導入進むRPAのセキュリティ対策…ニューノーマル時代の考え方と対策

高まるRPAのセキュリティニーズ

企業の業務効率化施策のひとつとして、数年前からRPA（Robotic Process Automation）の導入が広がっている。サイロ化する業務システムのオペレーションや、これらが出力するデータの集計処理、会議資料作成のための定例処理などを自動化するしくみだ。

RPAは、プログラミングの知識やコーディングスキルがなくても、部署や個人のプロセスが手軽に自動化できる点が評価されている。普及にともない、導入・運用での注意点や活用ノウハウへのニーズも高まり、さらなるソリューションの開発やコンサルティング業務も活性化している。

御多分に漏れず、求められる注意点や情報にはセキュリティ対策も含まれる。RPAのセキュリティ対策には何が必要なのか。どんなソリューションが存在するのか。関連の情報や記事も多数公開されている。本稿では、RPAのセキュリティについて、新型コロナウイルスや働き方改革という視点を盛り込んで考察してみたい。

RPAの概要と課題

古くは、PCのマウス・キーボード操作を「記録」して、同じ動作を再現する「マクロレコーダー」のようなソフトウェアが存在していた。Excelのようなアプリケーションにもマクロやスクリプト機能が備わっており、ちょっとした定例業務やアプリケーションの記述もできる。

RPAもこの延長線上に捉えることができるが、マクロをはじめとする従来からのソリューションとRPAの違いは、コーディングの必要がなく、専門スキルがなくても自動化プロセスを定義・記述できること、手元のPCでの実行ではなく、（RPA）サーバーでのクラウド作業も可能になっていること、そして異なる業務サーバーや外部サービスの操作や連携も可能なことだろう。

コーディングレスやサービス間の相互連携の裏側には、機械学習のような新しい技術も利用されている。自動化処理の柔軟性と精度の高さもRPAの普及を後押ししている。

とはいえ、現実には、RPAのロボットを管理するRPAサーバーが必要で、コーディングレスとはいいながら、RPAを記述する担当者・開発者も必要だ。原理的には、プログラマーでない現場の担当者が、ロボットを記述して業務を好きに自動化できる。しかし、このようなRPA導入は理想的だが、企業ガバナンスやセキュリティの視点で推奨されない場合もある。メンテナンス管理から外れてしまったいわゆる「野良ロボット」の問題だ。RPAロボットに限らず、組織が管理しきれないツールやアプリケーションが業務システム内に氾濫するのはガバナンスの問題を引き起こすのは容易に予測できるだろう。

RPAによる脅威とリスクを分析

一般的に、RPAはPC操作を含む人力作業と業務ITシステムが処理する作業の中間に位置する作業を担う。人間の操作や介入がどこまで必要かにより、RPAの機能や処理が決まる。そこに注目して、機能と実際の自動化プロセスを明確化すれば、そこから想定されるリスクや脅威を分析することができる。

たとえば、「RPAガバナンス構築のためのガイドライン」（PwCあらた有限責任監査法人・UiPath株式会社）では、RPAのロボットを下図のように3つのタイプに分類している。

そして、リスク分析については、各ロボットについて「情報のCIA」（機密性＝Confidentiality、完全性＝Integrity、可用性＝Availabilityという情報セキュリティの三大要素）を基準に、以下のように、障害時のインパクトを考えよ（「RPAガバナンス構築のためのガイドライン」P24）としている。

●ロボットの「情報のCIA」
　機密性：個人情報等、漏洩した場合、対外的な影響を及ぼすような情報を取り扱っているロボット。
　完全性：誤入力・誤処理した場合、対外的な影響を及ぼすような処理を行っているロボット。
　可用性：処理が停止した場合、代替がきかず、対外的な影響を及ぼすようなロボット。

情報システムのリスクマネジメントでは、RPAロボットはなんらかの権限を持ってシステムを操作するため、ユーザー（人間）やアプリケーション、デバイスなどの、アカウントを持ったシステムリソースのひとつとして捉えなくてはならない。この視点は、RPAのセキュリティを考える際の大前提となる。

ロボットの作業を開始させるのはユーザーだが、ロボットがシステムアカウントを持つという前提に立つと、RPAのセキュリティ対策で重要なのは、これまでユーザーセキュリティやデバイスセキュリティなど、各アカウントに対するセキュリティとして考えてきた延長でとらえることができる。

