RPAのセキュリティは、大丈夫?

コンピュータを使っていると、必ず問題になる「セキュリティ」。

私、今でこそRPAエンジニアとして働いていますが、元々はネットワークやインフラ関係に携わっていたのです。

VPNがどうのこうの、IPアドレスがどうのこうの、オンプレミスがどうのこうのというやつです。

とても奥が深い分野であり、次から次へと新しいサービスが出てくるので、数年あいだが空くだけで、浦島太郎状態になってしまうのです(苦笑)

 

企業における「セキュリティ対策」は、どうすればいいの?

さて、話を戻して、セキュリティの話ですが、この分野は終わりというものがないのです。

セキュリティ対策を結論から言えば、いくらお金を掛けても、完璧!ということない世界であり、最終的にはコストと利便性のバランスということになります。

それにセキュリティと一言でいっても、外部からハッキングされてネットワークに入られることもあれば、内部に内通者がいてパスワードなどの情報が漏れて…ということもあり、機器だけでなく運用体制の確立も必要になりますね。

 

企業もそれなりの規模になると、こういった管理をする専門の部署があったりします。

一番多い呼び名は、「情報システム部(通称:情シス)」でしょうか。

中小企業では、部署名はあるものの実質一人でやっていたり、何かと兼任というのも珍しくありませんね。

そんな情報システム部ですが、もしみなさんの部署が「社内にRPAを導入したい!」という場合には、ひとこと相談する必要があります。

なぜなら、彼らは社内におけるコンピュータ関連のセキュリティ管理者だからです。

情シスの仕事って、あまり社内で注目を浴びることも少なく、何もトラブルが無くて当たり前!といった具合に、評価が高くないことが多いのです。

逆に言えば、何かあった時には、「何やってんの、お前ら!」と叱られることもザラなのです。

そのため、少しでも危険性のあるものは、なるべく導入したくないというスタンスであることが一般的です。

もちろん、コンピュータを使う上で100%の安全性を確保するとなると、インターネットにつながず社内だけのネットワーク、もしくはスタンドアロンで使わないといけないということになり、コンピュータの利便性を大きく損ねることになります。

特に中小企業では、大企業のようにあまりセキュリティにお金を掛ける余裕がないところが多いので、「利便性をとるか? セキュリティをとるか?」といった決断を迫られることがよくあります。

セキュリティ自体は、お金を産まないので、そこに投資するということを理解してもらうことも難しいのです。

なので、セキュリティ意識の高い企業は、おおむね一度痛い目にあったことがある企業が多いのです(苦笑)

 

「RPA」を利用する際の、セキュリティ問題は?

で、本題の「RPA」です。

「RPAは、セキュリティを損ねる可能性があるのか?」という話です。

ここでは、「外部」と「内部」に分けて考えてみます。

 

まず「外部」ですが、多くのRPAツールにおいて、利用時にインターネットに接続している必要があるものがあります。

「クラウド型」はもちろん、インストール型でも、起動時に認証を掛ける為、インターネットに出ていくものもあります。

理論的に言えば、RPAツールが外部と通信する際に、セキュリティホールがあれば、そこからネットワークに入られる可能性はあります。

ただ、2020年12月時点において、そういった被害にあったという話を聞いたことがないので、通常利用では心配する必要はないと思います。

 

次に「内部」ですが、これに関しては確かにチェック体制を整えておく必要があります。

というのは、RPAは一連の流れを自動化出来ます。

なので、RPAツールで作ったロボットが動いていても、パソコンの前に座っている必要が無いこともあり、誰も気づかない可能性があるからです。

もし誰かが故意に、社内基幹系サーバからお客様情報をダウンロードし、それをメールに添付して、外部に送信しようと思えば、出来ないことはありません。

もちろん、基幹系サーバへのアクセス記録や、メール送信をした記録などは残りますので、犯人の足跡を辿ることはできるでしょう。

しかし、もう外部に社内情報を送信したという事実は、元に戻せません。

RPAには、こういった危険性はあります。

そのため、RPA用のパソコンに対して、社内で「運用ルール」を確立しておく必要はあるでしょう。

 

少し例を挙げてみると、

①RPA用パソコンのログインパスワード管理。(特定の人にしか、触らせない)

②作成したロボットが一目で分かるようにドキュメント化しておく。(野良ロボットを作らない)

③RPAを動かした時には、色々とログが残る仕組みにしておく。

④RPA用のパソコンから見える共有フォルダは、最低限にしておく。(今あるものを使うのではなく、ロボット用のアカウントを用意する)

⑤保守会社以外では、リモートアクセスを許可しない。

といった感じです。

まあ、RPAに限らず、通常の運用ルールと同じで、

『情報を持ち出そうとすると、すぐに誰が行ったのか分かる仕組みにし、そういった気を起こさせない運用体制にする』

ということが一番大事になりますね。

 

そうはいっても、従業員数がそれなりにいる会社では、完全に目が届く訳ではありません。

情報漏洩が不安で仕方がないという経営者の方にお勧めするのは、「保険」でしょうか。

いまや、こういった「RPAによる情報漏洩の保険」も出ているのです!

(URL)https://www.sankeibiz.jp/business/news/191114/bse1911140500001-n1.htm

RPAの導入・運用に役立つ情報をお探しなら