Robotic Process Automation (RPA)は、プロセスの合理化、標準化を行い、従業員の生産性を高めたり顧客満足度を向上させて企業の競争優位性を高める手段として、急速に人気を集めている。2020年になっていよいよ本格的な普及期を迎えつつある。しかし、一方でRPAが普及してくると、基幹アプリケーションにログインでき、重大な機密情報や個人情報にアクセスできるRPA運用のセキュリティ確保はとても重要な課題となってくる。
Contents
RPAでセキュリティを確保する重要性とリスク
強固で安全な自動化ソリューションを構築するために最初にやるべきことは、まず自動化に使われるソフトウェアや仕組みに必要な要件を理解することである。自動化により享受できるメリットだけでなく、どういうリスクがあるのか、それらはどうすれば軽減、追跡できるようになるかをあらかじめ計画しておくことが求められる。
使用する自動化ソリューションに設計の穴 (脆弱性)がある場合、悪意がある人間がシステムに侵入し、故意に、もしくは誤って、機密情報を盗み出され、組織の評価の低下や組織の運営が危険にさらされる可能性もある。
RPAセキュリティを担保する方法
RPAによる自動化に潜むいくつかのリスクに対応するため、RPAソフトウェアは特定の要件を満たす必要がある。ここでは主な5つの項目について触れる。
1. 多要素認証を使ったログイン
RPAを実行する前に認証を受けるように構成しておくべきである。デスクトップ型RPAでは認証なしで実行が可能になってしまうため、重要なデータやシステムを扱う作業にはお勧めできない。デスクトップ型の場合は必ずサーバ型機能を付けて、実行前に認証が走るタイプのものを選択する。
また、認証はLDAP/Active Directory/SAML2.0との連携ができるとアカウント管理が楽になるだろう。多要素認証をサポートしており、運用できる環境であれば尚良いだろう。
2. データの転送と保存の暗号化
重要なシステムにログインするためのアカウント/パスワード管理は厳密に行われる必要がある。これがないと、いくらアカウント/パスワードを秘匿しても、RPAの実行環境を盗まれてしまうとアカウント/パスワードが漏洩したのと同じリスクが生じるからだ。
RPAが利用するパスワードは、AES-256等で暗号化されたサーバ側のストレージに安全に保管され、しかもRPA管理者であっても個々のシステムのアカウント/パスワードがわからないよう、保管ストレージをIT管理者が設定し、中身は各システムを扱う管理者が管理するといった分業ができることが必須となってくる。また、通信はTLSを使ってエンド・ツー・エンドで安全に行われている必要がある。
3. 役割ベースのアクセス制御
RBACと略される「役割ベースのアクセス制御」は、各従業員が同じプラットフォーム上でそれぞれ定められた役割の機能にしかアクセスできないようにするための基本的な考え方である。組織内での権限と役割に基づいて、個々のユーザーに表示、作成、編集、変更などのさまざまなアクセス権限を割り当てることが可能である。また、監査ログなど重要な情報へのアクセスや、他部門の情報へのアクセスを防止するなどのきめ細かい制御も可能にする。
4. 監査ログによる追跡
組織内のさまざまなシステムにアクセスするRPAには包括的な監査ログ、レポート機能が必要である。最近では、自動化の履歴が正確に追えないRPAソフトウェアは、内部監査等で使用不可になる事例も出てきている。監査ログから異常なアクティビティを識別して警告することで、ロボットのエラー、従業員による悪用、悪意のあるコードによるハッキングなどを追跡してインシデント対応を行うことが可能となる。これにより組織のセキュリティとコンプライアンスを担保できる。
5. 運用ルールによる強化
これらに加えて、以下のような制限をRPA運用に設けることで安全性を高めることもできる。
- リモート実行の自動化の集中管理
- 自動化実行の時間制限
- 自動化を実行するデバイスのマウスとキーボードを無効にする
- 機密情報が画像で保存されないように、画面キャプチャ機能を無効にする
セキュリティ確保は必須事項
この記事で示したようなRPAのセキュリティ/コンプライアンスを確保する要件は、これからのRPA運用には必須である。これらの要件が標準機能として組み込まれたRPAソフトウェアを利用することで、組織の経営陣はセキュリティやコンプライアンスを損なうことなく自動化ソリューションを展開でき、自動化による多くのメリットを安心して享受できるようになるだろう。