RPAで業務が圧縮された。ところが・・。
国内SIerが熱心に売り込んでいるRPAですが、少しクールダウンする必要があるという件です。
企業を狙ったサイバー攻撃の一つに「ビジネスプロセス詐欺」(BPC)がある。攻撃者が業務プロセスを不正に改変し、金銭や機密情報をだまし取る攻撃手法だ。BPCにおいて一般的に攻撃対象となるのは金銭の授受に関わるシステムで、例としては給与振込に関わるシステムや商取引の請求支払いシステムなどがある。攻撃者はシステムに偽の送金を要求する命令を与えたり、システムに登録済みの送金先情報を改ざんしたりといった行為により金銭を詐取する。
こうした振込業務をRPAツールで自動化している場合、攻撃者がRPAツールを介してBPCを仕掛ける恐れがある。トレンドマイクロは同社のレポート「2019年セキュリティ脅威予測」において「BPCの新たな糸口として、自動化された業務プロセスを攻撃者が狙うようになる」と予測する。
考察
RPAツールにもいろいろ種類がありますので一概には言えませんが、ロボットを作成したあと、手動で実行するか、スケジュール実行するかというのは共通だと思います。
また、サーバー・クライアント型では、サーバーで集中管理してロボットをクライアントで実行させますし、スタンドアローン型では端末から起動します。
この内容を外部侵入者からコントロールされようものなら、溜まったものではないわけです。勤務表からデータを抽出して、ネットバンキングに振り込み処理をかける。これをRPAで自動実行する。そのとき、ネットバンキングに指定する振り込み文字列を、攻撃者の口座にするだけで、大規模な被害が発生することがわかります。
結局のところ仕事の基本は何も変わらず、ロボットの仕事を監査する仕事は残ります。ロボットが適正な仕事をしているか確認するのは誰なのでしょう。今のところ人間しかいないと思います。ロボットに適正な仕事を教えたのは人間なのですから。また、人間が悪意を持って、悪い仕事をロボットに教えている可能性もあります。
人間がロボットに置き換わったとしたって、適正かどうかを絶えずチェックしなければならないのは同じで、その手間は何も変わっていないのがわかります。ロボットになったので手順が変わっただけです。
特におさえるべきポイントを本番システムの運用経験をふまえてまとめておきます。
1)導入時
作成前に、なぜロボットを導入するのか、目的を正しく定義する。
作成前に、そのプロセスを定義し、人間が承認する。
作成時には、試験データと試験環境で行う。本番データを用いない。
テストは、作成者とは違う第三者が実施する。
※悪意のあるロジックが紛れ込んでいるかもしれない。例えばテスト時には悪意のあるロジックが動かないように設定されているかもしれないので、ブラックボックステスト(ロジックを見ないで正しく動くかを見る)のは危険。
本番導入を、第三者立ち合いのもと行い、それ以降は変更できないようにする。
2)改変時
改変前に、なぜロボットを改変するのか、目的を正しく定義する。
改変前に、改変するプロセスを定義し、人間が承認する。
改変時には、試験データと試験環境で行う。本番データを用いない。
テストは、作成者とは違う第三者が実施する。
※導入時と同様の観点が必要
本番導入を、第三者立ち合いのもと行い、それ以降は変更できないようにする。
3)障害対応時
修正対応時に、不正なプロセスが紛れ込む可能性がある。できれば、手動対応(ロボットではなく人手で実施)を行いつつ、(2)改変時のプロセスを踏むのが望ましい。
RPA時代にも規律・ガバナンスの維持が最重要
このように、RPAの運用には、それなりの規律・ガバナンスが必要になってくると思います。正しく操作しているか。必要に応じた導入・改変を行い、それ以外のカジュアルな編集を行っていないか。これを脅かすようなアクション自身が「正しいプロセスを攻撃すること」です。その主体は第三者だけではなく、スタッフの可能性もあります。
特にRPAはこれまで組織で行っていたために衆人環視が働きできなかったこと、システムがバリデーションチェックを行ってできなかったことをすり抜けることができる可能性を持つ技術です。
※注 バリデーションチェック:例えば、100万円の1回の振り込みはできなくても、1万円を100回ならできるかもしれません。
※注 野良ロボットの話題がありますが、野良社員だっていますよね。
したがって、「9割削減!」ばかりに囚われず運用面のリスクを対応していかなければなりません。
勉強レベルならスタンドアローンで動かして面白い技術なのですが、いざ本格導入するとなると、まさに何人も「自由に」触らせない技術が必要になる、と思います。
