企業のDXを後押しするツールとして有名なRPAですが、ツール利用時に多種多様な情報を扱うため「セキュリティは大丈夫なのか」と疑問に感じる方も多いのではないでしょうか。
RPAはIT業界でも比較的新しいツールになるため、セキュリティリスクに関する情報が拡がっておらず不安になっても止むを得ない状況です。
しかし、RPAに限らず従来のITツールでも同様のセキュリティリスクは存在しており「リスクがゼロ」というツールは存在しないと言って良いほどです。
そのため、RPAツールも「脅威となるセキュリティリスク」について理解し、対策を万全にすることでリスクを抑えることが可能になります。
今回の記事では、RPAツールを導入することによるセキュリティリスクと、その対策について解説します。
セキュリティへの理解を深め、RPAの効果を最大限に発揮し業務効率化に繋げることが出来るよう、事例や方法についてお伝えします。
RPAツールのセキュリティリスク
RPAツールに関するセキュリティを理解するための第一歩として「セキュリティリスク」について解説します。
RPAツールは大変便利なツールですが、使い方を誤ると重大なセキュリティ事故が発生する可能性もあるため、エンジニアだけではなく「RPAに関わるメンバー」は理解しておく必要があります。
必要以上に権限を付与するリスク
RPAツールは人が行っていた操作を置き換えてロボットが実行するため、ロボットに対し業務担当者と「同等以上の権限」を付与する必要があります。
例えば、基幹システムへのアクセスが必要な処理であれば、その業務に必要な範囲の権限を付与しなければなりません。
そうすると、そのロボットは機密性の高い情報へログインできるようになるため、不正アクセスや情報漏洩のリスクが潜在的に発生します。
ロボットが意思を持って、基幹システムから情報を抜き取り情報を漏洩させることはありませんが、ロボットを介して不正アクセスされるといった可能性はあります。
そのため、ロボットに与える権限については「大は小をかねる」理論ではなく、必要最低限の権限付与に留めておくことが大事です。
設定ミスによるセキュリティ事故
RPAは開発したエンジニアの設定通りに作業を実行します。
それは、処理品質の安定にも繋がっていますが、その反面どこか設定ミスをしていると、ロボット自身がミスに気づくことは出来ないため、セキュリティ事故に発展する可能性があります。
例えば、RPAを使用し大勢の顧客にメールを送信する業務が合った場合、宛先にミスがあったとしてもロボット自身がきづくことはできないため、設定された通りに送信します。
その結果、大量の誤送信という大きなセキュリティ事故となり「企業の信頼失墜」や「損害賠償」などに繋がってしまいます。
想定外の動作が引き起こすリスク
上記の「設定ミスによるセキュリティ事故」といったロボットに対する設定ミスが原因となるセキュリティ事故もありますが、設定にミスがなかったとしても検証不足などから「ロボットが想定外の動作」をすることによって発生するセキュリティリスクがあります。
例えば、基幹システムと通信しデータの取得を繰り返し実行するロボットがあった場合、繰り返し自体はシンプルな動作なので問題ないと判断し、あまり検証をせずに本番稼働を開始しましたが、実はデータ取得時の通信負荷が高い事が判明し、そのシステムが一時的に使用不可となってしまうといったセキュリティリスクが考えられます。
また、影響範囲としては該当のロボットだけではなく、そのシステムを使用しているメンバー全てが一時的に使用できなくなるため、大きな障害に繋がってしまう可能性があります。
バージョンアップなどによるロボットの停止リスク
RPAツールは特性上「何かのシステムに依存する」ことが多いです。
例えば、在庫管理の処理を自動化したケースで考えると、在庫管理システムにアクセスし、在庫チェックした結果をExcelファイルに転記するといったフローになるため、ロボットは多様なシステムやアプリケーションを利用します。
そのため、使用しているシステムでバージョンアップにより仕様が変更された場合「存在していたボタンが無くなった」や「クリックしていたリンクが移動した」などが発生し、ロボットは適切に作動しなくなり停止してしまう可能性があります。
自己判断ができないリスク
人が作業するように臨機応変に対応できるRPAツールが登場すれば良いのですが、現時点ではロボットが自ら考え判断することができません。
そのため、人が作業するのであれば気づくことができる「レイアウト変更」や「文字化けデータ」といった適正ではない状況に気づくことができないです。
また、自動化の操作対象となっているWebページの読込が遅かった場合「表示されるのを待ってから」次の作業を実施するといった調整なども難しいため、表示される前に処理としては進んでしまいエラーとなることもあります。
管理者不在の野良ロボットが発生するリスク
野良ロボットとは「RPA管理者が把握していない」ロボットのことを言います。
そういった野良ロボットは、前提として管理されていないため、セキュリティ方針に沿っていないや、誤ったデータを更新するなどの「致命的な問題を抱えている」可能性があります。
また、人が実行するというアクションを起こすことで稼働するロボットであれば問題ないですが「スケジュール機能により自動実行」している場合、間違ったアクションをしている野良ロボットが定期的に実行されてしまい、大きなセキュリティ事故に繋がる可能性があります。
そんな野良ロボットは、RPA管理者が退職・異動した際に、上手く引継ぎができていないことで管理者不在のロボットが生まれてしまったり、従業員が勝手に開発したりなどで増えるため注意が必要です。
ロボットの属人化・ブラックボックス化
野良ロボットにも似ていますが、ロボットの属人化・ブラックボックス化にも注意が必要です。
これは、ロボットの設定内容や仕様について、開発した従業員だけが内容を把握している状態になることで、上手く引継ぎができていない状況でロボット開発をした従業員が異動や退社するとロボットはブラックボックス化します。
