叡智の三猿

~情報セキュリティで森羅万象を捉える~

RPAの普及とセキュリティ

マニュアル化からRPAへ

会社は業務のマニュアル化が進むと、次は業務の自動化を検討します。

人間がパソコンを使って行っている作業を自動化出来れば、生産性が向上します。これをRPA(Robotic Process Automation)といいます。或いは、デジタル空間で事務処理を行うことから、デジタルレイバーとも呼ばれます。

RPAの導入は大企業を中心に急増しています。

ただ、いまの時点で全社的にRPAが普及している会社はほとんど無いと思います。部分的な利用であったり、複数のRPAツールを試行して、比較検討をしているような状況だと思います。

ERPに比べ、RPAはスモールスタートがしやすいのがメリットです。RPAはサーバー型とデスクトップ型に大別出来ますが、デスクトップ型であれば安価に導入が出来ます。複数のツールを比較検討目的で購入し、まずは小さな業務で試して評価することが出来ます。

f:id:slowtrain2013:20201026204947p:plain
デスクトップ型とサーバー型のRPA

RPAツールの比較検討は、多くの会社では情報システム部門が主体となり音頭をとります。運用のしやすさ、業務に応じたカスタマイズの幅を評価、選定、本格的な業務に適用することを考えています。

世の中にRPAツールはたくさん出ています。今のところ、人気が高いのは、BizRobo!(RPAテクノロジーズ株式会社)、WinActor(NTTアドバンステクノロジ株式会社)、UiPath(UiPath株式会社)のようです。ツールはいずれ淘汰されると思います。表計算や文書のソフト、ERPもそうでした。RPAツールで何が生き残るのか、個人的に興味があります。

大企業に比べ、残念ながら中小企業でのRPAの導入は進んでなさそうです。人を雇うのに苦労する中小企業にとって、安価で24時間365日働き続けるRPAは、本来は導入価値がより高いと思います。ただ、中小企業は、大企業のような専門の情報システム部門が設置されていないことがほとんどです。もちろん、中小企業にもコンピュータに詳しい人はいて、DXを推進しています。ただ、その人はいまの業務を回すのに必死で、ツールの比較検証に時間を割くのは困難です。

これが中小企業のRPA導入を阻害する要因だと思います。

中小企業はトップの意思がより重要だと思います。トップダウンでRPAの推進をはかっていくためのプロジェクトを立ち上げることを期待します。

RPAのふるまいとセキュリティ

RPAを試行している会社に訪問した際、懇意にしているインフラ担当者から次のような話を聞きました。

ちょっと前に毎日、真夜中にマスター更新失敗のイベントログが出るんで、なんかヤバイことかと思って、確認したらRPAが誤って動いていたんですよ。

f:id:slowtrain2013:20201027160737p:plain:w100
RPAは24時間365日作業をすることが出来ます。ただ、RPAが部分的な導入であったり、試行段階だと、全社的にRPAの存在が認知されていないことがあります。

社員が明らかに不在の時間でも、RPAはマスタ(顧客、仕入先、商品など)の更新作業を行ないます。そのとき、RPAの存在を意識してない、インフラ担当は何者かがシステムに侵入して、マスタ情報を搾取しようとしているのではと勘違いしたのです。しかも、マスタの更新作業は失敗しているので、なおさら、何者かの不正行為を疑ったのです。試行段階ではカスタマイズもきっちり出来てないので、よくありうる話だと思いました。

RPAだから何か特別なセキュリティ対策が必要というわけではありません。ただ、RPAは普通の社員とは違う行動(長時間作業をし続ける、短時間にたくさんの作業をやりこなすなど)をします。サーバー監視にあたっては、注意が必要だと思いました。

f:id:slowtrain2013:20200429002312p:plain
24時間働くRPA

たとえば、RPAの実行アカウントと利用者のアカウントを別にして、その作業を(人ではなく)RPAが行なっていることが分かるようにすることと、RPAが定期的に実行する作業(例えば毎日、深夜0時に作業するなど)は、台帳に記載をして、関係する担当者に見える化することも必要だと思いました。