業務を効率化するためのツールとして、RPA(Robotic Process Automation)の導入が急速に進んでいます。RPAは業務に大きな利便性をもたらす一方、従来とは異なるリスクが生じることが新たな問題となってきています。
本記事ではRPA利用に伴うリスクとその対策について解説します。
国全体で推し進められている働き方改革や、少子高齢化と労働力人口の減少といった問題に対処する上で、大きなポイントとなるのは業務効率の向上です。これを実現するための技術として、大きな注目を集めているのがRPA(Robotic Process Automation)です。
RPAは主にパソコンを使った単純な事務作業を自動化するための仕組みであり、さまざまな用途で利用することができます。自動化の対象となり得る作業としては、データの突き合わせチェック、メールに記載された内容を業務アプリケーションへ転記する、Webから特定の情報を収集する、などといったものがあります。
では、このRPAを利用することで、業務量をどの程度削減できるのでしょうか。
業務の内容や算出方法によっても異なりますが、ある官公庁ではRPAの導入によって約80%の業務削減ができたとしています。
業務量の大幅な削減を可能にするRPAですが、一方でこれまでになかったセキュリティリスクが発生する可能性もあります。
例えば、作業の自動化を担うロボットの設定ミスによる影響が懸念されます。ロボットというと決して間違えないものと考えてしまいがちですが、そのロボットの中身はプログラムであり、間違った設定をしてしまう場合もあります。この設定ミスによって顧客への誤請求、あるいは重要情報の誤送信などのトラブルが発生するリスクがあります。
ウイルスによるロボットの不正利用も大きなリスクの一つです。重要情報などが窃取される可能性があるほか、ウイルスの感染によりロボットが動かなくなり、業務が止まるといったリスクも生じます
ロボットを使って社内システムにデータを入力するといった場合、そこで必要となるIDとパスワードをロボットに設定します。社内システムにアクセスする権限のない人がこのロボットを操作できてしまうと、ロボットに設定されたIDとパスワードを使って社内システムに不正アクセスすることが可能になってしまいます。
図. RPAによって新たに生じるリスク(NRIセキュアが作成)
RPAを導入することで新たなリスクが生じるほか、既存のリスクが拡大する側面もあります。具体例の1つとして、操作ミスによる異常処理の影響度合いがあります。
ロボットは多くの作業を高速で処理することが可能なため、人手の操作ミスに比べ、ロボットの操作ミスは大量のデータに影響を与えてしまいます。
また、機密情報などを狙った攻撃を行う際、複数のシステムへのアクセス権を持つロボットを乗っ取れば、それぞれのシステムを個別に攻撃するよりも効率的に機密情報にアクセスできます。
このようなサイバー攻撃も、RPAによって拡大するリスクの1つの要因だと言えます。
RPAを活用して業務の効率化を目指す際には、こうしたセキュリティリスクを把握しておく必要があります。
しかしながら一方で、RPAによる自動化はユーザー部門主導で行われることが多く、ITやセキュリティリスクに関する知識が十分にないままロボットが設定されることが少なくありません。そのため、システム部門とRPAを利用するユーザー部門の間でのコミュニケーションが重要になります。
ロボットでこんなことを実現したいという希望がユーザー部門にあったとき、それに対する実現可能性やセキュリティ上のリスクを判断する必要があります。そのための枠組みを整え、ユーザー部門とシステム部門が認識をすり合わせた上でロボットを利用する仕組みが必要です。
また、その仕組みの中で、専門家としてシステム部門がロボットの利用をサポートしたり助言したりすることも大切でしょう。最後はITの専門家の目線でチェックする。それがなければ、リスクを十分に抑えることは困難です。
ただ、現状では、これまでに触れたようなRPAならではのリスクが十分に認識されていないままRPAが利用されることが多いのも事実です。
こうした問題に対処するため、NRIセキュアでは、RPA分野において培った、セキュリティ対策を含む様々なリスク管理ノウハウを「RPAリスク管理ツール」として体系化しました。これは、RPAのリスクを解説する資料や社内管理ルールのひな形、ロボットごとのリスクチェックシートなどから構成されています。
これらを活用することで、RPAのリスク管理に必要な社内の管理体制や規程類をより容易に整備できます。
RPAはメリット・リスク共に大きな「諸刃の剣」であるといえます。
RPAを活用して業務効率化を目指す際には、そのリスクも十分に認識しなければなりません。その上で、安全に利用するための仕組みを整えて、RPAの利活用を進めるべきではないでしょうか。
「RPAリスク管理ツール」を提供開始しました!
~ ロボットの不正操作や異常処理などのリスクを回避 ~