Gartner Summit

セキュリティで見るRPAのリスクとメリット

國谷武史 (編集部) 2019年08月13日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 RPA(Robotic Process Automation)は、ここ数年で企業導入が加速したテクノロジーの1つだが、運用の歴史はまだ浅い。そこにはセキュリティの観点からどのようなリスクがあり対応が必要なのか、また、メリットも存在するのだろうのか。米Gartnerで、エンドポイントやアプリケーションのセキュリティリサーチを担当するDionisio Zumerle氏に聞いた。

Gartner シニアディレクター アナリストのDionisio Zumerle氏
Gartner シニアディレクター アナリストのDionisio Zumerle氏

 「RPAは世界的にも導入が伸びているものの、まだ具体的なセキュリティリスクがインシデントのような形で表面化しているケースはほとんどないようだ。導入段階から現場での適切な運用環境を整えることが大切だといえる」(Zumerle氏)

 業務の現場で運用されるRPAは、大きく「管理されたRPA」と「管理されていないRPA」の2つに分けられる。後者は俗に“野良RPA”とも呼ばれ、IT部門などがその運用管理に関与することなく、業務の現場で利用されている。セキュリティリスクとしては、悪意のある人物あるいは不正プログラムなどによって、RPAが悪用されてしまうことがある。

 「例えば、未払い金の支払いをRPAで処理している場合、RPAの管理者が支払先の口座情報などを密かに改ざんし、不正に金銭を着服する恐れがある。またRPAはソフトウェアであり、不正プログラムに感染して意図しない動作をさせられてしまう危険もある」とZumerle氏。当然ながらRPAのセキュリティリスクへの対処では、適切な運用管理が前提になってくる。

 Zumerle氏がRPAの運用管理で挙げるポイントが、適切な権限の付与と監視、職務分掌になる。ある業務処理をRPAで行う場合、処理内容に応じて「RPA-1」「RPA-2」「RPA-3」というようにロボットを割り当て、ロボットごとに権限を設定する。そして、各ロボットが権限に基づいて設定された処理を確実に実行しているかどうか、ログなどから監視する。複数のロボットによる職務分掌を行うのは、一人に権限が集中することで不正行為などのリスクが高まるの防ぐ、セキュリティ対策の基本でもある。

RPAにおける職務分掌のイメージ(出典:ガートナー ジャパン)
RPAにおける職務分掌のイメージ(出典:ガートナー ジャパン)

 またZumerle氏は、人間の管理者がある程度RPAに介入できる余地も確保しておくべきと話す。万一不正プログラムなどによってRPAが意図しない動作をした場合、人の手で動作を停止させたり、問題を修正したりする必要があるためだ。なお、RPAを管理する担当者の権限や操作内容などを管理するツールも必要になる。権限を持つ人間が不正行為に及ぶリスクにも備えておく。

 そして、つい忘れがちになるかもしれないが、RPAはソフトウェアのアプリケーションであり、バグや脆弱性などの“欠陥”が存在する。これらの欠陥を修正するアップデートの適用など、RPAの運用でも基本的なソフトウェアのセキュリティ対策が必須だ。Zumerle氏によれば、昨今ではRPAメーカーがアプリケーションセキュリティのベンダーらと連携し、製品のセキュリティ品質をテストして認証を受けたり、品質保証を付けたりするケースが増えつつある。こうしたメーカーの採用も一考に値するという。

 RPAの主なメリットは、定型業務の省力化や処理時間の短縮、処理した結果の正確性の向上などが知られるが、こうして適切な運用管理を整えればセキュリティ上のメリットも大きい。

 「RPAはあらかじめ決めた動作しか行わないので、意図しない動作を行うという危険性は少ないし、万一の場合でも影響を予想しやすい。何かあればロックダウンしたり、動作内容のスクリプトを修正したりできる」とZumerle氏。加えて、「RPAは“文句”を言わない。何か問題が起きて頻繁にパスワードを変更しても大丈夫だ」とも話す。

 それに最近では、セキュリティ業務自体でもRPAの導入を検討する動きがあるという。例えば、セキュリティ機器などの警告をもとにその内容を初期判断するような定型的な部分にRPAを用いることで、セキュリティ担当者の負担を減らし、より高度な分析や意思決定にリソースをかけやすくなる。

 Zumerle氏のもとにはRPAの運用管理に悩む企業からの相談が数多く寄せられているといい、同氏はRPAのメリットを享受するためにも、導入時から適切な運用管理を準備してほしいとアドバイスしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
“真FinTech” 地域金融の行方
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
スペシャル
デジタル時代を支える顧客接点改革
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
エンタープライズトレンドの読み方
10の事情
座談会@ZDNet
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]