RPAツールの８つセキュリティリスクと対策！製品の選び方も解説

RPAツールのセキュリティリスク

多種多様な業務を自動化できる便利なRPAツールですが、使い方を誤ると重大なセキュリティ事故が発生する可能性があります。

RPAツールのセキュリティリスク一覧

RPAツールには以下のようなセキュリティリスクがあります。

• １．過剰な権限付与によるデータへの勝手なアクセス
• ２．サイバー攻撃によるロボットの乗っ取り
• ３．内部の不正行為による誤った使用
• ４．設定ミスによるセキュリティ事故
• ５．ロボットの誤作動による想定外の動作
• ６．異常停止の可能性
• ７・自己判断ができないリスク
• ８．野良ロボの発生

１．過剰な権限付与によるデータへの勝手なアクセス

RPAは人が行っていた操作を代わりに実行するため、その業務の担当者と同等以上の権限を与えなければなりません。具体的には、必要なデータベースへのアクセス権限を与えたり、ログインするためのIDやパスワードを記憶させる必要があります。

これは他人に重要なデータのアクセス権を与えることと同じであり、想定外にRPAが機密性の高いデータに勝手にアクセスしてしまう可能性もあります。特に他部門のデータにアクセス可能な権限を与える場合は、十分に注意しましょう。

２．サイバー攻撃によるロボットの乗っ取り

RPAはソフトウェアであり、サイバー攻撃の対象になって乗っ取られる恐れがあります。乗っ取られたRPAは指示した以外の動作をする可能性があります。インターネット回線などの社外環境につながっている場合は、悪意のある第三者によってバックドアと呼ばれる不正侵入する入口を勝手に作られ、情報漏えいしてしまう恐れがあります。

３．内部の不正行為による誤った使用

RPAを悪用した内部の社員の不正行為も考えられます。例えば他部門の重要データに不正アクセスしたり、夜間の時間帯に顧客リストなどの個人情報を盗むことも、RPAに指示を与えれば可能でしょう。誰でもRPAを利用できる状態は、社内でのRPA活用を後押しする一方で、誰がどんな指示を与えているか把握しづらくなるというリスクがあります。

４．設定ミスによるセキュリティ事故

そもそもRPAに指示した作業内容にミスがあり、想定外の事態を招くケースがあります。例えば、RPAによる顧客への定期的なメール送信作業では、誤った顧客リストを指定していたり、別の顧客に送るデータを添付したりしていても、顧客からミスの指摘が無いと担当者側では気づきにくいことがあります。指摘を受けるまで長期間に渡って誤送信をしてしまった場合の損害は計り知れません。

５．ロボットの誤作動による想定外の動作

RPAは絶対にミスを起こさないという認識は誤りです。RPAはソフトウェアであり、開発時のコーディングミスや環境に依存した検証不足など、さまざまな要因によって誤作動するリスクがあります。同じ処理を繰り返す場合は、製品ごとの使用環境にもよりますが、ほかのシステムや企業全体のネットワークの通信速度にも影響を及ぼすことがあるかもしれません。例外データを誤ってインプットした場合も、それに気づかず正常終了したと判断してしまうこともあるでしょう。

６．異常停止の可能性

RPAは、PCのアップデートやアプリケーションの仕様の変更、業務フローの変更などで異常停止する事例もあります。エラーを想定したハンドリングを正しくRPAにプログラムしておかなければなりません。また稼働する前に、エラー処理のテストを行い、想定されるエラーについて担当者と共有しておくと安心でしょう。

７．自立した判断ができない

RPAには、AI機能を搭載し自立した判断が可能な「EPA (Enhanced Process Automation)」や「CA (Cognitive Automation)」などの種類もありますが、一般的なRPAは、決められた作業以外のことはできません。人間であれば、当たり前に気が付く変更やミスには対処できず、融通がきかない面もあります。

８．野良ロボの発生

誰にでも簡単に扱えるRPAツールが多く登場しており、RPA管理者の移動や退職があったとしても、後任の管理者を決めずそのまま継続して稼働させているケースもあるようです。ロボットの稼働を常時チェックしたり、トラブル時に迅速に対処できる管理者が不在の野良ロボは、リスクに気が付きにくく非常に危険です。

RPAツールのセキュリティ対策

ここまで解説したように、RPAツールにはさまざまなセキュリティリスクがあり、十分なセキュリティ対策が必要不可欠といえるでしょう。ここからは有効な対策方法を紹介します。

