“危険なRPA”を生まないためにやるべきセキュリティ対策とは？：アクセス制御やロボット自体の保護が重要

業務フローの革新を推進するRPA（ロボティックプロセスオートメーション）。そのセキュリティリスクを管理しなければ、実益よりも損害の方が大きくなりかねない。具体的な対策を探る。

[Kevin Tolly，TechTarget]

　RPA（ロボティックプロセスオートメーション）は、ソフトウェアロボットを使って業務プロセスを自動化し、人の介入を排する技術だ。時間のかかる手作業を自動化でき、業務フローの最適化につながる半面、RPAを導入した企業はそのためのセキュリティ対策をする必要がある。結局ソフトウェアは人間が管理しなければいけないため、エンドユーザーに起因する従来の問題に加えて、ロボット特有の問題に関連したリスクにも備えなければならない。適切なセキュリティ対策がなければ、RPAの導入は資産どころか負債にもなりかねない。

併せて読みたいお薦め記事

RPAの課題

• RPAで残業を1人6時間減らしたテンプスタッフが語る「RPAの落とし穴」
• RPAで深刻化、仕事の手順を勝手に変える「ビジネスプロセス詐欺」（BPC）とは？
• RPA導入に失敗する企業がやりがちなこと

RPAで業務効率化をどう実現するか

• 「RPA」と「API」、仕事を本当に効率化するのはどっち？
• 「RPAは必ず仕事を効率化できる」とは言い切れない理由

ロボットも「1人のユーザー」にすぎない

　RPAではロボットが人の代わりになるものの、人は引き続きロボットに介入し、プロセスを管理、運用、参照、変更する必要がある。それを成功させ、安全を保つためには、「誰」が何をするかをセキュリティ管理者が指定できなければならない。人とロボット両方のアクセス制御が重要だ。

　アクセス制御においては、誰が何をできるかに気を配ると同時に、エンドユーザーがどの時間帯や曜日にアクセスするかといった詳細事項も考慮する必要がある。この機能を、一部のベンダーは「役割ベースのアクセス管理」（RBAC：Role-Based Access Control）と呼ぶ。セキュリティ管理者は、利用するRPA製品でパーミッションがどのくらいきめ細かく設定できるか確認しなければならない。きめ細かい設定ができるほど、特定のエンドユーザーが何をできるかに関するセキュリティを強化できる。

　RPAで自動化するアプリケーションにとって、ロボットは単純に「システムを使うための認証が必要な1人のエンドユーザー」にすぎない。そのための認証情報の保管場所や保護方法の確認が不可欠だ。以下のような確認事項がある。

• 認証情報の保管場所は暗号化されているのかどうか
• 鍵は誰が持つのか
• ロボットの作動中はどこに認証情報が保存されているのか

　ロボットが稼働するシステムのメモリに平文で認証情報を保持する場合、第三者によって盗まれる恐れがある。

ロボットのコピーや改ざんを防ぐ方法