事例

【保存版】RPA運用に必須のセキュリティ対策とは?トラブル事例も含めて徹底解説

2021年08月03日

セキュリティRPAトラブル事例

RPAは業務を自動化する技術であり、通常の業務と同じようにセキュリティ対策を意識する必要があります。実際にRPAによって業務を自動化する中で、業務システムへのログインするためのID/パスワードが必要であったり、顧客情報を取り扱う処理をしたりすることもあるからです。

それ以外でも業務に関するデータは基本的に社外秘ですし、企業と顧客のやり取りや契約、コミュニケーションについても守られるべき情報と言えます。RPAで自動化したから安全ということはなく、あくまでもRPAは人間が使うツールであるということも忘れてはいけません。

今回はRPAを導入、運営する際に知っておくべきコーポレートガバナンスやリスク、内部統制やリスクマネジメントも含めてRPAのセキュリティ対策についてご説明します。

目次

コーポレートガバナンス

コーポレートガバナンスとは企業統治と日本語で訳されるものであり、明確な定義はありませんが、一般的には「企業として正しく存在するための方針や仕組み」という意味合いが一番近いでしょう。簡単に言えば、企業に関わる全員が役職や立場、立ち位置に関係なく「法令遵守と利益を上げる努力」を怠らないための指針であり、企業としてのあり方を示すものだということです。

コーポレートガバナンスは企業に関係する利害関係者(ステークホルダー)全員が相互に監視や干渉できる体制という意味合いもあります。例えば特定の役職や人物における「独裁」を防いだり、何らかの「不正行為」を抑止したりするための施策とも言えるでしょう。

そして、RPAを導入運営する上でもコーポレートガバナンスが重要です。いわゆる「RPAガバナンス」と呼ばれるものであり、RPAを正しく使うための方針や仕組みとして必要不可欠な考え方となります。

RPAガバナンスとは

RPAガバナンスはコーポレートガバナンスを基礎として、RPAの導入や運営するための指針や目標を定めるものです。RPAガバナンスが定まっておらず、ただRPAツールを導入しそれぞれの部署で好き勝手にロボットを作ってしまう環境にした場合、ブラックボックス化や属人化、情報漏洩や不正などのリスクが発生してしまいます。RPAガバナンスとはRPAを導入することで企業としての運営に支障が起きないように定めるべきものだとも言えるでしょう。

RPAガバナンスでは社内全体による削減目標や運用方針を定めること、次に部門や部署ごとにRPAツールが導入できる範囲を策定すること、最後に実際にRPAツールによって自動化する業務の作業手順を洗い出すことなど、具体的にRPAを運用するための方向性を定めることが求められます。

その他にもRPAツールでロボットを作る手順として提案から本稼働までの流れ、作成したロボットの管理や修正、メンテナンスをする部門や人材の配置などRPAを運用するための体制作りも必要です。

  • 全社的な削減すべき時間や費用の目標
  • 具体的に自動化で削減される時間や費用の見積り
  • 実際に自動化できる作業や業務の洗い出し
  • 自動化のデメリットやリスクの把握
  • 誤作動やシステムの停止時への対処法
  • 自動化した業務を手作業で行うためのマニュアル

上記はRPAガバナンスで考えるべき項目のほんの一例となります。RPAガバナンスを定める時は企業としてRPAを最大限に活用することだけでなく、RPA導入以前と同じ信頼性や安全性、安心感を保てるようにしましょう。

RPAを適切に管理することで不安やリスクを取り除く

RPAガバナンスが明文化され明確になっていれば、RPAを運用する上での不安やリスクを取り除くことができます。特にRPAツールによる自動化は現在進行形で普及しつつある技術であり、ExcelやWordなどの一般的なオフィスソフトウェアと比べれば「RPAツールを使ったことがない」という人が存在するのも確かです。

