RPAの情報セキュリティ対策って、皆さんはどのように扱っておられますか。
ある役員から突然、『当社のRPAの情報セキュリティ状況を報告してくれたまえ。当然上手く対処できているんだよね』と尋ねられた時、慌てずに回答できるRPA推進者はいないんじゃないでしょうか。 今回は、RPAの情報セキュリティ対策について考えてみたいと思います。
そもそも情報セキュリティとは
総務省のサイト(以下)では、『情報セキュリティという言葉の意味は、まだ明確に定義されている訳ではありませんが、企業・組織における情報資産全般の機密性、完全性、可用性を確保するという意味で使われている言葉です。』とあります。
総務省 国民のための情報セキュリティサイトなお、情報資産とは、企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやフロッピーディスクなどのメディア、そして紙の資料も情報資産に含まれます。
機密性とは、認可されたものだけが情報にアクセスできることを確実にすること。Confidentiality(コンフィデンシャリティ)の訳語です。
完全性とは、情報及び処理方法の正確さおよび完全である状態を安全防護すること。Integrity(インテグリティ)の訳語です。
可用性とは、認可された利用者が、必要なときに情報にアクセスできることを確実にすること。Availability(アベイラビリィティ)の訳語です。 機密性(C)、完全性(I)、可用性(A)の3観点で、RPAロボットが適切に振る舞えるように備えるのが、RPAの情報セキュリティ対策になるわけです。
一般オフィスワーカーの情報セキュリティ対策
皆さんの会社には情報セキュリティポリシーや様々なIT運用規定がありますよね。そして、そのポリシーや規定に則って皆さんも以下のような情報セキュリティ対策を日常業務の中で講じていると思います。
- セキュリティ研修を毎年受講する
- システムのアクセス権は必要最小限のメンバーに設定する
- パスワードは3か月ごとに変更し、意味のない8文字以上の文字列で3種以上の文字種を含める
- パスワードを他人に見せたり共用したりせず適切に保管する
- 知らない人から届いたメールやその添付ファイルは開かない
- メール送信時には文面とその宛先に間違えが無いことを再チェックしてから送付する
・・・(他、多数)
オフィスワーカーに代わってパソコン操作を自動化するRPAロボットも、当然このようなオフィスワーカーが守るべき情報セキュリティ対策に準じることが必要になります。
RPAロボットの情報セキュリティ統制は必須
RPA運用の課題の一つに野良ロボットの発生がありますが、情報セキュリティ的には野良ロボットが発生し得るRPA運用は絶対ダメだと思います。
オフィスワーカーのパソコンに対して、OSのセキュリティパッチの適用やパスワード更新の案内など、人事情報やPC資産管理情報に基づいてIT管理部門からかなり徹底した統制が行われていますよね。なので、RPAロボットに対しても、オフィスワーカーと同等以上の統制が必須になると思います。
もしRPA導入前でデスクトップ型RPAとサーバー型RPAの2つで迷っているなら、統制しやすいサーバー型RPAを迷わず選ぶべきです。またデスクトップ型RPAを導入済なら、統制しやすいサーバー型へ早めに移行すべきだと思います。
RPAロボットがアクセスしている先は?
サーバー型RPAであれば安心かというとそうでもないところが難しいところです。例えば、各RPAロボットがアクセスするシステムやそのアカウントの管理については、RPAメーカーからのベストプラクティス情報が提供されていますが、実際は導入各社が自ら運用方法を決めていかなければならないのです。 なので、RPAロボットのアクセスするシステムやそのバージョン、ロボットのアカウントやパスワードの管理方法について、しっかりと整備できているところは少ないのではないでしょうか。
アカウント情報の管理実態を把握しましょう
皆さんの会社のRPAの情報セキュリティ対策の整備状況はいかがですか? CIAの中の機密性に関することですが、例えば、RPAがアクセスするシステムのアカウント管理やパスワード管理がどのように状況かご存じですか? 先にご紹介した総務省の情報セキュリティのサイトでも、企業の情報管理担当者に向けた対策記事の中で、
- ユーザー権限とユーザー認証の管理
- パスワードの管理
を重要な対策として挙げていました。
もし、RPAの情報セキュリティ対策に不安があるなら、まずはアカウント情報の管理実態を調べて、ここの整備から始められてはいかがでしょうか。
一つの実践例ですが、弊社ではシステムアカウントのパスワード変更は、パスワード更新を担うロボットにて定期的に更新処理を施して、業務担当者もRPAロボットの開発担当者もRPAロボットが利用するパスワードの実体を見ることのない運用にしています。 先の『パスワードの定期更新とパスワードを他人に見せることなく適切に保管する』を、自動更新ロボットの運用にて実現しているわけです。
まとめ
RPAの情報セキュリティ対策は、オフィスワーカーが講じるべき情報セキュリティ対策を基にして考えるとわかりやすい
オフィスワーカーやオフィスワーカーが利用するパソコンやソフトに対して講じている情報セキュリティ対策と同等以上の労力がRPAの情報セキュリティ対策には必要 RPAの情報セキュリティ対策を適切に講じるには統制が効くことが重要なので、サーバー型RPAでないと難しい
参考情報
自社サイト
弊社デジタルレイバーサービス:『https://digital-labor.nissho-ele.co.jp/services/』
外部サイト
総務省 国民のための情報セキュリティサイト:『https://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/index.htm』
