RPA導入で気になるセキュリティ問題:特集・RPAで仕事が変わる(2/2 ページ)
社員の誰よりもだまされやすく、成長することもない、愚直ながらも勤勉な人間が職場にいたら?
セキュアなRPAの導入・開発・運用のために
では、実際にどのように対策を行うべきか、具体的に見ていくことにしよう。安全にRPAを活用するためには、導入・開発・運用というフェーズごとに対策を行う必要がある。
1、導入フェーズ
導入フェーズではロボットを「人間」としてとらえた場合、彼または彼女は何を行うのか、それにはどのような権限が最低限必要か、ということから運用のイメージを固めていく。具体的には次のような対策になる。
- ロボットを使用できる人、稼働できる使用環境の範囲を限定する
- ロボットへ与える権限を業務ごとに制限する
特に権限については注意が必要だ。現場主導での開発を行う場合には、どうしても「動く」ということが優先されがちになる。そのため、うまく動かなかったときにプログラムと権限不足の両方が考えられる場合には「取りあえず権限を全部与え、権限不足の可能性をつぶしてからプログラムを確認する」という対処を行うケースがある。そして、そのように一時的に与えられた過剰な権限は「取りあえず今はちゃんと動いているんだから、今はもう手を加えず、安定稼働を確認してから権限をきちんと設定しよう」と、そのまま忘れられてしまうことが少なくない。
さらに、ロボットの開発費を抑えるために、1つのロボットにさまざまな業務を任せる場合も危険性が高くなる。例えば、A課で行っている業務だけに限定されている場合はまだよいが、B課の業務もそのロボットにやらせたい、と考えるとロボットにはA課とB課両方の権限を与えなければならない。そうすると、人間でも持つ人のいない、課を横断した強力な権限をロボットが持つことになってしまう。
ロボットは社員の誰よりもだまされやすく、成長することもない、愚直ながらも勤勉な人間、という意識で考えるべきだ。
2、開発フェーズ
開発フェーズでは一般のシステム開発と同様の注意が必要だ。例えば、以下のようなものが挙げられる。
- ID、パスワードをソースプログラムに直接記述しない
- 業務秘密のテストデータはマスキング処理する
- 中間ワークデータは終了後に消去する
- 緊急時に割り込みができる仕様にする
- エラー時にアラームが通知されるようにする
- ソースプログラムはセキュアな場所で管理する
これらは特に目新しいものではないが、現場主導で開発が行われる場合には軽視されがちだ。改めて意識しておく必要があるだろう。
3、運用フェーズ
運用フェーズでは適切な運用を行うとともに、それが行われていることを監視、確認する仕組みが必要だ。また、不具合が発生したときにはそれが単なる障害なのか、それともセキュリティ上のリスクをはらんだものなのか、確認した上で対策を行う。
- ロボットの実行監視、エラー監視
- PCの操作ログ、アクセスログを取得、管理する
- セキュリティポリシーを合わせて運用する
- 定期的なリスク分析を行い、セキュリティポリシーを見直す
その他、管理対象外のロボットの定期的な存在チェックも必要だ。“野良ロボット”はシャドーITと同じ問題が根幹にあるが、業務プロセスとして完結するものだけにその影響は大きい。「これくらいExcelのマクロみたいなものなんだから」と軽く考えるのではなく、野良ロボットが動いているということを「知らないうちに入ってきたアルバイトが重要な業務を行っている」ようなものだと認識するべきだ。
セキュリティ監視を行う「ロボット」という考え方
RPAが普及した理由の1つには「分かりやすい」というところがある。業務を理解している現場主導で導入を進められれば、「現場が本当に必要だったもの」にかなり近いものを作ることができるだろう。だが、セキュリティのことを考えると情報システム部門などの協力も必要になる。
そうすると「便利なものを導入したい」という現場と、「危険なことをされたくない」という情報システム部門の間で衝突を生みかねない。それを回避するためには、RPA導入にあたってのセキュリティ指針、守らなければならないことを明文化し、現場側でそれに沿った開発・権限設定を行う。そして操作・実行ログを出力し、情報システム部がロボットが正常に動作しているかチェックできるようにしておく、という方法がある。
だが、ここにもう1つ問題がある。ロボットにログを出力させることは可能であるものの、ロボット自身で出力したログだけでは不十分なケースがある。特にセキュリティ観点で重要となる不正処理や異常終了といったイレギュラーな動作は、ログ上は正常に見えることもある。だまされたロボットが出力するログの信頼性は低い。
そのため、操作を行うロボットの他に、操作された側でもログを出力することが望ましい。RPAツール「ROBOWARE」を販売するイーセクターでは、「ロボットを管理・監視するロボット」の導入を提案している。出力されたログを集約、監視して何か不正な処理や不自然な動作を検知したらロボットを停止させ、アラートを出力して担当者に注意を促す、といったものだ。
人間の不正や事故を防ぐために監査やチェックの仕組みを導入するように、作業者であるロボットと管理者であるロボットを別に動かすことでそれぞれの独立性を保つことができる。前述のイーセクターでは、現場主導で既に導入されたロボットに対して、監視・管理用に情報システム部門がROBOWAREでロボットを開発する、というケースもあるという。課をまたがる処理を自動化する場合に、課ごとに作ったロボットを管理用ロボットが橋渡しをする、というのもその一例だ。
現場の利便性と情報システム部門の安全姓
RPAは便利ではあるものの、適切に導入・運用されないと情報漏えいや不正アクセスの入り口になりかねない。かといって、萎縮しすぎると効率化、省力化が進まない。現場と情報システム部門の両方が同じ目的、同じ意識を持って、導入に取り組むことが重要だ。
関連記事
働き方改革の“即効薬”? いま「RPA」が注目される理由
日本でも多くの企業が導入し始めている「RPA」。なぜいまRPAが注目されているのか。RPAでできることや、私たちの働き方をどう変えていくのかを解説する。「失敗しないRPA」のススメ 導入・運用で注意すべきポイントは?
多くの企業が注目している「RPA」を導入・運用する際に注意すべきことは? 大きな失敗をしないために押さえておくべきポイントを解説。「銀行のデジタル化は避けられない」 RPAで20万時間の業務削減へ 横浜銀行の挑戦
2020年3月までに約300業務で年間20万時間以上の業務量を削減する――横浜銀行がそんな目標を打ち出している。17年10月から本格導入し、既に大きな効果をあげている同行。どんな工夫があったのか、舞台裏を聞いた。残業なくして乾杯♪ アサヒがRPAロボット量産に成功した理由
アサヒ飲料やアサヒビールを抱えるアサヒグループは、人事情報登録にRPAを導入して年間約1300時間の業務量削減に成功。現在は30ものグループ企業にさまざまなロボットを導入している。スムーズに展開できた理由は何か。担当者に話を聞いた。無料RPAで「ソリティア」に挑んでみた 業務自動化でゲームも自動化できるか
カードゲーム「ソリティア」を業務ソフトに見立て、RPAによる自動化でクリアできるか試してみた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.