McKinseyやKPMGなどの専門家が議論「RPA」と「AI」のセキュリティ対策に違いはあるか？ (1/2)

企業にも従業員にもメリットをもたらす「ロボティックプロセスオートメーション」（RPA）。見過ごされやすいのが、そのセキュリティリスクだ。具体的にどのようなリスクがあり、どう対処すべきなのか。

[Mary K. Pratt，TechTarget]

　「ロボティックプロセスオートメーション」（RPA）が企業にもたらす利点については、よく耳にする。人のコンピュータ操作をソフトウェアに代行させるRPAは、業務関連コストの削減や正確性の向上、コンプライアンス（法令順守）の徹底につながるといわれる。

　専門家や研究者によると、RPAの導入は従業員にもメリットがある。単調な作業から解放され、もっとやりがいのある、レベルの高い仕事に専念できるからだ。

　こうした効果を実現すれば、投資利益率（ROI）も上がる。経営コンサルティング大手McKinsey & Companyは調査報告で、RPA導入初年度のROIは30〜200％になると推計する。

　ただしRPAにもリスクはある。どんな技術にもいえることだが、IT責任者と業務責任者が協力し合って自動化に最適なユースケースを見極め、必要なインフラストラクチャを構築し、それを支えるセキュリティ対策を実装することが重要だ。

　RPA導入時に気を付けたい特有のセキュリティ要件について、調査会社HfS Researchで最高戦略責任者を務めるソーラブ・グプタ氏と、国際会計事務所KPMGでEmerging Technology Riskサービス担当プリンシパルを務めるマーティン・ソカルスキ氏に話を聞いた。

併せて読みたいお薦め記事

「RPA」についてもっと詳しく

• ロボティックプロセスオートメーション（RPA）は脱Excelに貢献するツールなのか？
• 人間はAI、RPAとどうコラボレーションをすべきか、先進事例を見る
• ロボティックプロセスオートメーション（RPA）にできて、APIにはできないこととは？

賢い「セキュリティ予算」獲得術

• 「セキュリティ予算不足」はなぜ解消されないのか？　調査結果から探る
• 「適切なセキュリティ予算」はどのように見積もればよいのか？

――　RPAの最大のセキュリティリスクにはどのようなものがあるのか。

マーティン・ソカルスキ氏　セキュリティの観点からは幾つかのリスクが考えられる。機密情報への不正アクセス、システムの可用性・継続性への重大な影響、管理者権限の悪用、データのプライバシー侵害などだ。

ソーラブ・グプタ氏　RPAのセキュリティが大きく侵害された例は聞かず、あまり大きな問題にはなっていない。RPA自体はデータを保有しない。RPAは最上層での動作に限られ、連携すら必要ない場合もある。侵害が発生したとしても、最上層ではなく、データが存在する下層で起こることが一般的だ。ただしプライバシー保護は、セキュリティ対策の実装方法に依存する。

――　RPA技術自体はハッキングを免れているということか。

グプタ氏　今のところ、侵害されたという話は聞かない。現在は小規模なRPA導入がほとんどで、大規模導入がまだないからだろう。だがハッキングは懸念材料ではある。

ソカルスキ氏　意図的な攻撃によるセキュリティリスクは潜在する。同じ操作を何千回も繰り返すbotに対し、悪意のある管理者やハッカーが手を加えれば、重大な危険につながる可能性がある。ハッカーは1回侵入するだけで、大した苦労をせずに甚大な被害を引き起こすことができる。

――　RPAの導入がもたらす運用上のリスクはあるか。

グプタ氏　作業を自動化しても、後でそれを見直して改良する人が誰もいないという状況が考えられる。プロセスに変更が発生した場合、どのようにそれを反映するのか。「A」「B」「C」の順で作業をするRPAを開発した後、新たに「B.1」という作業が必要になったとき、RPAを見直し、更新してテストする工程をやり直さなければならない。

　誰かがプロセスに別の構成要素を導入した場合も、RPAを見直す人がいないとプロセスが破壊される危険がある。継続的にRPAを管理しなければ大きな問題につながりかねない。だが企業はまだ、こうしたリスクを解決していない。

ソカルスキ氏　人が指示したことしかしない従来型のRPA型botと、機械学習などの人工知能（AI）技術を備えたAI型botでは、考慮すべきリスクの種類が異なる。