RPAとは?
RPAとは、Robotic Process Automation(ロボティック・プロセス・オートメーション)の略称で、パソコンを使って行う定型業務を人に代わってロボットが行うツールです。
業務効率化や生産性向上を実現するうえで、さまざまなツールが活用されています。RPAもそのアプリケーションのひとつですが、ほかのツールと異なるのは、活用できる業務の範囲が広い点です。
例えば、会計管理システムは会計部署の効率化、営業管理システムは営業部署の効率化に活用できるツールです。これに対してRPAは、部署や業務内容を限定せずにパソコンで行えるほとんどの定型業務の自動化を実現します。
また、勤怠管理システムで計算した残業時間をもとに、給与計算システムで給与計算を行うといった部署をまたがった業務の自動化も実施可能です。これにより、企業全体の業務効率化、生産性向上を実現します。
RPA導入時はセキュリティ対策も万全に
RPAにも確かにセキュリティリスクは存在します。しかし、それは従来のITツールでも同じです。セキュリティリスクがゼロというツールは存在しないと言ってもよいでしょう。
情報漏洩や改ざんが起こるとき、必ず要因があります。つまり、そのセキュリティの「脅威」を明確にし、対策を万全にすることで、ほとんどのセキュリティリスクを抑えることは可能です。RPA導入においても、ほかのITツールと同様にセキュリティ方針を策定し、「リスク」と「脅威」を明確にし、対策をとればむやみに不安になる必要はありません。
RPAの利用時に起こりうるリスクとは?
RPAは人が行う業務の操作をロボットに記憶させ、自動化させるツールです。そのため、RPAのセキュリティリスクの多くはロボットの挙動に関するものであり、それを理解しておく必要があります。
では、具体的にRPAのセキュリティリスクを見ていきましょう。
ロボットの誤作動
RPAはほかのツール同様、何らかの不具合によってロボットが誤作動してしまうリスクがあります。
例えば、予期しないエラーの発生や、目的と異なる誤った処理やタスクの実行などが挙げられます。
ロボットの誤作動は、その内容によって自社だけではなく取引先の情報漏洩や誤発注といったリスクを生み出してしまう可能性も考えられます。
ロボットの停止
RPAは製品にもよりますが、人がシナリオ作成画面から自動化したいPCの操作をロボットに覚えさせる形で設定します。そのため、使用しているツールやソフトウェアなどがバージョンアップによってアイコンのデザインが変わったり、これまで表示されていた機能が隠されたりなど、インターフェースが変わると、動かなくなるリスクがあります。
また、RPAで操作を自動化しているツールに、誤ったデータを入力したり、入力が必要なデータを入力しなかったりした場合も、ロボットが止まってしまうリスクがあるでしょう。
内部の不正なロボット操作
RPAはさまざまな部署が活用しているツールの自動化をするため、使い方によっては悪用されるケースも考えられます。例えば、営業部署の顧客管理システムから顧客の個人情報を抜き出す、会計管理システムから企業の取引情報を改ざんするなども行えてしまいます。
RPAはロボットのため、24時間365日稼働が可能です。これを利用して夜間や休日に内部の社員が不正なロボット操作を行うのも、セキュリティリスクのひとつといえるでしょう。
ログイン情報の漏洩
前述した内部の不正なロボット操作が起こる要因のひとつが、ログイン情報の漏洩です。仮にさまざまなツールの操作を自動化できるといっても、そのツールにログインするIDやパスワードを知らなければ自動化の設定は不可能です。
RPA以外のツールのログイン情報漏洩は、直接的なRPAのセキュリティリスクではありません。しかし、結果としてRPAを自由に動かせてしまう点において、RPAのセキュリティリスクのひとつとして考えてもよいでしょう。
ロボットの設定ミス
RPAのロボットは人が設定した動作を間違いなく実行するツールですが、逆をいえばロボットに間違えた動作を設定してしまうと、ロボットは正しい業務を行えなくなります。
例えば給与計算で税金の算出方法を間違えれば、正確な給与が支払えません。また、定期的に発注している商品の数を間違えれば、過小もしくは過剰発注になってしまい、自社に損害を与えることにつながってしまいます。
野良ロボットの発生
