RPAのリスクとセキュリティ対策

RPAのリスクとセキュリティ対策

社内で毎日行っている定型的な業務を自動化する技術として注目されているRPA。その導入と運用にあたって課題となるのがセキュリティ対策です。RPAにはどんなリスクがあり、リスクを回避するにはどのような対策が考えられるのか、その傾向と対策について解説していきます。

RPAとは?

RPA(Robotic Process Automation)とは、主に事務作業の業務効率化を目的として、ソフトウェアロボットの活用によって業務の定型的な部分における自動化を実現する技術のことです。

ここで言うロボットとは、人間の代わりにコンピュータ上で行う操作や作業を記憶し実行するソフトウェア(ソフトウェアロボット)です。IT化が進んでいる企業では、ほとんどの業務はオフィスに置かれたコンピュータを操作して進められます。RPAのロボットは事前に設定された手順や時間を元にコンピュータのアプリケーションを起動し、操作し、人間が行っているコンピュータ上の定型作業をこなしていきます。
RPAにより、人的工数を削減、正確性も高め、業務の生産性をアップさせることが期待されます。

RPAにおけるセキュリティリスク

RPAは上記のようなメリットをもたらしますが、一方でセキュリティなどに関わるリスクも内包しています。主に挙げられるのは次のようなリスクです。

不正使用により情報漏えいするリスク

RPAによって自動化される処理の多くは、ロボットの管理システムから複数のロボット実行端末へ命令を送ることによって実行されます。その際、管理システムは実行端末にIDとパスワードを送信しログインします。つまり、実行端末が持つ命令処理ファイルの中にはあらかじめIDとパスワードが組み込まれているのです。

この組み込まれているID・パスワードが万一、外部に漏えいすれば、第三者が実行端末にログインできてしまいます。その者は複数の実行端末を自由に操り、好きなだけ情報を盗み出せるかもしれません。

障害発生により業務がストップするリスク

RPAがもしもある日突然停止してしまうと、業務もまたストップします。マシンが行うことなので、故障や停電のリスクは常につきまといます。発生した障害が深刻なものであればあるほど、業務停止による被害も大きくなっていくでしょう。

システム変更により誤作動が起こるリスク

日々の業務内容が変更になった場合は、RPAを動かすためのプログラムも変更しなければなりません。複雑な業務フローを担っている場合には、シナリオを変えることによって思わぬ誤作動が発生する可能性もあります。変更やそれに伴うメンテナンスにはコストもかかるでしょう。ロボットは実直に同じ作業を繰り返すことには長けていますが、人間よりも柔軟性では劣る部分もあります。

誤処理が起こっても気がつけないリスク

RPAが肩代わりする業務フローは、実際にはプログラムによって実行されます。作業が目に見えるわけではないので、今、何をしているかは人間にはわかりにくい傾向があります。仮に長年、RPAに業務を任せきりにしていると、その部署の人間の顔ぶれも変わっていき、RPAが行う業務がブラックボックス化していく可能性があります。そのときに何らかの問題により誤作動が起こったら、誰もそのことに気がつけないかもしれません。

RPAにおけるセキュリティ対策

RPAの導入・運用に際しては、上記のようなリスクがあることを理解した上で、セキュリティ対策を講じる必要があります。個々のリスクに対する対応ももちろん大切ですが、もっと基本的な部分で、RPAを誰が管理・監視するのかという問題をクリアにしておかなければなりません。具体的には以下のような環境づくりが求められます。

外部監査人および内部監査部門との連携

監査制度は大きく「内部監査」と「外部監査」の2つに分けられます。内部監査とは自社内の社員が自ら監査するもので、その目的は自社の情報セキュリティの状況を把握し、サイバー攻撃に強い組織にすることにあります。
一方の外部監査の主な目的は、自社のサービスが情報セキュリティに対応していることを不特定多数もしくは取引先、親会社などにアナウンスし、証明することにあります。この両者が連携してセキュリティを向上させることが、セキュリティ対策の基本となります。

業務部門と情報システム部門の連携

次に、RPAを運用管理していくためのチームが必要です。RPAは現場の業務に精通している業務部門と、社内ネットワークを管理している情報システム部門、両部門の知識と技術が関わっています。そのためチームにはこの2つの部門から人員を集めるのが理想です。

ただし、このチームがRPAの管理のみに従事するのは、大企業でなければ難しいかもしれません。その場合は業務部門と情報システム部門が密接に連携しながら、RPAを運用管理していく体制を用意することになるでしょう。

使用権限の設定

実行端末にログインするためのパスワードを含む命令処理ファイルなどが盗まれると、被害が甚大なものになるおそれがあるのはすでに述べたとおりです。そのためRPAのシステムに対しては厳格な使用権限を設定し、簡単にはアクセスできないようにします。

同時に、外部からの不正アクセスを防ぐためのセキュリティ対策も欠かせません。命令処理ファイル、通信データ、機密情報などはすべて暗号化し、秘匿化して簡単には探し出せないツールなどの導入も検討しましょう。

今後、RPAによる自動化技術はさらに高度化・複雑化し、その活用範囲も広がっていくと考えられます。それに伴い、時代に即したセキュリティ環境を構築していくことが求められます。RPAの導入とあわせて、将来を見据えたセキュリティ体制づくりを進めていきましょう。