RPAが乗っ取られてシステムが破壊される――ロボット時代のセキュリティに不可欠なものとは

　「サーバOSはインストールしたから、アプリケーションは管理者用IDとパスワードで各部署の担当者がインストールしてね」――。このようにシステム管理者用のID／パスワードが共有されることは珍しくない。

2019年10月17日「アシストテクニカルフォーラム2019 in 東京」に登壇したアシスト　システム基盤技術統括部　技術3部　玉川茂樹氏

　管理者用のID／パスワードが外部に漏れれば、悪意のある第三者が管理者権限を使って情報の抜き出しや改ざん、システム破壊および初期化などを実行するリスクもある。こうした事態を防ぐために、「特権ID」（Administratorやrootなど）管理を厳密にする対策が取られてきた。

　しかしRPA（Robotic Process Automation）やクラウドの利用が進む今、「誰が管理者権限を持っていて、どのような作業をしているのか」を把握し、適切に管理することが難しくなっている。その結果、「機密情報にアクセスできるロボットが不正に乗っ取られて、情報漏えいやシステム破壊につながる」可能性があるのだ。

　アシストの玉川茂樹氏は「企業は新たなセキュリティリスクに向き合わなければならなくなった。企業システムには『特権ID管理』システムの機能を利用した『特権アクセス管理』が不可欠になる」と語る。

図1　特権ID管理を拡張した特権アクセス管理のイメージ

RPAを契機にシステムが破壊される？　ロボットのセキュリティが重要なワケ

　玉川氏は、まずRPAを利用することで発生するセキュリティリスクについて説明した。同氏によれば、ロボットによる想定外の処理や誤作動は発見が困難で、「どのような処理を行ったか」の事後の動作証明も難しい。悪意のある第三者によって、ロボットの処理内容が改ざん、削除される可能性もある。

　さらにRPAのシナリオに業務システムの管理者用ID／パスワードが埋め込まれていた場合、ロボットが動作する端末やRPAサーバ、シナリオを作成する開発端末、ネットワークからそのID／パスワードが窃取されたり、漏えいしたりするリスクもゼロではない。その結果、業務システムへの不正なアクセスによって機密情報の漏えいやシステム破壊が引き起こされれば、企業の被害は甚大だ。

Copyright © ITmedia, Inc. All Rights Reserved.