世の中、AI(人工知能)やロボットが注目され、さまざまな企業が取り組みを開始し、実際に普及が始まっています。昔、アニメやSF小説の中で出てきたマザーコンピュータのような話がいよいよ現実味を帯びてきました。 今すぐに人類を滅ぼすようなAIが現れて人類を及ぼすとは思いませんが、企業にとってはセキュリティをしっかり検討すべき時期だと考えています。ここで、1つ例を挙げて説明してみましょう。
皆さん、RPAという言葉をご存知でしょうか? RPAは「Robotic Process Automation」の略で、主にERPや業務システムなどで普及が始まっている、比較的簡単に作れるソフトウェアロボットのようなソリューションです。業務システムにおいて、RPAによって担当者が操作してきた内容を自動化し、業務生産性を向上させることを狙っています。
RPAは政府主導の働き方改革による企業の労働時間短縮と生産性向上を両立するうえで、低コストで導入でき、比較的効果が出やすいので、今注目を集めているソリューションなのです。RPAというテーマでセミナーをすればすぐに満席になるくらい人気なのですが、私はDr.Webのアドバイザーという側面もあるので、以下の点が気になります。
「野良RPA」という勝手に作られたロボットという言葉があるくらいなので、セキュリティチェックを受けていないロボットが横行しているのではないか?
RPAソリューションにバックドアがあったら、利用している端末のデータをごっそり取られてしまうのではないか?
RPAソリューションを導入する時にバックドアなどのチェックをしても、その後に出されたパッチなどにバックドアを仕掛けられたら、手も足も出ないのではないか?
RPAを追いかけている方はご存じでしょうが、多くのRPAは企業内に設置されている端末で動作するクライアントソフトです。ロボットはツールによって比較的簡単に作れる上、構造上、サーバ側で制御が難しいので、勝手にRPAでロボットを作られても見つけることが難しいのです。
したがって、管理部門が利用端末上のアプリをすべて管理して、勝手に導入できない仕組みを入れる必要があります。この対応ができない企業は「野良RPA」が横行する可能性があります。そして、企業のセキュリティチェックを受けていない「野良RPA」はウイルスに感染する可能性が高いと思うのです。
RPAを利用している端末がウイルスに感染した場合、その端末に格納されているデータが全部取られてしまったり、人質に取られてしまったりすることも考えられます。筆者は現在、RPAに関する仕事もしているので、様々なセミナーに参加したり、お客さまを取材したりしていますが、このような理由からセキュリティに問題がないかどうかとても気になっています。
しかも、一般的な企業ではシステムを新規で導入する時はセキュリティチェックをしますが、導入後のアップデートの際にチェックをしている企業は意外に少ないですよね。
RPAベンダーを疑うわけではないのですが、RPAに関しては、導入後にリリースされるパッチなどのアップデートが怖いと思っています。今まで、業務システムと情報系のシステムは緩やかにアンバンドルされていました。例えば、利用者の端末が感染したとしても、業務システムには別なパスワードがあり、そこを突破しないと業務システムにログインできませんでした。しかしRPAの場合、ロボットが直接業務システムにログインできるため、RPAが感染すると、企業においてかなり機密性が高い情報に直接アクセスされてしまう可能性があります。
しかも、ここ数回紹介していますが、アンチウイルスを変えただけで、たくさんのウイルスが見つかったという調査結果も出ています。以下の表を見ていただけばわかりあす、約3割から4割の人が感染していても気づかない状況にありました。調査対象の企業ではもちろんアンチウイルスなどの対策を講じており。その上で、3割から4割が感染している状況なのです。 出てきます。RPA導入が進む昨今、まずは基本的なセキュリティ対策とも言えるアンチウイルスからしっかり対策を講じてほしいと思います。
さて、話はRPAに戻しますが、メインフレームが中心だった時代はソフトウェアの中身がすべて理解できるほど、自社開発でシステムを作っていました。今はブラックボックス化されたシステムが多くなりました。加えて、今まで業務システムは直接インターネットに接続していなかったり、それなりのセキュリティを確保してきたりしたと思いますが、RPAによってそうした状況に変化が訪れています。
RPAは利用者が独自でロボットを容易に作ることができ、そのロボット経由で業務システムとインターネットがつながってしまう可能性があるソリューションなので、注意して導入していただきたいものです。