RPAを導入する目的や動機とは別の部分で不安やリスクが増大することは、結果的にプラスマイナスゼロどころかマイナスになり兼ねません。言い換えれば、不安やリスクを最小限にすることでRPAを導入することで得られるメリットをプラスにできるということです。

もちろん、ビジネス上で使うツールのほとんどは利便性と引換に何らかの不安やリスクやコストがあるのは否定できません。例えば単純なExcelの関数やマクロでさえもケアレスミスやヒューマンエラーなどで使い方を誤れば意図しない被害を受ける可能性があるからです。

だからこそ、RPAを導入するタイミングでRPAガバナンスを明確にすることで、未知や未体験の社員が不安にならず、既知のRPAのリスクやデメリットを最小限にすることが求められます。

RPAを単なる自動化ツールで終わらせないために必要

現時点でのRPAは業務を自動化するツールとして、既存の業務を自動化するために使われています。企業や組織、チームとして負担になっていた作業から開放されるということは、同時に作業する時間の大幅な削減に繋がるということであり、RPAのメリットとして求められている部分です。

しかし、RPAによる自動化を前提として新しい企画やサービスを構築する段階となれば、単に自動化するツールでは終わらないと言えます。例えば、企画のアイデアを考える段階で自動化できる部分を策定しながら進めることで、少人数で中規模、大規模な企画やサービスの運用体制さえも短期間で構築することも不可能ではありません。

RPAガバナンスを定めることで、社内全体の業務自動化を推進しながら、自動化によって得られた時間で「付加価値の高い業務」を行えるようになります。付加価値の高い業務によって生まれた企画やサービスで生じる業務をスムーズに自動化できる流れや仕組み作りが根付くことで、人間が心理的にも身体的にも過度なストレスを感じることなく仕事に専念できるようになるでしょう。

将来的にもITやIoT、AIの進化によってRPAで自動化できる業務が増えることは間違いありません。だからこそ、現段階で「RPAは単なる自動化ツール」という考え方で終わらせるのではなく、さらに使いこなし、より効率的に業務プロセスをスピードアップすることまで視野に入れておくことをおすすめします。

リスクの種類

実際にRPAを導入することで考えられるリスクをいくつかピックアップしました。RPAによって業務を自動化する時に具体的にどのようなリスクがあるのかチェックしておきましょう。

RPAツールや社内システムのダウンによるリスク

RPAツールは個々のパソコンにインストールするソフトウェアなので、何らかの形でRPAツールそのものがダウンするというリスクがあります。同時に平行して起動している社内システムがダウンすることでRPAツールは無事でも結果的に自動化を中断せざるを得ないというリスクも視野に入れておくべきです。

ソフトウェアやシステムがダウンした時の対策として、RPAによって自動化した作業手順をマニュアル化したり、特定の処理がなされない時にRPAツールがアラートや通知を出す仕組みを盛り込んでおいたりすることが考えられます。

エラーや誤作動、誤処理に対するリスク

RPAツールで作成したシナリオやロボットの内容によっては、エラーや誤作動、誤処理に対応しきれないというリスクがあります。例えば、100個の発注にするつもりが、ヒューマンエラーやケアレスミスによって10000個になった場合でも、RPAツールはその値をそのまま処理し続けてしまうということです。

ソフトウェアやシステムがダウンと同様に過度な数値やエラー、誤作動が起きた時のために予め対策しておく必要があります。個数や重量などの値を受け付ける許容範囲や幅を決めておいたり、想定外の文字列の入力があった場合にアラートや通知を出しながら一時停止できるような仕組みにしたりすることが大切です。

OSやソフトウェアアップデートによるリスク

RPAで業務を自動化する際に組み込まれているOSやソフトウェアによっては、アップデートによって動作しなくなるというリスクがあります。ほとんどのRPAツールはWindowsOSとソフトウェアに対応されているので、アップデートによる影響は受けにくいにせよ、社内システムやWindows以外のソフトウェアには注意が必要です。

