働き方改革の流れの中でRPA(Robotic Process Automation ソフトウェアロボットの活用によって業務の定型的な部分における自動化を実現する技術のこと)を導入する企業が増加しています。
RPAの成功事例として有名なものに、日本生命保険のロボット「日生ロボ美」があります。同社には計6台のロボットが稼働中で、請求書データのシステム入力作業等、単純かつ膨大な事務処理を担当しています。この6台のロボットで人間25名分の業務を処理しているそうです。
業務の効率化を目的に様々な業種、規模の企業が採用しつつあるRPAですが、一方でセキュリティについては検討すべき課題もあります。
RPAの特徴とリスク
RPAの特徴を踏まえ、セキュリティリスクを考えてみましょう。
1.業務部門(情シスではない)が設定し利用する
IT部門を介さず業務部門で導入できるため、ルールがないと各人が自由にロボットを開発してしまいます。すると、異動や退職で管理者不在となった『野良ロボット』が生まれ、システム負荷やセキュリティ面などに問題が生じる恐れがあります。この問題の実態については後述します。
2.ロボットが情報へのアクセス権限を持つことになる
社内システムにデータを入力させる場合、ログインに必要なIDとパスワードをロボットに設定します。社内システムにアクセスする権限のない人がこのロボットを操作できてしまうと、ロボットに設定されたIDとパスワードを使って社内システムに不正アクセスできてしまいます。
3.所詮はソフトウェア(アプリケーション)である
ロボットというとミスをしないと考えてしまいがちです。ロボットの中身はプログラムであり、人間が作成の際に間違った設定をしてしまう場合もあります。この設定ミスによって顧客への誤請求、あるいは重要情報の誤送信などを引き起こす可能性があります。
4.24時間365日 働き続ける
ロボットは人間とは違って24時間365日休むことなく働くことが可能です。これは大きな特長ですが、設定ミスがあった場合でもひたすら動き続けます。そのため、誤処理があった場合の影響範囲が大きくなってしまいます。
野良ロボットの実態
以上のようなセキュリティリスクを回避するためには、厳格なガバナンスのもと情シスによって作られる「血統書付きロボット」が理想です。しかし、この理想ばかりを追い求めると社内にRPAロボットの普及が進みません。業務部門が作った場合でも正しく管理され、メンテナンスもできる「飼いロボット」の状態を維持できればいいのですが、管理されなくなると管理者不在の「野良ロボット」になってしまいます。「野良ロボット」を放置したままにするとアクセス権限がない人間にシステムを利用させてしまったり、予期せぬ動作を行い既存の業務システムに負荷をかけたりする「ブラックロボット」になってしまう可能性があります。そのため、野良ロボットを発生させないように気を付ける必要があります。
野良ロボットの主な発生要因は次の6つです。
1.業務プロセスを整理せずに着手する
多く例外処理が発生し、結局手作業となるために業務が煩雑化して使われなくなる
2.管理スキームを作らずに始める
ルールや運用方法がなく、中身がわからないロボットが散在する
3.導入することが目的化する
稼働することが優先されるようになり、管理スキームを守ることが後回しとなる
4.ロボットの仕様がITベンダーにしかわからない
ロボットがどのような仕様で稼働しているのか、管理者からはブラックボックス化する
5.意図せず仕様が複雑化する
必要不可欠ではない処理も自動化した結果、処理が複雑化し仕様が不明となる
6.変更管理がなされない
仕様変更後、変更管理がされず中身がわからなくなる
RPAのセキュリティ対策
野良ロボットを生み出さないためには、しっかりと飼いならすことが必要になります。基本的な対策は、一般的な「情報システムのセキュリティ」と同じです。
- RPAロボットを作るにあたっては、まず要件定義を明確に行う。
- ロボットができたら仕様・構成を文書化し、常に最新の状態に保つ。
- アクセス権限についても「人間」と同様に定期的に棚卸し適正な状態を保つ。
- デバイス・プログラムを情シス配下におき集中管理する。
- 稼働状況のログをモニタリングする。
- 定期的にリスクアセスメントを実施し、必要な対策を実施する。
そして何よりも大事なことは、RPAの導入自体を目的化しないことです。RPAは業務効率化のための手段の一つにすぎません。まずは、既存の業務プロセスを整理し、業務効率化にRPAが有効かを明確にした上で導入することが必要です。