では、実際にどのように対策を行うべきか、具体的に見ていくことにしよう。安全にRPAを活用するためには、導入・開発・運用というフェーズごとに対策を行う必要がある。
導入フェーズではロボットを「人間」としてとらえた場合、彼または彼女は何を行うのか、それにはどのような権限が最低限必要か、ということから運用のイメージを固めていく。具体的には次のような対策になる。
特に権限については注意が必要だ。現場主導での開発を行う場合には、どうしても「動く」ということが優先されがちになる。そのため、うまく動かなかったときにプログラムと権限不足の両方が考えられる場合には「取りあえず権限を全部与え、権限不足の可能性をつぶしてからプログラムを確認する」という対処を行うケースがある。そして、そのように一時的に与えられた過剰な権限は「取りあえず今はちゃんと動いているんだから、今はもう手を加えず、安定稼働を確認してから権限をきちんと設定しよう」と、そのまま忘れられてしまうことが少なくない。
さらに、ロボットの開発費を抑えるために、1つのロボットにさまざまな業務を任せる場合も危険性が高くなる。例えば、A課で行っている業務だけに限定されている場合はまだよいが、B課の業務もそのロボットにやらせたい、と考えるとロボットにはA課とB課両方の権限を与えなければならない。そうすると、人間でも持つ人のいない、課を横断した強力な権限をロボットが持つことになってしまう。
ロボットは社員の誰よりもだまされやすく、成長することもない、愚直ながらも勤勉な人間、という意識で考えるべきだ。
開発フェーズでは一般のシステム開発と同様の注意が必要だ。例えば、以下のようなものが挙げられる。
これらは特に目新しいものではないが、現場主導で開発が行われる場合には軽視されがちだ。改めて意識しておく必要があるだろう。
運用フェーズでは適切な運用を行うとともに、それが行われていることを監視、確認する仕組みが必要だ。また、不具合が発生したときにはそれが単なる障害なのか、それともセキュリティ上のリスクをはらんだものなのか、確認した上で対策を行う。
その他、管理対象外のロボットの定期的な存在チェックも必要だ。“野良ロボット”はシャドーITと同じ問題が根幹にあるが、業務プロセスとして完結するものだけにその影響は大きい。「これくらいExcelのマクロみたいなものなんだから」と軽く考えるのではなく、野良ロボットが動いているということを「知らないうちに入ってきたアルバイトが重要な業務を行っている」ようなものだと認識するべきだ。
RPAが普及した理由の1つには「分かりやすい」というところがある。業務を理解している現場主導で導入を進められれば、「現場が本当に必要だったもの」にかなり近いものを作ることができるだろう。だが、セキュリティのことを考えると情報システム部門などの協力も必要になる。
そうすると「便利なものを導入したい」という現場と、「危険なことをされたくない」という情報システム部門の間で衝突を生みかねない。それを回避するためには、RPA導入にあたってのセキュリティ指針、守らなければならないことを明文化し、現場側でそれに沿った開発・権限設定を行う。そして操作・実行ログを出力し、情報システム部がロボットが正常に動作しているかチェックできるようにしておく、という方法がある。
だが、ここにもう1つ問題がある。ロボットにログを出力させることは可能であるものの、ロボット自身で出力したログだけでは不十分なケースがある。特にセキュリティ観点で重要となる不正処理や異常終了といったイレギュラーな動作は、ログ上は正常に見えることもある。だまされたロボットが出力するログの信頼性は低い。
そのため、操作を行うロボットの他に、操作された側でもログを出力することが望ましい。RPAツール「ROBOWARE」を販売するイーセクターでは、「ロボットを管理・監視するロボット」の導入を提案している。出力されたログを集約、監視して何か不正な処理や不自然な動作を検知したらロボットを停止させ、アラートを出力して担当者に注意を促す、といったものだ。
人間の不正や事故を防ぐために監査やチェックの仕組みを導入するように、作業者であるロボットと管理者であるロボットを別に動かすことでそれぞれの独立性を保つことができる。前述のイーセクターでは、現場主導で既に導入されたロボットに対して、監視・管理用に情報システム部門がROBOWAREでロボットを開発する、というケースもあるという。課をまたがる処理を自動化する場合に、課ごとに作ったロボットを管理用ロボットが橋渡しをする、というのもその一例だ。
RPAは便利ではあるものの、適切に導入・運用されないと情報漏えいや不正アクセスの入り口になりかねない。かといって、萎縮しすぎると効率化、省力化が進まない。現場と情報システム部門の両方が同じ目的、同じ意識を持って、導入に取り組むことが重要だ。
Copyright © ITmedia, Inc. All Rights Reserved.