そうすると、システムにバージョンアップや機能変更があった場合に、ロボットの内容を理解している従業員がいないことで、修正対応に時間がかかるだけではなく、最悪の場合ではロボットを稼働させることができなくなってしまいます。
押さえておきたいセキュリティ対策6選
ここまでは、RPAツールを導入する際に把握しておきたいセキュリティリスクについて解説しました。
ここからは、そんなセキュリティリスクに対し有効な対策について6つ挙げて解説していきます。
【対策①】ロボットに任せる範囲を限定する
RPAツールを導入した場合、業務効率化への気持ちが先走ってしまい「さまざまな業務」に自動化を適用したくなると思いますが、運用方針を決めずにロボット開発を進めてしまうとセキュリティリスクの発生頻度が高くなってしまう可能性があります。
そのため、導入時には「どこまでをロボットに任せるのか」についてガイドラインを設定しておくことをおすすめします。
例えば、会社の重要な資産である基幹システムへアクセスするような業務の場合、あらかじめロボットの「想定外の動作」や「自己判断できない」といったリスクに対策するべく、ロボットで処理するのは「データ抽出のみ」にし、データの更新を伴う業務フローは「対象外とする」といった対策をしておくことでセキュリティリスクを軽減することが可能です。
【対策②】外部監査人および内部監査部門との連携
RPAに限らず社内で機密漏洩や外部からのサイバー攻撃・改ざんなどの危険に備える対策として「内部監査」と「外部監査」を実施している企業が多いと思います。
内部監査は、自社のセキュリティルールに則って運用できているかを「社員」が監査するもので、定期的に実施することでセキュリティ意識の向上や企業における問題点の早期発見と解決を目的とした監査です。
一方、外部監査は「組織外から監査人」を呼び、組織が保有する情報資産を守るために正しく対策がとれているかを第三者的な目線でチェックすることを目的とした監査です。
RPAに関しても、内部監査、外部監査の対象システムとして連携することで、RPA推進担当だけのチェックではなく、会社としてセキュリティリスクに備えることが可能となります。
【対策③】付与する権限を限定的にする
ロボットに付与する権限は「限定的」にしましょう。
上記の「RPAツールのセキュリティリスク」でも解説したように、ロボットは「自己判断」ができないため、自分が操作している情報(データ)の重要度について把握していません。
そのため、過剰に権限を付与してしまうとトラブルが発生したときに「想像以上に被害が拡大」してしまったり「エンドユーザーに迷惑をかけてしまう」可能性も考えられます。
したがって、ロボットに付与する権限は限定的にしておく必要があります。
また、ポイントとしては、あらかじめ付与する権限を限定的にすることで、トラブルが発生したとしても被害を最小限に留められることです。
【対策④】動作ログを取得する
セキュリティリスクに限ったことではないですが、ロボット稼働時にはログイン履歴など適宜ログを残すように設定しましょう。
ロボットの稼働ログには「操作ログ」「アクセスログ」「実行ログ」などがあります。
適宜ログを取得することで、誤動作などのトラブルが発生した場合に、スムーズに原因特定ができたり、リカバリ対応を迅速に行うことが可能になります。
またログを取得していれば、万が一不正アクセスや情報漏洩、改ざんが発覚した場合も「どのタイミングで」攻撃されたのかなど、分析に必要な情報収集をスムーズに行うことができます。
【対策⑤】バージョンアップに関連する情報の収集と影響確認
上記の「バージョンアップなどによるロボットの停止リスク」でも解説しましたが、ロボットは何らかのシステムに依存しながら自動化の処理を実行しています。
そのため、バージョンアップによって使用しているシステムの仕様が変わると、今までのような操作ができなくなる可能性が出てきます。
そうならないために、ロボットが使用しているシステムについて把握した上で、バージョンアップに関する情報を取集します。
収集した情報から、必要に応じロボットの改修などを実施し、滞ることなくロボットが運用できる体制を構築しておきましょう。
【対策⑥】RPAを稼働させるPCを限定する
RPAで使用するPCをランダムに設定している場合、上記で解説した「必要以上に権限を付与するリスク」にも繋がりますが、必要以上に権限を付与してしまう可能性があります。
例えば、ロボットで処理する業務に必要な権限を「パソコンに付与」しておく必要があった場合、使用するパソコンをランダムにしていると都度付与しなければいけなくなります。
その結果、必要以上の台数に権限が付与されている状態になり、RPAに限らずセキュリティとして弱い環境が構築されてしまいます。
また、台数が多くなると管理が煩雑にもなるため、RPAを稼働させるPCは決めておき、必要以上に導入しないことでセキュリティリスクを抑えることができます。
記事まとめ
今回は、RPAツールを導入する前に確認しておくべき「セキュリティリスク」とその対策について解説しました。
RPAは企業の業務効率化を推進してくれる強力なツールで汎用性もあるため、さまざまなシステムを使用した自動化を実現することができます。
その一方で、重要なデータにアクセスすることもあるため、情報漏洩が発生する「セキュリティリスク」も抱えています。
RPAツールを導入する上で重要なことは、セキュリティリスクから業務効率化をあきらめるのではなく「脅威となるセキュリティリスク」について理解し、対策を万全にすることでリスクを抑え「メリットを享受しながら」ツールを利用することです。
今後、RPAを含めた自動化技術はさらに高度化・複雑化し、その活用範囲も広がっていくと考えられます。
そうした背景から、それに伴うセキュリティ環境を構築していくことが求められます。
今回の記事を参考にしていただき、将来を見据えたセキュリティ体制づくりを進めていきましょう。
