RPAのセキュリティを確保するための4つのステップGartner Insights Pickup(206)

セキュリティとリスク管理のリーダーは、RPAプロジェクトのセキュリティ対策を実施することで、RPA導入に伴う業務不正やデータの漏えいに備える必要がある。本稿では、RPAのセキュリティを確保するための4つのステップを紹介しよう。

» 2021年05月07日 05時00分 公開
[Manasi Sakpal, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

サイバーセキュリティの危険度の低減と、日常業務の自動化を両立させる

 RPA(ロボティックプロセスオートメーション)は、ITリーダーの間で新たな人気を集めている。迅速に展開して反復業務を自動化でき、企業が時間と費用を節約するのに役立つ。

 だが、RPAにはリスクが伴う。RPA botは機密データを扱い、システム間でこれらのデータをあるプロセスから別のプロセスへと移動するからだ。こうしたデータは、セキュリティを確保しなければ侵害される恐れがあり、企業に数百万ドルの損害を与える可能性もある。

 「RPAに関連する大きなリスクが2つある。それはデータ漏えいと不正によるものだ」と、Gartnerのアナリストでアソシエイト プリンシパルのナヴィッド・ラシッド(Naved Rashid)氏は説明する。

 「適切なセキュリティ対策を講じないと、RPA botの認証情報やRPAで処理する顧客情報など、機密データが攻撃を受けやすくなる。こうしたリスクを軽減するには、ガバナンスとセキュリティの適切な枠組みが不可欠だ」(ラシッド氏)

 セキュリティとリスク管理のリーダーは、RPAプロジェクトのセキュリティ対策として、4ステップの行動計画を実行する必要がある。

(出所:Gartner)

1.botのアクションについて説明責任を保証

 新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)を受けて、企業はRPAプロジェクトを急ピッチで進めた。手動の作業を自動化し、コストを最低限にするためだ。企業がその際に犯した最もよくある間違いの一つが、botオペレーターとbotのアイデンティティー(ID)を区別しないことだった。

 専用の認証情報とIDの付与基準に準拠し、各RPA botおよびプロセスに固有のIDを割り当てる必要がある。さらに、ユーザー名とパスワードの認証に加え、2要素認証も実装し、botの認証情報を頻繁に変更するとよい。

2.セキュリティ侵害による悪用や不正を防止

 RPAを実装すると権限付与の対象となるアカウントが増え、そのために不正のリスクが高まる場合がある。セキュリティリーダーは、各botが割り当てられた作業を行うのに必要最低限なレベルにRPAのアクセスを制限する必要がある。例えば、データベースから特定の値をコピーし、電子メールに貼り付けるbotを記述したRPAスクリプトにはデータベースへの読み取りアクセスのみを許可し、書き込みアクセスは禁止すべきである。

 「不正行為の抑止やフォレンジック(犯罪捜査における分析、鑑識)調査を実行するために、スクリーンショットやビデオ監視といったセッション管理機能も導入する」(ラシッド氏)

3.ログの完全性を維持

 RPAでセキュリティ問題が発生すると、セキュリティチームはログをレビューする必要がある。通常、企業はRPAのログを別のシステムに集め、フォレンジックが可能な状態を維持するために、このシステム内で安全に保存される。セキュリティとリスク管理のリーダーは、RPAツールが、完全でシステムから生成されたギャップのないログを提供することを確保しなければならない。このログは、調査に影響を及ぼす可能性もある。

4.安全なRPAの開発を実現

 RPAの開発は継続的なプロセスだ。1回限りの活動ではなく、最新の脆弱(ぜいじゃく)性や脅威に対処するために進化していく必要がある。だが、企業はRPAの展開をスピードアップさせる目的で、RPAスクリプトを実行する準備が整うまでセキュリティの検討を先送りにしがちだ。

 セキュリティチームとRPAの取り組みをリードするビジネス部門の間で、積極的な対話を継続的に行う。これには、RPAの実装全体と個々のスクリプトを評価するためのリスク管理フレームワークを構築することも含まれる。特に、RPAスクリプトはビジネスロジックの脆弱性に焦点を当てて、定期的にレビューしテストする。

出典:4 Steps to Ensure Robotic Process Automation Security(Smarter with Gartner)

筆者 Manasi Sakpal

Public Relations Manager


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。