RPA導入で気になるセキュリティ問題特集・RPAで仕事が変わる(1/2 ページ)

» 2019年03月29日 13時14分 公開
[瓜生聖ITmedia]

 「『失敗しないRPA』のススメ 導入・運用で注意すべきポイントは?」(2月8日掲載)でも触れたように、RPAを導入、運用する際のリスクとしてセキュリティの問題は避けて通れない。本コラムではRPA導入の際に気を付けければならないセキュリティの問題について取り上げる。

単純な処理でもセキュリティの対策は必須

 RPAはロボットであり、人と同じような権限を持って判断や処理を行う。だが、その判断能力は人間に比べると柔軟性に欠ける。

 例えば、ベルトコンベヤーで流れてきた書類に、ひらすら印鑑を押すだけの機械があったとしよう。そこに横からすっと不正な書類を差し込んでも、その機械は内容を見ずに押印してしまう。さらに、印鑑ごとその機械が盗まれたらどうだろうか。きちんと押印された有効かつ不本意な書類が大量に生産されてしまうかもしれない。

 RPAでも同じ問題は発生しうる。社内ネットワーク内にあるイントラ向けWebサイトにアクセスし、ログインして必要情報を入力、OKボタンを押す、というデスクトップ型のRPAの場合を考えてみよう。比較的単純な処理だが、それでもセキュリティ上は多くのリスクがある。

1、IDとパスワードのハードコーディング

 ロボットの設定ファイルやプログラムにWebブラウザで入力する値がそのまま書かれていた場合、そのファイル自身を盗まれたり、見られたりするとログイン情報が漏れることになる。これは平文でパスワードをメモしたファイルと同様のリスクではあるが、ロボットということばかりに気を取られると見落としがちだ。親切心から、現場の社員が「こういうのを作ったので使ってください」と、ゲストアクセス可能なファイルサーバの共有スペースに置く、なんていうこともありえる。

 二次災害としてIDとパスワードが一度漏れれば、同じIDとパスワードの組み合わせをさまざまなサイトで試行するパスワードリスト攻撃の危険もある。

2、ロボットの流出

 先述の設定ファイルをそのまま使った場合には、もとのユーザーのログイン情報でWebサイトにログインすることになる。ロボットの実行権限とターゲットとなるWebサイトの認証情報にひもづけがなければ、ロボットはどの端末からでも実行できる。

3、フィッシング

 ロボットの判断能力は人間と比べると厳密でありながら局所的であり、かつ、柔軟性に欠ける。例えば、ボタンの文字列が変わっただけで認識できなくなることもあれば、同じボタンがあるというだけでページの認識を誤ることもある。

 それを悪用すると、hostsファイルを書き換えたり、ネームサーバに“毒”を注入して本来のサイトとは異なるサイトにアクセスさせ、ロボットが実行するシナリオに従った形で不正な処理をさせることも可能だ。人間であれば違うサイトにアクセスしていることがすぐに分かることでも、ロボットの判断設定次第では判別できないことは少なくない。偽サイトにアクセスしたときにサーバ証明書の警告が出ても、その警告を無視するという処理を入れていれば無力だ。

4、セッションの乗っ取り

 ロボットを途中で停止させることで、元ユーザーのアカウントでログインした状態のWebブラウザが残される可能性もある。ファイル内のID、パスワードが暗号化されていても、このようなセッションの乗っ取りを防ぐことはできない。

 上記に列挙したもののうち、幾つかは人間が実行するときにも存在するリスクだ。ことさらにロボットのリスクとしてあげつらうのはおかしい、と思われるかもしれない。だが、ロボットには認識力の問題がある。自分がどのサイトにアクセスしているのか、どのPCを操作しているのか、処理の途中で放り出させられていないか――そういった、人間ならばほとんど無意識下で判断していることであっても、ロボットの場合はきちんと判断処理を書かなければ判断できない。

 また、現在のロボットにはまだ、セキュリティ管理やコーポレートガバナンスの順守というポリシーに沿った考え方を理解して、それに沿う、といった柔軟かつ一貫性のある判断はできない。安全にロボットを使うには「言われたことしかできず、融通がきかない」「でも、言われたことは正確、高速にこなす」という、ちょっと難ありだが使い方によっては光る「人間」として考えなければならないだろう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年03月19日 更新
  1. 無償版「Copilot」でもフルタイムでGPT-4 Turboが利用可能に/「Copilot for Security」が4月1日から一般提供開始 (2024年03月17日)
  2. ナゼか小型タブレットでお絵描きにハマりそう! NECPC「LAVIE Tab T14/T9」 の実機を試して分かった驚き (2024年03月18日)
  3. 最高6.2GHzで動作するCoreプロセッサ現行最上位の「Core i9-14900KS」がデビュー! (2024年03月18日)
  4. 総務省がCHUWI(ツーウェイ)を「行政指導」 一部モデルで認証の取得漏れなどが判明 当該機種では「5GHz帯Wi-Fi」は使わないように (2023年04月13日)
  5. ロープロで2スロット厚! NVIDIA RTX 2000 “Ada世代”のグラフィックスカードが登場! (2024年03月16日)
  6. 外付けGPU「ONEXGPU」でビジネスノートPCをパワーアップしてみた オンライン会議における“もっさり”の解決策になる? (2024年03月19日)
  7. 新「M3 MacBook Air」は守備範囲の広さが魅力 MacBook Proとの違いはある? 買い替え検討者に伝えたい注目ポイント (2024年03月14日)
  8. PCの累計生産台数5000万台突破目前! 「島根富士通」が出雲にある理由 (2024年03月15日)
  9. Copilotで画像を生成できる「Image Creator」を試してみよう (2024年03月15日)
  10. あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック! (2023年10月20日)
最新トピックスPR

過去記事カレンダー