最近の投稿

スポンサーリンク

RPA 内部統制

Power Automate DeskTopがもたらすリスクについて考えてみた

はじめに

米国時間2021年3月2日、MicrosoftはPower Automate DesktopをWindows 10ユーザーに無料で公開すると発表しました。

これに対して、SNS上で様々な意見がありました。

・RPAなんて無償レベルでいいんだよ
・プラットフォーマーが本気出したら3rdパーティは終わるだろう

 

RPA界隈には戦慄がはしりました。

今までRPA界隈で、野良RPAをどうするかというのがTopicであったことも一因でしょう。

MSはEUCという名の野犬を野に放ったのかもしれません。

どんなリスクが考えられるか

Power Automate DeskTop(PAD)について有用性や、メリットを論ずる記事は数多。

曲がり屋の私はリスクについて考えていきたいと思います。

意図せず、外部システムを攻撃してしまうリスク

岡崎市立中央図書館事件はご存じでしょうか。

2010年3月頃、市民から岡崎市立図書館のウェブサイトの蔵書検索システムに対し接続が出来ないと苦情があり、その後もウェブサイトの閲覧が困難になる事態が相次いだ。同年4月15日、同図書館が迷惑なアクセスを受けていると愛知県岡崎警察署に被害届を提出し、5月25日にアクセスを行っていた男性が蔵書検索システムに高頻度のリクエストを故意に送りつけたとして偽計業務妨害容疑で逮捕された。

男性が実際に行っていたのは、蔵書検索システムの使い勝手に満足しなかったため自身で作成したクローラを実行し、蔵書検索システムから図書情報を取得することであった。クローラとは、自動的に情報を引き出しデータベースにまとめるプログラムであり、GoogleやYahoo!等の検索エンジンなどでも利用されている。また国立国会図書館でもインターネット資料収集のためクローラを用いている。

Wikipedia:岡崎市立中央図書館事件

この事件は図書館側で導入システムの問題点等もありますが……

ただここで言いたいことは、例えば意図せず無限ループとなった処理が、極めて短いサイクルで重い処理をリクエストしていた場合、

先方システムの防御状況によりDDos攻撃のような振る舞いをしてしまうリスクがあるのではないかと仮説を立てています。

これを起因としてシステムがダウンし業務停止になった場合に、業務妨害に該当するような事項になるのではないかと懸念しています。

会計上影響のある作業を自動化してしまう

リスクコントロールマトリクス上でマニュアルコントロールと定義している処理を、

協議なくユーザーの判断で自動化してしまうリスクも考えられます。

この結果、業務監査でどういう影響があるか想像ができません。

まあ、リスクコントロールマトリクスを修正して然るべきテスト、変更管理をすることになるのかと思いますが。

Blue Prismのように集中管理すれば情シスに引き合いがあったタイミングで諫めることができるでしょう。

属人的で無駄な改善活動が行われてしまう

エンタープライズ型RPAを導入するメリットとして、複数部署でやっている同一業務を一つのRPAでさばいて、最小の開発コストで

最大の費用対効果を上げられる、同一業務n倍理論があります。

PAD、RDAで行われるのは、それぞれの手作業の自動化にとどまり、その作業が複数部署で行われているかというところまで評価して、横展開しようとはならないでしょう。

また、各部門でパソコンに詳しいユーザーがそれぞれの経験に応じた開発をすることになります。

品質がバラバラな実装が各部門で行われるというのは、オーナー不在のEUC(マクロ)の改修をやってきた身としてはまさに地獄。

マクロの記憶とコピペコードの合わせ技のマクロはマジで読むのが苦痛、マジで。

そういう意味で、今までRPA推進をしていた啓蒙活動と逆行してしまいます。

個人情報漏洩のきっかけになる

ガッツリ住所録のような個人情報にはアクセスできないでしょうが、アドレス帳のようなものは調べられる機能はメーラー等にあることが多いと思います。

通常、アドレス帳全データダウンロードのような機能は一般ユーザーに解放されていません。

しかし、単純作業を繰り返しやす事が容易いPAD、RDAがあればメーリングリストを作るのは容易いでしょう。

今まで、(人間がやる前提では)相当な時間がかかるため、到底無理・やる気が起きないであろうと無視してきた操作をされてしまいます。

企業の全件メーリングリスト抽出して、それが漏洩した場合、個人情報漏洩につながりますし標的型攻撃する側としては最高の情報であろうと考えられます。

全てのアドレスに同時に送信した場合、必ずITリテラシーが低いユーザーは攻撃の糸口になってしまいますし、事例共有が間に合いません。

恐らく、某証券会社で異動前のアカウントを使って顧客情報を抽出し反社に売ろうとしたような事件(これをきっかけに我々はID棚卸しをすることになった)と類似した事件が起きるでしょう。

そして事件が起きれば、当局から業務に複雑に絡み合ったPAD、RDAを内部監査するガイドラインが展開され、情シスの作業がひとつ増えるのではないか、と推測は容易いです。

おわりに

Power Automate DeskTopは非常に強力なツールです。

個人的にも興味がありいろいろ作ってみたいです。

ただ、情シスという立場でいえば、とんでもないものを投入してくれたなというのが正直な感想です。

ユーザー教育を徹底してITリテラシーを底上げしてからじゃないと、リスクがありそうです。

禁止するにせよ、モタモタしているとか重要業務を既にPADで自動化してしまった!今更禁止されても困る、などと対応しなければならない自体になりそう。

 

最近の投稿

スポンサーリンク

-RPA, 内部統制
-

© 2021 ONE HUMAN UNIT Powered by AFFINGER5