RPAを使ってロボットを作成した社員が異動や退職してしまった場合や、管理者が把握していないところで勝手に社員がロボットを作成する場合など、管理下に置かれないロボットが生まれてしまうことを「野良ロボット化」と表現します。
もし不具合が起きた際、間違えた動作をするだけならまだしも、連携しているほかのツールにまで影響が及ぶ可能性もあります。
しかも、管理者不在のため不具合に気付かれずに、動作を続けてしまう可能性もあります。
ロボットの属人化・ブラックボックス化
野良ロボットと似ていますが、ロボットの属人化やブラックボックス化にも注意が必要です。これは、ロボットの設定内容について、設定した社員だけが把握できている状態になることです。
この状況でロボットを作った社員が異動や退職をしてしまい、しかもそのロボットの作成・修正方法や運用方法を引き継がなかった場合、ロボットはブラックボックス化します。
つまり、ロボットが操作するツールにバージョンアップや機能変更があったときにロボットのシナリオ修正が必要になりますが、正しく動作するようにメンテナンスできる人が誰もいない、という状態になります。
結果として、想定外の動作を続けてしまったり、ロボットが停止することになったり、生産性を低下させるリスクが発生します。
RPAツールに施すべきセキュリティ対策とは?
さまざまなメリットを持つRPAですが、そのセキュリティリスクを把握していないと、メリットを活かせないだけではなく、逆に大きな被害を生み出してしまう場合も考えられます。
そこで、RPAのメリットを最大限に活かすために、必ず取り組むべきセキュリティ対策について説明します。
付与する権限は最小限に
RPAのセキュリティ対策でもっとも重要なのは、利用権限を付与する範囲を最小限に抑えることです。具体的には、RPAを管理するための権限、RPAで自動化するために必要なデータにアクセスする権限、RPAを使って自動化するツールにログインする権限の設定などが挙げられます。
いくつかのRPAはプログラミングの知識がなくても、誰もが比較的簡単にロボットの設定を行えるのがメリットです。そのため、あまりに権限の範囲を狭くしてしまうとそのメリットが活かせません。
とはいえ、権限の範囲を狭くし過ぎてしまうと、権限を付与された社員の負担が増大し、勝手に権限を委譲してしまうこともあるでしょう。
そのため、導入時点では権限の範囲を最小限に留めつつも、状況に応じて権限の範囲を広げたり変更したりしていくことをおすすめします。
ID・パスワードの削除や暗号化
RPAの設定・管理を行える社員が異動や退職する場合は、その社員のRPAへのログイン権限を削除するようにしましょう。そのままにしておくと、組織の外部から侵入して情報を抜き出す、改ざんするなどのリスクが増大するため、徹底しましょう。
ただし、異動後もRPA運営に関わる場合や、別部署でRPAを活用する場合は、この限りではありません。
また、ID・パスワードの暗号化も重要です。ただし、暗号化は復元が可能な可逆性のため、例えば、メールの中で暗号化されたID・パスワードを記載した場合、それが漏洩することで復元される場合もあります。暗号化をしたうえで、ID・パスワードを非表示にできるRPAを選定すれば、セキュリティリスクは軽減することができるでしょう。
ちなみに、以前はID・パスワードのセキュリティ対策として、定期的な変更が有効であるとされていました。しかし、2017年5月にNIST(アメリカ国立標準技術研究所)、そしてそれを引き継ぐ形で2018年には総務省がそれぞれ見解を発表しています。
その内容は、実際にパスワードを破られアカウントが乗っ取られる、もしくはサービス側から流出した事実がなければ、ID・パスワードの定期的な変更は必要ないというものです。
そのうえで、総務省は安全なパスワードの作成方法として、次の5点を挙げています。
- 名前などの個人情報からは推測できないこと(tanakaitiro01など)
- 英単語などをそのまま使用していないこと(Officeやpasswordなど)
- アルファベットと数字が混在していること
- 適切な長さの文字列であること(ツールの制限にもよるものの12文字以上が推奨)
- 類推しやすい並び方やその安易な組み合わせにしないこと(123456やabcdefなど)
