワードに幅広くアクセスできる場合、データの盗難やセキュリティ漏洩が発生する可能性があります。システムへの適切なアクセス制御を維持し、セキュリティ プロトコルに関する従業員の定期的なトレーニングを実施することで、内部脅威のリスクを最小限に抑えることができます。
世界有数のホテルブランドの10万人以上のエグゼクティブに加わり、最新の洞察を週に1回メールで受け取りましょう。
ホテルにおけるサイバーセキュリティ侵害の実例
上で述べたように、ホテルではサイバーセキュリティ攻撃が実際に発生しており、残念ながら頻繁に発生しています。過去数年間にニュースの見出しを飾った 2 つの大きなサイバーセキュリティ インシデント、マリオットのデータ侵害と MGM へのランサムウェア攻撃について聞いたことがあるかもしれません。
2014年から2018年にかけて、マリオットはサイバーセキュリティ攻撃を受け、最大5億人の過去の宿泊客の個人情報が漏洩しました。ハッカーは住所、メールアドレス、電話番号、さらにはパスポート番号やクレジットカード番号などのデータを入手しました。どのようにして起こったのでしょうか?マリオットによると、データは保護されていたものの暗号化されていなかったため、ハッカーがマリオットの予約システムに侵入するとすぐに、簡単にデータを盗むことができたとのことです。マリオットは罰金として約2,400万ドルを科され、この事件は史上最大のデータ侵害事件の1つとして歴史に名を残しています。
2023年9月、MGMは別のタイプのサイバーセキュリティ攻撃に見舞われました。ランサムウェア攻撃により、ゲスト対応システムとバックオフィスシステムが数日間停止し、推定1億ドルの収益損失が発生しました。ゲストはMGMのキーカード、スロットマシン、ATM、駐車システムなどに問題があると報告し、事件はニュースで取り上げられました。MGMが攻撃者に身代金を支払ったかどうかは明らかではありませんが、MGMが攻撃される直前にシーザーズも同様の攻撃を受けており、シーザーズはハッカーに約1,500万ドルの身代金を支払い、盗んだデータを公開しないことに同意しました。
ホテルにおけるサイバーセキュリティのベストプラクティス
どのホテルもサイバーセキュリティ攻撃の被害者になりたくはありません。では、どうすればインシデントの発生を防げるでしょうか? 幸いなことに、データを安全に保ち、標的になることを回避するための簡単なベストプラクティスがいくつかあります。そのうちのいくつかは今日から実践できます。
強力なアクセス制御を実装する: 機密情報を格納するシステムでは、ロールベースのアクセスを構成して、そのデータへの可視性を本当に必要とする従業員だけがデータにアクセスできるようにする必要があります。すべての従業員がすべてのシステムの管理者になる必要はありません。さらに、セキュリティをさらに強化するために、多要素認証を標準にしてください。
定期的な従業員トレーニング セッションを開催する: 多くの場合、従業員はフィッシングの試みを見分ける方法を知らないため、詐欺メールを誤ってクリックします。従業員がフィッシングの試みやその他のサイバー脅威を認識できるようにし、これらのトレーニング セッションを利用して、ホテルの最新のサイバー セキュリティ プロトコルを従業員に常に最新の状態に保ってください。
ゲスト用 WiFi ネットワークのセキュリティ保護: ホテルの機密データを安全に保つには、ホテル内に 2 つの WiFi ネットワーク (ゲスト用と社内用) を用意する必要があります。社内ネットワークはパスワードで保護し、組織外のユーザーはアクセスできないようにする必要があります。
データを暗号化する: データが暗号化されていないために盗難されるリスクがあるマリオットのような状況に陥らないように注意してください。機密データを送受信する場合でも、単に保存する場合でも、支払いシステムと予約データベースは完全に暗号化する必要があります。
定期的なセキュリティ監査を実施する: サードパーティのサイバーセキュリティベンダーと協力してセキュリティリスクを評価し、定期的に侵入調査を実施します。
インシデント対応計画を策定する: 最悪のシナリオを考えるのは決して楽しいことではありませんが、サイバーセキュリティ侵害に自分やチームがどう対処するかの計画を策定しておくのは良い考えです。インシデント発生中もホテルの運営を継続し、影響を最小限に抑えるために迅速に対応する方法についてよく考えてください。
ホテル向けサイバーセキュリティツールとテクノロジー
データを安全に保つために役立つツールやテクノロジーは何でしょうか? 危険なマルウェアを防ぐために、オンプレミスのデバイスには少なくともファイアウォールとウイルス対策ソフトウェアをインストールする必要があります。侵入検知システムは、悪意のあるファイルがダウンロードされたり、権限のないユーザーがデバイスにアクセスしたりした場合に警告を出すこともできます。ゲストデータを送信または収集する場合は、トークン化システムを使用してデータを暗号化し、転送中のデータ漏洩の可能性を排除することも賢明です。
