RPA導入で気になるセキュリティ問題：特集・RPAで仕事が変わる（1/2 ページ）

[瓜生聖，ITmedia]

　「『失敗しないRPA』のススメ　導入・運用で注意すべきポイントは？」（2月8日掲載）でも触れたように、RPAを導入、運用する際のリスクとしてセキュリティの問題は避けて通れない。本コラムではRPA導入の際に気を付けければならないセキュリティの問題について取り上げる。

単純な処理でもセキュリティの対策は必須

　RPAはロボットであり、人と同じような権限を持って判断や処理を行う。だが、その判断能力は人間に比べると柔軟性に欠ける。

　例えば、ベルトコンベヤーで流れてきた書類に、ひらすら印鑑を押すだけの機械があったとしよう。そこに横からすっと不正な書類を差し込んでも、その機械は内容を見ずに押印してしまう。さらに、印鑑ごとその機械が盗まれたらどうだろうか。きちんと押印された有効かつ不本意な書類が大量に生産されてしまうかもしれない。

　RPAでも同じ問題は発生しうる。社内ネットワーク内にあるイントラ向けWebサイトにアクセスし、ログインして必要情報を入力、OKボタンを押す、というデスクトップ型のRPAの場合を考えてみよう。比較的単純な処理だが、それでもセキュリティ上は多くのリスクがある。

1、IDとパスワードのハードコーディング

　ロボットの設定ファイルやプログラムにWebブラウザで入力する値がそのまま書かれていた場合、そのファイル自身を盗まれたり、見られたりするとログイン情報が漏れることになる。これは平文でパスワードをメモしたファイルと同様のリスクではあるが、ロボットということばかりに気を取られると見落としがちだ。親切心から、現場の社員が「こういうのを作ったので使ってください」と、ゲストアクセス可能なファイルサーバの共有スペースに置く、なんていうこともありえる。

　二次災害としてIDとパスワードが一度漏れれば、同じIDとパスワードの組み合わせをさまざまなサイトで試行するパスワードリスト攻撃の危険もある。

2、ロボットの流出

　先述の設定ファイルをそのまま使った場合には、もとのユーザーのログイン情報でWebサイトにログインすることになる。ロボットの実行権限とターゲットとなるWebサイトの認証情報にひもづけがなければ、ロボットはどの端末からでも実行できる。

3、フィッシング

　ロボットの判断能力は人間と比べると厳密でありながら局所的であり、かつ、柔軟性に欠ける。例えば、ボタンの文字列が変わっただけで認識できなくなることもあれば、同じボタンがあるというだけでページの認識を誤ることもある。

　それを悪用すると、hostsファイルを書き換えたり、ネームサーバに“毒”を注入して本来のサイトとは異なるサイトにアクセスさせ、ロボットが実行するシナリオに従った形で不正な処理をさせることも可能だ。人間であれば違うサイトにアクセスしていることがすぐに分かることでも、ロボットの判断設定次第では判別できないことは少なくない。偽サイトにアクセスしたときにサーバ証明書の警告が出ても、その警告を無視するという処理を入れていれば無力だ。

4、セッションの乗っ取り

　ロボットを途中で停止させることで、元ユーザーのアカウントでログインした状態のWebブラウザが残される可能性もある。ファイル内のID、パスワードが暗号化されていても、このようなセッションの乗っ取りを防ぐことはできない。

　上記に列挙したもののうち、幾つかは人間が実行するときにも存在するリスクだ。ことさらにロボットのリスクとしてあげつらうのはおかしい、と思われるかもしれない。だが、ロボットには認識力の問題がある。自分がどのサイトにアクセスしているのか、どのPCを操作しているのか、処理の途中で放り出させられていないか――そういった、人間ならばほとんど無意識下で判断していることであっても、ロボットの場合はきちんと判断処理を書かなければ判断できない。

　また、現在のロボットにはまだ、セキュリティ管理やコーポレートガバナンスの順守というポリシーに沿った考え方を理解して、それに沿う、といった柔軟かつ一貫性のある判断はできない。安全にロボットを使うには「言われたことしかできず、融通がきかない」「でも、言われたことは正確、高速にこなす」という、ちょっと難ありだが使い方によっては光る「人間」として考えなければならないだろう。