対策としては「アップデートしない」という方法を安易に選択しがちですが、セキュリティ面のことを考えると好ましくありません。可能な限りOSやソフトウェアを最新の状態に保つことを前提として、ロボットやシナリオ、RPAの方を臨機応変に修正や対応できる体制にしておきましょう。

ブラックボックス化や属人化のリスク

ブラックボックス化や属人化とは「作った人にしか仕組みがわからない」というリスクです。修正やメンテナンスができなくなったり、臨機応変に対処できなくなるので、可能な限りゼロにしたいリスクでもあります。

対策としてはRPAツールによる一括管理、またはロボットの作成を一元管理することが必須です。RPAガバナンスを考える段階で、管理と作成のプロセスを明確にしておくことも重要と言えるでしょう。

社内システムのログイン情報が漏れるリスク

RPAツールでロボットやシナリオを作成するために、社内システムへログインするID/パスワードが必要名場合、ログイン情報が漏れるというリスクがあります。社内の人間を疑うというのは気持ちの良いものではありませんが、ログイン情報の権限によっては不正なことも可能となるため注意が必要です。

対策としてはRPAツールで社内システムにログインする際、RPAツールやロボットごとにIDとパスワードを作成し、権限や責任区分を明確にしておくことが考えられます。その他は自動化する範囲を責任区分や権限で区切るようにすることで、責任区分や権限のない人に自動化作業を目に触れさせないという方法でも対処可能です。

セキュリティ対策

RPAを導入することで発生するリスクと簡単な対策を説明しました。次にRPAを導入する時に抑えておくべきセキュリティ対策についてご説明します。

アクセス制限や権限の付与による対策

RPAで業務を自動化する際に参照や利用するデータへアクセス制限や権限を付与することでセキュリティを高めることができます。簡単に言えば、特定のパソコンやID/パスワードのみアクセスできる仕組みにしておけば、不必要にデータにアクセスできず情報漏洩を防げるということです。

パスワードの暗号化や定期的な変更、暗号化通信の徹底

セキュリティ対策の基礎とも言えますが、パスワードの暗号化や定期的な変更は非常に大切です。同時に暗号化通信を徹底することで外部から読み取られることも防げます。特に部署や部門を移動した人、退職した人のID/パスワードを変更は徹底するべきです。

また、社内システムにしても利便性を考えるあまり、IPやMACアドレスによる制限を行わないなどせず、関係者以外はアクセスできない状況にしておくことも忘れないようにしましょう。

社内パソコンの基礎的な管理を怠らないこと

企業や組織の規模に関わらず、パソコンやルーター、サーバーなどのデバイスの基礎的な管理を怠らないようにしましょう。必要に応じてデータを置くサーバーは鍵のある部屋に設置したり、勝手に有線LANに繋げてもアクセスできないようにしたり物理的な対処をしておくことも大切です。

その他にも社内の無線LANとしてWiFiを設置する場合でもなるべくならステルスモードで誰にでも検知されないようにすることなども含めて、社内や社外の人間問わず、好き勝手に社内ネットワークに入れないようにしておくことも忘れないでください。

データへのアクセスやログインを監視する

社内ネットワークに関するセキュリティ対策も忘れてはいけません。ID/パスワードは単にログインするためだけの情報ではなく「誰が」ログインしたのか、どのデータにアクセスしたのか識別するための情報でもあります。

同時に社内ネットワークに接続しているパソコンがウィルスや乗っ取られた場合でも不要なアクセスや行動を検知できるようになれば、被害を最小限に留めることも可能です。サイバー攻撃に対処することにも繋がりますので、ネットワークの監視や管理についても改めて構築しなおすことをおすすめします。

導入時の内部統制とリスクマネジメント

次にRPA導入時の内部統制とリスクマネジメントについてご説明します。

ITによる基礎的な監視、管理、統制を見直す

セキュリティ対策の部分でもお話しましたが、RPAを導入するタイミングでITによる監視や管理など全体的な統制を見直すことをおすすめします。RPAツールを長期的に運用するためには前提としてハードウェアとソフトウェアの両方の管理徹底が必要だからです。

