RPAとセキュリティ

RPAは、人間が行なっていた作業をロボットに代行させるツールなので、RPAツールがデータを保有することはありません。しかし、個人情報などの重要なデータを取り扱う業務をRPAで自動化した場合、次のようなデータ漏えいが想定されます。

  • IDとパスワードといったデータベースヘのアクセス情報
  • 処理途中で一時的にローカルに保存したデータ

また、デスクトップの作業を自動化するために、担当者が利用するパソコンにRPAをインストールしている場合、担当者が誤って標的型メールをクリックしたら不正な動作をするワークフローが登録され、知らぬ間にロボットが動いて重要情報を搾取していた。そんなRPA固有のリスクも考えられなくないのです。

現状、RPAは自己完結型ですが、自らが判断して作業することはないので、人間が作業する際と同様、個々のロボットに対してアクセス権限の設定や監視を行うことが、セキュリティ対策上重要です。

今回はRPAとセキュリティについてご説明いたします。

RPAで処理するデータのセキュリティに関わるリスク

多くの企業は、社内業務で機密性の高い顧客リストや個人情報などを取り扱う場合、会社ごとに情報セキュリティ対策を定めて実施しています。しかし、RPAを導入することで、情報セキュリティ対策の前提や要件が変化してしまうことも少なくありません。

そのため、業務におけるセキュリティ管理のリスクが再評価されず、情報セキュリティ対策の見直しが不十分なままRPAの導入が進められると、次のような問題を引き起こす可能性があります。

  1. 既存の業務環境と、RPA導入後の業務環境との間で生じるセキュリティ管理やセキュリティ対策上の要件の変化に対して十分な注意が払われず、見落とされてしまう。
  2. セキュリティ対策が適切に実施されず、セキュリティ管理の水準がRPAを導入する前よりも低下する。
  3. セキュリティ対策の不備によって、機密性の高い情報への不正アクセスや、外部への情報の流出などの問題が発生する。

セキュリティを脅かすものとして考えられる事象と対策

セキュリティが脅かされる場所としては、ハードウェアとしてのサーバー、ネットワーク機器、デスクトップ、サーバーとデスクトップ内のアプリケーションとデータなどが考えられます。RPAの場合、セキュリティ脅威の主な事象は以下の通りです。

ロボットファイルの改ざん

開発者が定義した処理、例えば毎日もしくは定期的に実行されている処理が改ざんされた場合、甚大な被害を受けます。

ロボットファイルヘの不正アクセス

アクセス権限のない人間がロボットファイルにアクセスすることで、ロボットファイルがスケジュール通りに実行できない、業務上秘匿にしているロボットの存在が社外の人に知られてしまう可能性があります。

データの漏えい

ロボット実行中に、あるシステムから取得したデータを別のシステムにコピーする際に、データファイルやデータベースに対象データを保持します。このデータに対して不正なアクセスがあると、漏えいが生じることが想定されます。

管理ツールとロボットファイル間の制御

管理ツールと各ロボットの間で、データをやり取り中に漏えいが発生する可能性があります。

野良ロボット

放置されたままになっている、いわゆる野良ロボットについては、従来のプログラム管理同様、稼働場所や作業内容、バージョンの管理を行なうことが重要です。

セキュリティ対策

独自のセキュリティ機能を備えているRPAツールもありますが、設計・開発時や運用時に工夫することで、セキュリティ対策を施す方法があります。個々のセキュリティ脅威に対する対策をまとめると以下の通りです。
セキュリティの脅威と対策例

セキュリティの脅威

対策例

ロボットファイルの改ざん ロボットファイルの暗号化
ロボットファイルヘの不正アクセス ・細かいレベルでの権限管理
・デスクトップ操作の監視
データの漏えい ・取得した外部データの暗号化
・表示データのマスキング
管理ツールとロボットファイル間の制御 ロボットファイルと管理ツールの間の通信データはSSL(Secure Sockets Layer)で暗号化するとともに、IDとパスワードによるユーザー認証機能を備えている

中小企業でもRPAのリスク管理は必須

今、中小企業をサイバー攻撃の対象にするケースが増加しています。大手企業の場合、専門の部署を設けるなどセキュリティ対策を万全にしていることも多く、ハッキングのターゲットにすることはリスクが高いと言えます。したがって、ハッキングしたいターゲット企業と取引関係がある下請け企業、つまり中小企業のセキュリティシステムを攻撃して得た情報をもとに、大手企業を狙うのです。

こうしたことから、日本ではIPA(独立行政法人情報処理推進機構)を中心に、「中小企業の情報セキュリティ対策ガイドライン」を公開するなど、情報セキュリティ対策に注力。経営者が率先してセキュリティ対策を推進することを求めています。経営者が率先してセキュリティ対策を進めることを求めています。

情報セキュリティは、中小企業にとっても内部統制やコンプライアンスの一環として、取り組むべき経営課題になっています。これまで、RPA自体が原因でセキュリティが脅かされた事例は報告されていませんが、いずれRPAにとってもセキュリティ対策は必須となるでしょう。


sweeep|請求書AI-OCR

請求書の会計処理を自動化します
請求書AI-OCR「sweeep」

面倒な請求書の会計処理をAIで自動化。100枚をたった3分で処理できます。月末に貯まった請求書を一掃しましょう。

ABOUTこの記事をかいた人

Webライター。Webサイトのコンテンツエリアの文章作成から校正、コンテンツマップに沿ったライティングを手がけてきた経験がある。スマートフォンのスキャン用アプリAdobe Scanを使って文書作成するのが得意。OCR、協働、働き方改革、地域のコミュニティの形成、子育て期の女性へのサポートなどに関心あり。