RPA運用におけるセキュリティの課題と対応策
RPAツールは通常、業務プロセスを自動化するために企業ネットワークやデータベースにアクセスします。その中には機密情報や個人情報が含まれているケースも多いでしょう。RPAを使用した悪意ある行動への対策を怠ったままRPAツールを導入すると、セキュリティが脅かされる危険があります。本コラムでは、その対策法を解説します。
データのセキュアな管理体制
RPAツールの導入において最も重要な課題の一つは、データセキュリティの対策です。RPAが機密情報や個人データを処理・転送する際、それらのデータは適切に保護される必要があります。RPAツールを安全に運用するためにはデータの暗号化やアクセス制御への十分な配慮とユーザーの高いセキュリティ意識が必要です。
不正アクセスやデータ漏洩への対策が不十分な場合、セキュリティの脆弱性が生じる可能性があります。安全にデータを管理するために以下2点を社内ルールとして定めることをおすすめします。
・アクセス管理ポリシー
・役割や職権ごとのアクセス制御
明確で包括的なアクセス管理ポリシーを作成し、RPAを利用する全ユーザーにドキュメントとして公開します。運用方法についての説明会を開いても良いでしょう。
運用方法としては、役割ごとにアクセス制御を行い、ユーザーやRPA用の端末に必要な権限を与えます。新規ユーザーの追加や変更があるたびに、定期的なアクセス状況の確認を行い、不必要な権限を削除することがポリシーの有効な運用の鍵です。全ての関係者が管理ポリシーに準拠することで、機密情報や個人データを守り安全なRPAツールの運用を実現します。
ロボットの集中管理
RPAツールの機能を活用し、管理者や作成者が不明な不正な動きをするロボットに対応する体制を整えることも求められます。管理対象のロボットが増えるほど利用状況の把握が困難となりブラックボックス化するケースをよく耳にします。
このような状況を対策するために、管理サーバのようなロボットを集中管理できる機能やオプションがあるRPAツールを選ぶことが有効です。各所に散らばったロボットを集中管理し社内のガバナンスを強化につながります。管理サーバを利用し、ロボットの動作ログの収集や不正なシナリオのチェックに重点を置くことで、セキュリティインシデントへの早期対応が可能です。
その他、集中管理でできることはこちらのコラムをご確認ください。
RPA利用端末の運用と制限
最後はRPAがインストールされている端末自体の運用についてご紹介します。
個人情報や機密情報が処理されるRPAツールがインストールされた端末を運用するポイントは以下の3点です。
①実行端末の制限
②閉域環境での利用
③マウス、キー操作のロック機能
①実行端末の制限
RPAツールで作成したシナリオを実行する端末を制限することには、複数の側面からセキュリティメリットがあります。まず、認証情報やアクセス権の管理が容易になります。特定の信頼性の高い端末にのみRPAをインストールすることで、不正アクセスのリスクが低減します。
②閉域環境での利用
機密性の高いデータを扱う場合、外部から完全に遮断された特定の閉域ネットワーク内で運用することも一つの方法です。不正アクセスなど外部からの攻撃への対抗策として有効です。RPAツールによってはインターネット接続が必須である場合があるため、利用しているRPAツールをご確認ください。
自治体や病院の電子カルテのネットワークなどインターネットとは分離している環境では、非常に機密性の高いデータを扱いますが、閉域環境で利用可能なRPAツールであれば、このようなセキュアな環境でも利用することができます。
③マウス、キー操作のロック機能
デスクトップ型のRPAツールの場合は業務シナリオが動いている間は端末を占有することになります。常に人が端末を監視することは現実的では無いため、その間に不正に操作が行われないよう、あらかじめシナリオ実行時にマウスやキー操作を制限することを推奨します。
EzAvaterの場合は、パスワードを設定することでシナリオ実行時はマウス、キー操作の利用ができないようにする設定が可能です。解除するにはパスワードを入力します。このような対策をとることで、ロボット稼働中に不正に端末を操作されるリスクを軽減することができます。
まとめ
RPAツールで取り扱うするデータの機密度が高いほど便利である反面、セキュリティへの配慮が求められます。そのため効果的かつ安全に利用するためには、利用環境の整備が不可欠です。
RPAツールの利用シーンが多い経理や人事部門、管理部門では、個人情報や発注データ、売上データなど非常に機密性の高いデータを取り扱っています。セキュリティ対策は、RPAの成功に欠かせない要素です。今回ご紹介した手法を組み合わせ、RPAツールを適切に利用することは、セキュリティリスクを減少させる重要な一歩です。
また、RPAツールの選定基準にセキュリティの要件を加え、自社の運用に適合するか十分に検討してみてはいかがでしょうか。
ペンネーム あゆみさん
仙台市出身
ITソリューションを提供するマルチベンダーで営業・マーケティングを経験し、2019年にテリロジーへジョイン。
現在はRPAツールのマーケティングを中心に活動中。
趣味は温泉旅行だが、若干潔癖症のため大浴場は苦手。