例えば部署や部門の担当者毎にIT知識や経験がまばらだった場合、特定の部署のみ自動化が進まなかったり、エラーや誤作動に対する対処が遅れることも考えられます。RPAツールに限らず、社内システムやソフトウェアに関する情報の共有や作業マニュアルの作成も含めて改めて基礎から構築するのが望ましいでしょう。

RPAによって出力されたデータを保証する仕組みが必要

RPAで業務を自動化した場合、出力されるデータを保証する仕組みが必要となります。例えば、自動化した業務の前後で誤ったデータやエラーとなる値を出力した場合、前後の業務に支障がでるためです。特に部署や部門間、本社や支社間、その他にはBtoBで自社と顧客間のデータの受け渡しにも注意する必要があります。

ロボットが出力するデータとしてファイルや値などが考えられますが、予め想定される数値や文字列を設定しておき、想定外の場合にアラートや通知によって人間の目視のチェックが入るような仕組みを組み込んでおきましょう。

電子データは「書き換え可能である」ことを忘れない

まず全ての電子データは書き換え可能であることを前提とします。サイバー攻撃など外部からの影響だけでなく、内部の人間によって「不正」にデータが改竄される可能性も忘れてはいけません。社員による横領や情報漏洩が起きてしまうと実害だけでなく企業としての信頼を失うことになってしまうからです。

セキュリティ対策やリスクへの対策として「権限」や「責任区分」を明確にすることや、ID/パスワードのログイン情報によるログインやデータへのアクセスの監視するのことも、社外だけでなく「社内」の人間によって被害を出さないようにするためでもあります。

極端な事を言えば、どのIPから、どのID/パスワードで、どの時間にログインして、どのデータに、どのデバイスからアクセスしたのかがわかるレベルで監視や管理することができれば、社内の人間の不正行為の検出だけでなく、社外からどのような形でサイバー攻撃を受けているかもすぐにわかります。

物理的に言えば泥棒に社内に侵入されて、何か持っていかれないように鍵や監視カメラを設置するのと同じです。社内の人間を疑う云々ではなく、社内の人間が変な気持ちを起こさないようにするため、社内の人間を守るためにも必要なことだと理解しましょう。

発生しがちなトラブル事例

最後にRPAを導入後のあるある問題をいくつかご紹介します。ある意味、失敗事例とも言えますので一通り目を通しておきましょう。

ロボットの管理や運用、ノウハウの共有が根付かない

RPAを導入する際のテストである程度実績が作れたのに、管理や運用が進まなかったり、社員へ周知されずにノウハウの共有が根付かないというパターンがあります。結果として「自動化より自分でやったほうが早い」という考えが浸透しやすくなってしまい自動化が進まなくなる可能性が非常に高いです。

RPAを導入する段階で一つの部署や部門、特定の業務だけでなく、全社的に業務の洗い出しを行いましょう。同時に早い段階で各部署や部門で一つでも業務を自動化することでRPAの良さを実感してもらうことが大切です。

結局、特定の人しかロボットが作れず修正やメンテナンスも厳しい

RPAを導入する段階でレクチャーを受けた人以外にロボットを作れなかったり、修正やメンテナンスができないというパターンがあります。ロボットを作成するためには業務の洗い出しや作業手順の文書化、担当者へのヒアリングなども含めてそれなりに時間が掛かるためです。同時にロボットを作れる人が自動化する業務内容を把握していない場合、説明や理解するための時間も必要となります。

RPAを管理するためにも特定の人材のみロボットを作るというのは間違いではありませんが、企業や組織の規模に応じてロボットを作成する人間を増やしたり、ロボットを作成や修正するためのプロセスを明確にして周知することをおすすめします。

