“危険なRPA”を生まないためにやるべきセキュリティ対策とは？：アクセス制御やロボット自体の保護が重要

業務フローの革新を推進するRPA（ロボティックプロセスオートメーション）。そのセキュリティリスクを管理しなければ、実益よりも損害の方が大きくなりかねない。具体的な対策を探る。

　RPA（ロボティックプロセスオートメーション）は、ソフトウェアロボットを使って業務プロセスを自動化し、人の介入を排する技術だ。時間のかかる手作業を自動化でき、業務フローの最適化につながる半面、RPAを導入した企業はそのためのセキュリティ対策をする必要がある。結局ソフトウェアは人間が管理しなければいけないため、エンドユーザーに起因する従来の問題に加えて、ロボット特有の問題に関連したリスクにも備えなければならない。適切なセキュリティ対策がなければ、RPAの導入は資産どころか負債にもなりかねない。

ロボットも「1人のユーザー」にすぎない

　RPAではロボットが人の代わりになるものの、人は引き続きロボットに介入し、プロセスを管理、運用、参照、変更する必要がある。それを成功させ、安全を保つためには、「誰」が何をするかをセキュリティ管理者が指定できなければならない。人とロボット両方のアクセス制御が重要だ。

　アクセス制御においては、誰が何をできるかに気を配ると同時に、エンドユーザーがどの時間帯や曜日にアクセスするかといった詳細事項も考慮する必要がある。この機能を、一部のベンダーは「役割ベースのアクセス管理」（RBAC：Role-Based Access Control）と呼ぶ。セキュリティ管理者は、利用するRPA製品でパーミッションがどのくらいきめ細かく設定できるか確認しなければならない。きめ細かい設定ができるほど、特定のエンドユーザーが何をできるかに関するセキュリティを強化できる。

　RPAで自動化するアプリケーションにとって、ロボットは単純に「システムを使うための認証が必要な1人のエンドユーザー」にすぎない。そのための認証情報の保管場所や保護方法の確認が不可欠だ。以下のような確認事項がある。

　ロボットが稼働するシステムのメモリに平文で認証情報を保持する場合、第三者によって盗まれる恐れがある。

ロボットのコピーや改ざんを防ぐ方法