RPAのセキュリティは安全?脅威と対策を解説

2019年12月13日

RPAのセキュリティイメージ

RPAのセキュリティ上の脅威にはどのようなものがあるのでしょうか。業務の自動化で効率性や生産性の向上を図れるため、RPAの注目度は高まり、導入に意欲的な企業も増えています。ところが、ロボットの管理や運用方針を誤ると、重大なセキュリティリスクを伴うことを知っておく必要があります。

RPAツールだけでなく、自社のIT資産を保護するためにも、RPAは適切なセキュリティ対策で安全性が確保されたうえで運用されるべきです。 今回はRPAのセキュリティをテーマに掲げ、RPAに関わるリスクや実施すべき対策を丁寧に解説します。

RPA導入後に想定されるセキュリティリスク

RPA化によって作業スピードが飛躍的に向上して、業務効率化や人件費削減などの効果が見込める一方で、RPAツールがトリガーとなってシステム全体が脅威に晒されるリスクがあります。人間と違ってロボットはミスを起こさないという思い込みを排除し、設定ミスやウイルス感染などが原因で誤作動・情報漏えいが起こり得ることを十分認識しておくべきです。 そこでまず、RPAの導入によって発生する可能性のあるセキュリティ上の問題やリスクご紹介します。

ロボットの誤作動

RPAツールには、AI(人工知能)のような自己学習機能はありません。誤った処理や古くなった処理を自ら修正することは不可能です。 そのため、業務フローやシステムの仕様変更が生じた場合や、ロボット開発時の設定ミス、ロボットが扱うデータの誤り、RPAベンダーが想定していない処理の組み込みなどが原因で誤作動を起こすことがあります。

誤作動を起こしたロボットはシナリオ(作業の手順やルール)を書き換えない限り、誤った処理を実行し続けてしまいます。管理者がその都度、シナリオを修正して上書きしなければなりません。 シナリオが修正されない限り、メールの誤配信やWebシステムへの誤ったデータ・ファイルのアップロードなどの誤処理が繰り返され、意図しない個人情報や機密データの流出リスクが伴うことを念頭に置いて、十分に注意する必要があります。

外部からの不正アクセス

脅威は外部からの攻撃だけとは限りません。ロボットの使用権限やアクセス権限を社内の人間が不正使用して、機密情報が流出したり、データが改ざんされたりする恐れがあります。 また、RPAが複数の部門にまたがって稼働する場合は、ロボットの設定ミスが原因で本来アクセス権を持たないリソースが、予期しない形で不正使用される可能性も想定しておくべきです。

野良ロボットの発生

野良ロボットとは、管理者の異動や退職によって管理者不在となったRPAロボットや、試作あるいは開発を外部委託したロボットを管理できず、「野良化」したロボットを指します。 現場がロボットを自由に作成できる状態でロボットが増産され、管理が追い付かなくなることが、野良ロボット増殖の原因です。

RPAロボットはシナリオに記述された指示を忠実に実行してくれるのが利点ですが、これが仇となります。 ロボットが野良となった後に業務プロセス・システム変更が生じたり、ロボット担当者の異動・退職に伴う使用権限の変更があったりしても、野良ロボットにはそれらの変更は反映されません。 最後に設定されたシナリオを再現し続けてしまい、情報漏えいやデータの上書きなどのリスクがあります。

資料ダウンロード

RPAの安全性を確保するセキュリティ対策

RPAにおけるセキュリティリスクのタイトルイメージ

RPAはほかの情報システムと同様に、脅威やリスクと隣合わせであることはお分かりいただけたでしょうか。 RPAツールを安全に運用するためには、社内システムに適用するセキュリティと同等、あるいはそれ以上のセキュリティ対策が必要です。 ここからは、RPAのセキュリティを強化する方法を解説します。

IT部門と非IT部門の連携

RPAのロボットは特殊なプログラミング技術がなくても、比較的容易に作成することができるように設計されおり、 RPAロボットの開発も非IT部門主導で行われるのが一般的ですが、ロボットが稼働するパソコンやサーバーなどのリソースはIT部門が保守・運用しています。 そこにセキュリティに関するITリテラシーが十分とは言えない社員が作成したロボットが投入されると、先ほどご紹介したさまざまなセキュリティリスクを伴うのです。

ロボットを作成する際は、現場とITの部門とが連携して社内ITとの整合性をすり合わせ、ロボットにもセキュリティポリシーを適用する必要があります。

ロボットの管理

ロボット管理はRPAのセキュリティを確保する上で重要なファクターです。対策の具体例を挙げてみます。

  • ロボットの権限の管理
    • ロボットの使用権限を持つ人物にのみ、所定のアクセス権限を付与します。逆説的な例を挙げてみましょう。営業部の一般社員が扱うRPAには、経理部の帳簿へのアクセス権は与えるべきではありません。
  • RPAツールのバージョン管理
    • ベンダーが提供するソフトウエアの最新バージョンには、RPAツールのセキュリティ対策が含まれることもあります。新しいバージョンがリリースされたら、速やかにロボットに適用してください。
  • ロボットIDの管理
    • ロボットにIDを割り振り、どのロボットがどの部門・業務で使用されているかを管理します。ロボットが新たに開発されたら、決められた部門・担当者へ届け出る仕組みがあると良いでしょう。この方法は野良ロボット対策にも有効です。

通信やパスワードの暗号化

R先にご説明したロボットの使用権限やシステムへのアクセス権限に加えて、RPAツールが使用する通信やパスワードを暗号化すると、セキュリティ強度が高まります。 RPA化した業務でアクセスするファイルは、特に暗号化が推奨されます。万が一ロボットが第三者に乗っ取られてファイルが不正取得されても、暗号化されていればファイルに価値はなく、セキュリティ上の最後の砦と言っても過言ではありません。

メンテナンスとバックアップ

RPAツールやロボットは、社内システム・アプリケーションと同様に定期的にメンテナンスとバックアップを行います。特に注意したいポイントは次の2点です。

  • エラーログの収集・分析
    • エラーや異常終了によってRPAが担当している業務が停止すれば、損害につながります。エラーログを収集・解析してエラーの詳細や対処方法を割り出し、ロボットの設定に追加する仕組みが必要です。
  • 障害・災害時のリカバリー
    • 障害・災害時にほかのロボットでバックアップできる体制を整えておきましょう。特にサーバーやクラウドで稼働するロボットは、システムダウンの影響を受けやすいです。

セキュリティ対策でRPA運用の安全性を確保

RPAは厳密には社内システムには区分されませんが、今回ご紹介したようなサイバー攻撃や内部不正のリスクを抱えている点では、社内システムと同等の脅威に晒されていることが分かります。

ロボットは人間の何倍もの処理スピードで業務をこなすため、ロボットが実行するすべての操作やすべてのエラーを人間が把握するのは不可能に近いと言えるでしょう。そのため、運用中の情報システムと同レベル、あるいはそれ以上のセキュリティ対策を行って安全性を高めるべきです。

またRPAのセキュリティ対策を実施するには、RPAが自動化する業務状況を常に把握しておく必要があります。 株式会社テンダのRPA導入支援ツールの「D-Analyzer(ディーアナライザー)」は、パソコンの操作ログを自動収集・分析して、業務プロセスを専用画面で可視化する機能を備えています。 RPAが担うすべての作業とアクセスするリソースを自社内で把握できる状態にして、貴社のRPAセキュリティ対策に活かしてみてはいかがでしょうか。

資料ダウンロード