時間や作業負担の軽減に繋がっているかわからない

RPAで自動化したけれど、自動化の前後に余計な作業や業務が増えてしまい、結果として時間や作業負担が軽減されているのかわからないとうパターンがあります。本来であれば業務を自動化することで時間や作業負担の軽減になるはずが、自動化に合わせて作業が増えてしまえば意味がありません。

RPAによって自動化することだけが目的とならないよう、業務プロセス全体の流れを把握しながら、自動化したのに余計な作業や仕事を増やさないように意識することが求められます。また、自動化されているはずだけれど具体的な数字や見えてこないと実感が沸かない可能性もありますから、業務を自動化することでどれくらい作業時間が軽減されたのかを可視化することが大切です。

自動化できない業務が多い、または自動化できない業務を自動化しようとする

RPAで自動化できる業務は限定的です。しかし、時間や人件費削減の目標が割り当てられてしまい、結果として自動化できないのに自動化しなければならないというパターンがあります。無理に自動化してしまうとミスやエラーの元になったり、作業負担を増やすことにも繋がりかねません。

RPAによる自動化は主にバックオフィス系の事務ベースの業務が基礎であり、パソコン上の単調な作業や同じ事を繰り返すだけだけど何千件もあるような業務に向いています。RPAツールでロボットを作成する手順などを勉強する機会や情報共有することを忘れず、RPAツールで自動化しやすいもののみ自動化するのがおすすめです。

自動化した業務を引き継ぐことができず障害発生時に対応できない

ロボットを作った人が退職した、またはロボットを作った人が移動になったなど、自動化されている業務が引き継がれないというパターンです。自動化の範囲によっては何をしているのかわからず、前後の業務に支障がでるどころか全社的に業務が止まってしまう可能性さえ考えられます。その他にもロボットの管理方法によっては実は野良ロボットであり、ブラックボックス化や属人化した状態であればどのような処理をしているのか解析するために多大な時間を要することもあるでしょう。

RPAを導入する段階で自動化する業務の作業手順をマニュアル化すること、担当者が退職や移動となる場合はロボットで自動化してある業務や修正方法も含めて引き継げる仕組み作りをしておくと安心です。基本的には野良ロボットやブラックボックス化、属人化されたロボットが生まれないような体制にしておくことが重要となります。

まとめ

コーポレートガバナンスから始まり、リスクマネジメント、セキュリティ対策、あるある問題について説明しました。

RPAを導入してどのように扱うのかを明確化し、予めリスクとされている事柄やセキュリティ対策を講じておくことが大切です。また、セキュリティ対策が社外からのサイバー攻撃だけでなく、社内の不正を防ぐためにも必要だということを忘れてはいけません。

何よりも自動化によって余計な負担が増えたり、人間によるヒューマンエラーやケアレスミスよりもエラーが誤作動が起きたりしないように導入段階から念入りに計画やテストすることが重要となります。

RPAによってヒューマンエラーやケアレスミスをゼロにする。そして作業負担や時間を軽減することで社員の心理的、肉体的なストレスを少なくする。同時に自動化によって社内全体の業務プロセスをスピードアップすることを意識しながら、RPAの導入を計画することをおすすめします。

[PR]【合格者続出!AIエンジニアの証:E資格試験】 手厚い学習サポート+最安値水準の認定講座。無料体験はこちら!経験者対象 速習E資格コースなら、受講料55,000円!

この記事を書いた人

QEEE編集部

QEEEは、INTLOOP株式会社が運営するビジネスの総合ポータルサイトです。 多様なコンサルティング実績をもつINTLOOPのノウハウを生かし、あらゆる経営課題・ビジネスの悩みを解決するサービスを提供しています。 QEEEマガジンでは、マーケター・人事・エンジニア・営業などの各職種に向けて、SaaS比較やビジネスコラムなどのコンテンツを各領域のスペシャリストが発信しています。

投稿一覧へ

関連記事

他サービスはこちら