RPA(Robotic Process Automation)は、ここ数年で企業導入が加速したテクノロジーの1つだが、運用の歴史はまだ浅い。そこにはセキュリティの観点からどのようなリスクがあり対応が必要なのか、また、メリットも存在するのだろうのか。米Gartnerで、エンドポイントやアプリケーションのセキュリティリサーチを担当するDionisio Zumerle氏に聞いた。
Gartner シニアディレクター アナリストのDionisio Zumerle氏
「RPAは世界的にも導入が伸びているものの、まだ具体的なセキュリティリスクがインシデントのような形で表面化しているケースはほとんどないようだ。導入段階から現場での適切な運用環境を整えることが大切だといえる」(Zumerle氏)
業務の現場で運用されるRPAは、大きく「管理されたRPA」と「管理されていないRPA」の2つに分けられる。後者は俗に“野良RPA”とも呼ばれ、IT部門などがその運用管理に関与することなく、業務の現場で利用されている。セキュリティリスクとしては、悪意のある人物あるいは不正プログラムなどによって、RPAが悪用されてしまうことがある。
「例えば、未払い金の支払いをRPAで処理している場合、RPAの管理者が支払先の口座情報などを密かに改ざんし、不正に金銭を着服する恐れがある。またRPAはソフトウェアであり、不正プログラムに感染して意図しない動作をさせられてしまう危険もある」とZumerle氏。当然ながらRPAのセキュリティリスクへの対処では、適切な運用管理が前提になってくる。
Zumerle氏がRPAの運用管理で挙げるポイントが、適切な権限の付与と監視、職務分掌になる。ある業務処理をRPAで行う場合、処理内容に応じて「RPA-1」「RPA-2」「RPA-3」というようにロボットを割り当て、ロボットごとに権限を設定する。そして、各ロボットが権限に基づいて設定された処理を確実に実行しているかどうか、ログなどから監視する。複数のロボットによる職務分掌を行うのは、一人に権限が集中することで不正行為などのリスクが高まるの防ぐ、セキュリティ対策の基本でもある。
RPAにおける職務分掌のイメージ(出典:ガートナー ジャパン)
またZumerle氏は、人間の管理者がある程度RPAに介入できる余地も確保しておくべきと話す。万一不正プログラムなどによってRPAが意図しない動作をした場合、人の手で動作を停止させたり、問題を修正したりする必要があるためだ。なお、RPAを管理する担当者の権限や操作内容などを管理するツールも必要になる。権限を持つ人間が不正行為に及ぶリスクにも備えておく。
そして、つい忘れがちになるかもしれないが、RPAはソフトウェアのアプリケーションであり、バグや脆弱性などの“欠陥”が存在する。これらの欠陥を修正するアップデートの適用など、RPAの運用でも基本的なソフトウェアのセキュリティ対策が必須だ。Zumerle氏によれば、昨今ではRPAメーカーがアプリケーションセキュリティのベンダーらと連携し、製品のセキュリティ品質をテストして認証を受けたり、品質保証を付けたりするケースが増えつつある。こうしたメーカーの採用も一考に値するという。
RPAの主なメリットは、定型業務の省力化や処理時間の短縮、処理した結果の正確性の向上などが知られるが、こうして適切な運用管理を整えればセキュリティ上のメリットも大きい。
「RPAはあらかじめ決めた動作しか行わないので、意図しない動作を行うという危険性は少ないし、万一の場合でも影響を予想しやすい。何かあればロックダウンしたり、動作内容のスクリプトを修正したりできる」とZumerle氏。加えて、「RPAは“文句”を言わない。何か問題が起きて頻繁にパスワードを変更しても大丈夫だ」とも話す。
それに最近では、セキュリティ業務自体でもRPAの導入を検討する動きがあるという。例えば、セキュリティ機器などの警告をもとにその内容を初期判断するような定型的な部分にRPAを用いることで、セキュリティ担当者の負担を減らし、より高度な分析や意思決定にリソースをかけやすくなる。
Zumerle氏のもとにはRPAの運用管理に悩む企業からの相談が数多く寄せられているといい、同氏はRPAのメリットを享受するためにも、導入時から適切な運用管理を準備してほしいとアドバイスしている。