RPAセキュリティの対策例

RPAに対して、具体的にはどのような脅威・攻撃リスクがあるのだろうか。RPAのロボットはソフトウェアである。RPAロボットがマルウェアに感染したり、乗っ取られたりするサイバー攻撃を想像するかもしれないが、筆者の知る限りでは、いまのところRPAロボットにマルウェアが感染した、遠隔操作されたという事例は起きていない。

各ロボットは、企業や部署の業務、プロセスに特化して作られている。このため、個人PCやロボット専用PCで動作するロボットを解析して脆弱性などを探すより、RPAサーバーを攻撃して制御権を奪ったり、サーバーの脆弱性を利用して侵入したりするほうが現実的だろう。したがって、対策を考えるなら、他のサーバーと同様の脆弱性管理、エンドポイントセキュリティ、SIEMといった対策をRPAサーバーにも適用することが先決だ。

攻撃者にしてみれば、正規ユーザーのアカウントが手に入れば、RPAサーバーを乗っ取らなくても、その権限でロボットを起動させたり、不正なロボットを記述・実行させたりができるかもしれない。このため、次に考えるのは、ユーザー端末（人間・ロボット用）の監視によって、不正な操作やトラフィック、ログがないかをチェックすることだ。

営業部のロボットが許可されていない財務システムにアクセスしようとしていないか。素性が知れない外部サービスを利用しようとしていないかといったことは、アカウントやリソースのアクセス制限とともに管理・監視すべき事柄だといえる。

利用するサービスへのログインをユーザーの代わりに入力するロボットもあるが、こうした設計の場合、RPAサーバーが乗っ取られたりトラフィックを覗き見された場合にアカウント情報が漏れる可能性がある。

テレワークとRPA

以上の対策は、よく見るとどれも通常のセキュリティ対策と変わらない。RPA導入によって監視対象や対策項目が増えることはあっても、対策の考え方や手法そのものに大きな変化があるわけではない。ロボットがユーザーの操作を行うならば、ロボットを含めたユーザーやシステムリソースのアクセス制御の徹底、ログやトラフィックの監視など、エンドポイント対策を基本としなくてはならない。

RPA活用では、現場業務ごとのロボットが効率改善の要だが、野放図にロボットを増やすと「野良ロボット」が増え、エンドポイント対策に支障をきたすことがある。前述したように、ガバナンスやセキュリティの視点からは、ロボットは現場スタッフが好きに作成するのではなく、システム部や現場の担当者の監視下で開発運用される方が望ましい。

とはいえ、あまり管理を厳しくすると、なんのためのRPA導入かわからなくなる。ロボットの作成ルールや基準を決めておいて、スキルのあるスタッフには自由に作成させてもよいだろう。

RPAをテレワークでも活用する場合、運用やセキュリティ対策は、リモート環境、ゼロトラストネットワーク（イントラネットやVPNのように、セキュアではないネットワーク）前提で考える必要がある。その上で、端末内で稼働するロボットは、そのトラフィックがインターネットに流れる前提で設計する。このため、暗号化や認証方法の工夫が必要だ。ロボットがサーバー、クラウド側で動く場合も、サーバーへのログイン情報、ユーザーや操作の正当性の検証が必須となる。

なお、実際の運用は、RPAのシステムがテレワークでの利用をどこまで想定しているのか、考えられているのかにもよる。そもそも、ローカルで稼働するロボットを、テレワークのリモート環境でも動作させることが必要なのか、といった振り返りも忘れないようにしたい。

参考文献：

RPAガバナンスガイドブック（PwCあらた有限責任監査法人・UiPath株式会社）
https://www.pwc.com/jp/ja/services/assurance/process-system-organization-data-management/risk-governance-advisory/rpa/rpa-guideline.html

RPA の盲点 IT ガバナンスの重要性（株式会社イーセクター）
https://www.esector.co.jp/special/rpa/rpa6.html

RPAとセキュリティ（sweeepマガジン）
https://mag.sweeep.ai/rpa/rpa-security/

【保存版】RPA運用に必須のセキュリティ対策とは？トラブル事例も含めて徹底解説
https://qeee.jp/magazine/articles/2062