2020年02月04日 08時00分 公開
特集/連載

Computer Weekly製品ガイドRPAに組み込むべきセキュリティ対策

RPAの利点は人の行動を模倣できる点にある。その原則を念頭に、botによる自動化のセキュリティ対策を講じ、セキュリティの失敗を防止しなければならない。

[Dionisio Zumerle and Cathy Tornbohm,Computer Weekly]
iStock.com/Ekkasit919

 RPA(ロボティックプロセスオートメーション)ツールはセンシティブなデータを処理することがある。これには口座番号や金額を請求書から決済システムにコピー&ペーストする作業も含まれる。

 結果として、botは企業のシステムやリソースに対するアクセス権を獲得する。適切なセキュリティ対策を講じなければ、センシティブなデータが攻撃者、特にインサイダーに露呈しかねない。

 例えばbotの認証情報やbotが扱う顧客データが露呈する恐れがある。インサイダーがRPAのアクセス権限を悪用して、実行されるRPAスクリプトに不正行為を挿入することも可能だ。従って、セキュリティを含む適切なガバナンスは欠かせない。

 セキュリティ担当者は、RPAを単なるスクリプトの記録・起動ツールとしてではなく、ビジネスプロセスオートメーションに対するアプローチとして扱う必要がある。いったん導入されたRPAは、社内インフラの一部として統合される。セキュリティ対策も同様に統合する必要がある。

監査証跡

 RPAのセキュリティ対策は、サードパーティーツール経由では提供できない、あるいは提供すべきではないものもある。サードパーティーの監査ツールを利用することは可能だが、RPAツール自体がログを生成する必要がある。これにより、RPAツールがアクセスしたアプリケーションで行った動作を完全に可視化できる。他のツールでは、可視化できないあるいはアプリケーションとの互換性がないといったギャップが生じる恐れがある。

 RPAのログ、つまり監査証跡は、否認防止を保証するためには不可欠だ。これがなければ捜査することはできない。RPAツールはその動作について、システムが生成する完全かつ改ざん不可能なログを提供できなければならない。

 一般的に、RPAのログは別のシステムにフィードする。ログはそのシステム上で安全かつフォレンジック捜査に耐えられる状態で保存される。ログは完全でなければならない。隙間があれば捜査の妨げとなる。セキュリティチームが重要な痕跡を見落とすこともある。

 ログはシステムが生成するものでなければならず、改ざんできないことを保証して完全性が守られなければならない。そのための方法の一つにログへの署名がある。スクリプトの完全性を保証するため、ログでは開発者などの関係者がスクリプトに加える変更についても考慮する必要がある。

人間の認証情報をbotに使い回さない

 botオペレーターは、RPAスクリプトを起動して例外に対応する従業員を指す。

 だがRPAの導入を急いで即座に結果を求める中で、botオペレーターとbotそのものの区別がつかなくなることもある。




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news113.jpg

新型コロナウイルス感染拡大に関する不安 「経済への打撃」が「多くの死者が出ること」を上回る
McCann Worldgroupが世界14カ国で実施した意識調査の結果、政府の対応体制が「整っている...

news145.jpg

「70歳までの就労意識」をテーマとした調査を実施――富国生命調査
長期的に働く上でのリスクトップ3は「病気」「就業不能状態」「入院」。