尚、4つめのアルファベットと数字が混在していることというルールですが、場合によっては、アルファベットと数字を混在した8文字より、アルファベットだけで12文字のほうが強固であるという説もあります。このあたりは、それぞれの企業で検討し、パスワードの作成ルールを決めるとよいでしょう。
動作ログの管理
次に重要なポイントは、ロボットを動かす際に必ず操作ログやアクセスログ、実行ログを残すように設定することです。ログが残っていれば、万が一問題や不具合が発生してロボットが停止、誤作動を起こした際の原因特定がしやすくなります。その結果、早い段階で対応でき、野良ロボット化を防止、復帰の迅速化が可能です。
また、ログを残していれば、不正アクセスされた際や情報漏洩、改ざんがあった際の原因特定もしやすくなり、内部統制にも効果を発揮します。
ソフトウェアのアップデート
例えば、RPAが自社サーバーへのインストール型であったとしても、RPAで操作を自動化する対象のツールがクラウド型の場合は、インターネット接続が必要になります。そのため、インターネット回線を通してサイバー攻撃を受けるリスクがあります。
また、インストール型であっても、社内のLANに侵入される可能性はあるため、攻撃を受けてしまうリスクはゼロではありません。
これを防ぐための対策は、セキュリティソフトのインストール、そしてRPAソフトウェアのアップデートをすることです。RPAはアップデートによって随時ソフトウェアの脆弱性などの改善を行っていますので、常に最新状態に保ちましょう。
ただし、アップデートによってRPAや各種ツールのインターフェースが変わったり、操作方法が変わったりする可能性があります。誤動作や野良ロボット化を防ぐためにも、RPAや関連ソフトウェアのアップデートを行った際は、必ずロボットの動作確認をするような仕組み化を検討しておきましょう。
RPAガバナンスの策定も重要
RPAのセキュリティ対策を行ううえで、もう一つ重要なポイントがRPAガバナンスの策定です。聞き慣れない言葉かと思いますが、詳しく見ていきましょう。
RPAガバナンスとは
コーポレートガバナンスという言葉はご存じかと思います。RPAガバナンスとは、このコーポレートガバナンスを基礎としたもので、RPA導入の時点から運用管理を行ううえで企業の指針や目標を定めるものです。主な指針、目標の例としては次のようなものが挙げられます。
- 効率化を進めるべき業務の選定
- RPAを導入するうえで既存ツールとの相性確認
- 実際に自動化する業務手順の洗い出し
- RPA導入・運用時のメリット・デメリットの把握
- RPAの活用・セキュリティリスク解消のためのルール策定
- RPA導入によって自動化させたツールを手作業で行う場合のマニュアル作成(野良ロボット化・ブラックボックス化の防止)
- RPA導入によってこれまで手作業でやっていた業務時間をどれだけ削減するか
- RPAの運用でどれだけ生産性向上を実現させるか
- 誤作動や突然の停止があった際のエラー処理方法(通常時とは大きく異なる発注があった際や、ツールがバージョンアップした際のアラート設定など)
これらを導入時に明確にしておくことで、セキュリティ対策の強化が実現すると同時に、RPAの効果を高めるための基礎が整えられます。自社でこれらを全てを明確にするのは難しい、という企業の場合でも、ベンダーが一緒になってサポートしてくれる場合がありますので確認してみるとよいでしょう。
まとめ
IT技術がどれだけ進化しようと、セキュリティリスクが完全にゼロなツールは存在しません。ツールのセキュリティが高まれば、それを破る技術もまた進化するからです。
重要なことは、セキュリティリスクを恐れて効率化を諦めるのではなく、できるだけセキュリティリスクの低いRPAを導入すること。そして、社員のセキュリティ教育も含め管理体制を万全にすることです。
この2点をしっかりと行えば、セキュリティリスクを抑えたうえで、RPAのメリットを効果的に活かすことができ、業務効率化や生産性向上を実現できるでしょう。
RPAツールをお探しの際は、ぜひ「ロボパットDX」もチェックしてみてください。
「ロボパットDX」は現場社員向けに開発されたRPAツールで、無料での担当制サポートなど現場への浸透をさまざまな形で支援しています。
セキュリティ面の不安についても、ぜひお気軽にご相談ください。