ここから本文です

RPAに組み込むべきセキュリティ対策

2/5(水) 9:00配信

TechTargetジャパン

 RPA(ロボティックプロセスオートメーション)ツールはセンシティブなデータを処理することがある。これには口座番号や金額を請求書から決済システムにコピー&ペーストする作業も含まれる。

 結果として、botは企業のシステムやリソースに対するアクセス権を獲得する。適切なセキュリティ対策を講じなければ、センシティブなデータが攻撃者、特にインサイダーに露呈しかねない。

 例えばbotの認証情報やbotが扱う顧客データが露呈する恐れがある。インサイダーがRPAのアクセス権限を悪用して、実行されるRPAスクリプトに不正行為を挿入することも可能だ。従って、セキュリティを含む適切なガバナンスは欠かせない。

 セキュリティ担当者は、RPAを単なるスクリプトの記録・起動ツールとしてではなく、ビジネスプロセスオートメーションに対するアプローチとして扱う必要がある。いったん導入されたRPAは、社内インフラの一部として統合される。セキュリティ対策も同様に統合する必要がある。

価格と機能

 組織はセキュリティ機能に基づいてRPAツールを選ぶわけではなく、価格と機能に基づいて選定する。選定プロセス完了後、導入の段階になって初めてツールが扱うデータの暗号化といった基本的なセキュリティ対策を徹底させる。

 Gartnerは、RPAツールの選定プロセスにおいて検証サプライヤーの評価を必須とするよう提言している。RPAツールによっては、アプリケーションテストのサプライヤーによる脆弱(ぜいじゃく)性検査済の保証を提供している。

 この評価レポートは必須にしなければならない。もしRPAツールの適切なセキュリティ審査を行っていなければ、導入の過程でセキュリティホールが残る恐れがある。RPAのセキュリティに不備があれば、セキュリティチームはそのたびログファイルを検証しなければならない。

監査証跡

 RPAのセキュリティ対策は、サードパーティーツール経由では提供できない、あるいは提供すべきではないものもある。サードパーティーの監査ツールを利用することは可能だが、RPAツール自体がログを生成する必要がある。これにより、RPAツールがアクセスしたアプリケーションで行った動作を完全に可視化できる。他のツールでは、可視化できないあるいはアプリケーションとの互換性がないといったギャップが生じる恐れがある。

 RPAのログ、つまり監査証跡は、否認防止を保証するためには不可欠だ。これがなければ捜査することはできない。RPAツールはその動作について、システムが生成する完全かつ改ざん不可能なログを提供できなければならない。

 一般的に、RPAのログは別のシステムにフィードする。ログはそのシステム上で安全かつフォレンジック捜査に耐えられる状態で保存される。ログは完全でなければならない。隙間があれば捜査の妨げとなる。セキュリティチームが重要な痕跡を見落とすこともある。

 ログはシステムが生成するものでなければならず、改ざんできないことを保証して完全性が守られなければならない。そのための方法の一つにログへの署名がある。スクリプトの完全性を保証するため、ログでは開発者などの関係者がスクリプトに加える変更についても考慮する必要がある。

1/3ページ

最終更新:2/5(水) 9:00
TechTargetジャパン

こんな記事も読まれています

あなたにおすすめの記事

Yahoo! JAPAN 特設ページ