とはいえ、AI 駆動型サイバーセキュリティ ツールやブロックチェーンなどの新興技術は、多くの種類のトランザクションにさらに高いレベルのセキュリティを追加することを目指しています。これにより、パスワードやその他の潜在的に脆弱なアクセス キーが不要になる可能性があります。
ホテルがゲストデータを保護し、コンプライアンスを維持する方法
ホテルは、電子メール アドレスからパスポート番号まで、多くの機密性の高いゲスト データを扱っているため、これらのデータを保護するだけでなく、現地の規制に準拠することも重要です。ホテル業界に特に関係する規制がいくつかあります。
GDPR: 一般データ保護規則は、企業が個人データをどう扱うべきか、どう扱うべきでないかについて基準を定めた欧州連合の規則です。Cookie の保存に同意するかどうかを尋ねるポップアップが Web サイトに表示されるようになったことに気づいたかもしれません。この同意は、最近施行された GDPR の結果です。欧州のユーザーにサービスを提供する Web サイトを持つ企業は、GDPR に準拠する必要があります。準拠しない場合は、法的措置を受けるリスクがあります。
CCPA: GDPR をモデルにしたカリフォルニア州消費者プライバシー法は、ユーザーが自分に関するどのようなデータが収集され、どのように使用され、どこに保存され、どのように削除されるかを知ることを保証する州法です。
PCI DSS: クレジットカード データに特化して、Payment Card Industry Data Security Standards では、推奨されるセキュリティ プラクティスを遵守していることの年次検証に加えて、支払い情報を収集して保存する際に企業が従うべき標準を概説しています。
これらの規制を遵守し続けることで、機密データを安全に保管し、法的罰則のリスクを回避できます。
ホテルのサイバーセキュリティの将来動向
これで、ホテルのデータとデジタル インフラストラクチャを安全に保つ方法がわかりましたが、新しいテクノロジーの台頭で何が期待できるでしょうか。いくつかのテクノロジーの進歩により、セキュリティ リスクとデータ保護に細心の注意を払う必要が出てくることは間違いありません。
ホテルではスマートロックやスマートスピーカーなどの IoT (モノのインターネット) デバイスの使用が増えるにつれて、保護すべきデバイスも増えるため、安全な WiFi ネットワークと適切なアクセス制御がさらに重要になります。
また、顔認識や指紋スキャンなどの生体認証セキュリティ対策の普及により、より機密性の高い個人識別情報が安全に送信および保存されるようになります。ただし、生体認証はシステムや物理的なスペースへのアクセスをより適切に制御するのに役立ちます。パスワードは簡単に共有できますが、指紋は共有できません。
デジタルゲストエクスペリエンスへの移行は、サイバーセキュリティリスクの防止に関しても複雑さを増しています。たとえば、客室へのキーレスエントリーには多くの利点がありますが、ハッカーが客室に不正に侵入するリスクも生じます。同様に、モバイルチェックインはフロントデスクで列に並ぶよりも速くて便利ですが、ホテルは多くのデバイスやシステムにわたってゲストデータを安全に保つために、より注意を払う必要があります。
ホスピタリティ業界は膨大な量の機密データを扱っており、サイバー攻撃の格好の標的となるため、サイバーセキュリティを理解することはホスピタリティ業界の人々にとって非常に重要です。ホテル経営者は、フィッシング、ランサムウェア、マルウェアなどの手法を使用するサイバー犯罪者から、クレジットカードの詳細、パスポート番号、予約システムデータなどのゲスト情報を保護する必要があります。ホテルチェーンは Wi-Fi ネットワークとモノのインターネット (IoT) デバイスを管理しているため、脆弱性によりデータ漏洩や個人情報の盗難が発生する可能性があります。業界では DarkHotel や Marriott の侵害などの事件が発生しており、強力なサイバーセキュリティ対策が緊急に必要であることが実証されています。フィッシング攻撃やソーシャル エンジニアリング詐欺により、ゲストデータ、POS システム、クレジットカード情報が侵害され、ゲストの全体的な体験に影響が及ぶ可能性があります。これらの脅威に対抗するには、ホスピタリティ企業は、不正アクセスを防ぐための定期的な更新、認証プロトコル、ファイアウォールなどのネットワーク セキュリティ ツールが必要です。サイバーセキュリティ トレーニング、ウェビナー、リスク評価により、サイバーセキュリティの意識を高め、従業員がフィッシング メール、DDoS 攻撃、潜在的な詐欺を識別できるようにすることができます。 PCI コンプライアンス、強力な情報セキュリティ対策、データ保護プロトコルを採用することは、顧客情報を保護し、ホテルのサイバーセキュリティ対策に対する信頼を確保するために不可欠です。
サイバーセキュリティ インシデントのリスクは無視できないほど大きく、損害も甚大です。廊下や客室に火災検知システムを設置するのと同じように、アクセス制御、システム、プロトコルを実装して、ゲスト データとホテルの評判を安全に保つ必要があります。サイバーセキュリティのベスト プラクティスは常に変化しているため、侵害の標的にならないように、最新の戦略を常に把握しておくことが重要です。