部署ごとにロボットをわけ最低限の権限のみ与える

ロボットを同じ企業内で使い回すと、各部署から権限を与えられることによって何でもできる権限過剰な状態になりえます。部署ごとにロボットはわけ、作業に必要な最低限の権限のみを与えるようにしましょう。

また、部門をまたがって情報を入手しなければならない作業については、RPA活用の必要性を検討することが必要です。どうしても権限付与が必要な場合は、消去や編集を避けるためにも読み取りのみの権限付与にしましょう。

ID・パスワードは暗号化して保存する

万が一、IDやパスワードが流出しても暗号化してあれば不正アクセスを防げます。またRPAが使用するファイルそのものを暗号化しておくと安心でしょう。

また、権限なしには入れないデータ領域に暗号化されたID・パスワードを保管すれば、二重にセキュリティ対策ができ、更に安全性が増すでしょう。

ログの取得

RPAの操作ログやアクセスログ、実行ログなどログの取得が大切です。野良ロボの発生や誤作動、乗っ取りなど不正な動きに対して一早く気づき、対処する必要があるからです。ロボットコーディングの際には、作業段階ごとにログを残すよう組み込んでおきましょう。

アップデートを行い常に最新の状態を維持する

ソフトウェアにはセキュリティホールと呼ばれる、プログラムの不具合や設計上のミスが必ず存在します。

悪意のある第三者はそのセキュリティホールを狙ってサイバー攻撃を仕掛けてきますが、ベンダーから定期的に提供されるセキュリティアップデートのパッチを実行することで、これを防げるのです。パッチの提供がされたら、なるべく早く全社で適用するようにしましょう。

RPAセキュリティ対策チームを作る

RPAは各業務の担当者が主に使用する目的のツールであるため、企業の情報セキュリティ対策を担う情報システム部門のチェックから漏れるケースがあります。現場担当者は問題がないと思っていても、専門知識を持つ情報システム部門からすると大きなリスクのある使い方をしていた、というのはよくある話です。

RPA導入前から、現場の担当者と情報システム部門の人間を集めたセキュリティ対策チームを組織し、定期的に安全なRPAの使い方を確認するようにましょう。

RPAツールの安心な選び方

RPAツールはリスクを把握し、セキュリティ対策を実施することで安全に使用できます。製品を選ぶときは、ツール自体にもセキュリティ機能が備わっているかも必ず確認するようにしましょう。ここでは、RPAツールを選ぶときのポイントを解説します。

業務の規模・適用範囲で選ぶ

RPAツールは、自動化したい業務規模によって選択する製品が変わってきます。定型業務を自動化できる汎用型のRPAツールもあれば、複雑な業務に適応できる特化型のRPAツールもあります。

また、導入形態は大きくわけて「デスクトップ型」と「サーバ型」の２種類があり、個人のデスクトップ上の業務を自動化するか、サーバ上で処理を行うかの違いがあります。会社レベル単位の業務を効率化し、より厳密にセキュリティ対策を実施したい方は、情報システム部門の目が届きやすいサーバ型の製品を中心に導入を検討するとよいでしょう。

プログラミングの有無で選ぶ

RPAツールを活用するときには、ロボットに指示を出す「シナリオ」を設計する必要があります。このシナリオ設計にはプログラミングの知識・技術が必要ですが、ツールの中にはプログラミングを行わずに直感的な操作でシナリオ設計できるものもあります。

専門知識不要のRPAツールは使いやすい分、シナリオ作成のやり方を間違えると誤作動が発生するケースもあるため注意しましょう。

サポートの充実度で選ぶ

RPAツールを運用してみると挙動がおかしかったり、不具合が発生したりするため、サポート体制が充実しているかどうかは重要です。

土日祝日も稼働している企業であれば、サポートの対象となる曜日や時間帯も重要な要素になるでしょう。また重要度の高い業務を自動化している場合、土日祝日に不具合が起きたときに対応できるかどうかは企業にとって大きな問題です。

以下の記事では、高セキュア・サポート充実など、さまざまなRPAツールを紹介しています。

関連記事

watch_later 2021.07.07

【2021最新比較表】RPAツール価格・特徴を徹底比較！選び方も解説

続きを読む ≫

RPAツールのセキュリティを強化し効果的に運用しよう

今回はRPAツールのセキュリティリスクとその対策について紹介しました。RPAツールは指示に対して忠実に処理を行うため、誤作動が発生すると損害が大きくなりやすいのが特徴です。また、インターネット接続を必要とする業務を自動化するときなど、サイバー攻撃対策にも細心の注意を払わなければなりません。自社に合ったRPAツールを導入し、万全なセキュリティ対策を行って効果的に運用しましょう。