■サイト内検索:
 

RPA Biz > RPA > 【RPA化で忘れてはならない】セキュリティ面について

【RPA化で忘れてはならない】セキュリティ面について

2018.11.01

 

 

RPA化において考慮すべき点

人間が行っているような単純作業においては絶大な威力を発揮するRPA化ですが、

システムを導入するにあたって、利益の追求や効率化を計るだけではなく、

他にも考えないといけないこと、というのはたくさんあります。

 

その中の一つにシステムのリスクマネジメントがあります。

 

多くの場合はロボットの性能や効率化に重きを置きがちで、

ITガバナンスの確立を忘れがちですが、ここはとても重要なポイントになってきます。

 

これは少し余談ですが、プログラミングに慣れている人と初心者の人で違う点は

エラーの数だとよく言います。

プログラミング経験者もすべてのエラーを追えるわけではないですが、エラーの対処をある程度は組み込んでプログラミングすることができます。

実際、プログラミングを全くしたことのない人でもUiPathWinActorなどのRPAのツールを簡単に使うことは出来ます。

しかし、全体像を把握し、そしてある程度のエラーにおける対処ができるようになるためには

何かしらのプログラミングをできるようにすることをオススメします。

 

 

このようにリスクマネジメントは非常に重要なファクターになってきます。

 

今回は、システムの簡単なリスクマネジメントと共に

一般的なセキュリティ面の注意点を見ていきたいと思います。

 

 

 

ITガバナンスの確立に向けて

みなさんはITガバナンスと言う言葉について知っているでしょうか。

 

ITに関するルール」のようなものだと思っている人もいるかと思いますが、それは間違いです。

ITに関するルール」はあくまでもITガバナンスを確立するための手段の一つでしかありません。

 

 

 

そもそもITガバナンスというのは経済産業省で以下のように定義されています。

 

企業として、ITに関する企画などの運営を行う際に情報資材に関わる機密性や完全性、可用性のリスクを管理するための仕組みを組むこと。また、その仕組みのこと。

(経済産業省 「情報セキュリティガバナンス導入ガイダンス」参考

http://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf

 

 

この定義から分かることは、

組織の目指すべき姿へ向けて行わなければならない仕組みを全体になじませること

ITガバナンスを確立するうえで大切になってくるということです。

 

企業の理念や経営戦略に向けての仕組みとして、「ITに関するルール」が存在しているのです。

 

 

この際に、注意してかないといけない事は大きく分けて三つあります。

1、世間の環境や経営戦略などの変化に応じて臨機応変なIT戦略の仕組みの作成              

2、ITの戦略を実行していく上でのセキュリティ面の確保

3、仕組みを円滑に実行するための組織力の向上

 

今回は特にセキュリティ面についてみていきたいと思います。

 

 

 

以下の三つは先ほどのITガバナンスの定義にも出てきましたが、

情報セキュリティの三要素と呼ばれているものです。

 

「機密性」・・・許可のないアクセスには情報を渡さない

「安全性」・・・情報が常に安全な状態であること

「可用性」・・・許可されたアクセスには必要なときに情報の利用が可能なこと

 

これら三つががシステム構築の目的になることが多いです。

 

 

◆共通フレーム 2007

 

以上のようなITガバナンスを確立するのを助ける仕組みとして、

SLCP(Software LifeCycle Process)と言うモデルが用意されています。

 

SLCPとは開発・運用・保守などのソフトウェアの工程全体を標準化した枠組みのことです。

 

 

とても簡単に言ってしまうと、色々な人が色々な言葉を使うと誤解が生じたりするので、このモデルを標準としよう、としたものです。

 

ここには言葉の定義や各工程の内容などが書かれています。

ここで定義された用語によって、システム開発者と委託者の相違を避けることができるのです。

 

 

では、どのようなものがあるかと言うと、

 

「ISO/IEC 12207」

「SLCP-JCF (Japan Common Frame:共通フレーム)

 

というものが存在します。

 

「ISO/IEC 12207」は国際標準化機構によって標準的なモデルとして用語の定義などを行ったものです。

1995年に策定されましたが、2002年と2004年に改訂されています。

 

さらに、この「ISO/IEC 12207」を日本で使えるようにしたのが「SLCP-JCF (Japan Common Frame:共通フレーム)」です。

情報処理推進機構によって1996年に策定され、1994,1998に改訂され、

今は「共通フレーム2004」が標準となっています。

 

「共通フレーム」は簡単に言えば、「ISO/IEC 2007」の日本語版なのですが、

共通フレーム は日本でも不自由なく使用するために

日本独自の事情などを考慮して作成した枠組みとなっています。

 

今では開発から導入、運用、保守までのプロセスを確認していく上では開発側だけではなく、発注側も必要不可欠の知識となっています。

 

 

◆リスクマネジメントの流れ

 

リスクマネジメントとは、リスクを分析してどう対処するのかをまとめたもので、

損失を回避する、または軽減することを図るものです。

 

リスクマネジメントのプロセスは以下の通りです。

 

 

  1. リスク分析

リスクの分析は、以下の項目を考えていきます。

 

<リスク分析の範囲>

守るべき範囲を決定します。

例)社会全体、ユーザー、社内の情報システム課

 

<何を守ればいいのか>

上で決めた対象範囲内で守るべきものを洗い出します。

この際に、その情報の利用者や管理者、保管場所や廃棄方法をリスト化してまとめます。

例)

名称

利用者

保管場所

廃棄

利用者情報

顧客

自社サーバー

利用者による申請時

 

<守るべきものの分類>

情報セキュリティの三要素である、

機密性・安全性・可用性

にもとづいてレベル分けすることで守るべき情報資材を分類します。

例)

名称

機密性

安全性

可用性

利用者情報

3

5

4

 

 

 

  1. リスク評価

ここでは以下のような式にもとづいてリスク値を計算します。

 

リスク値 = 情報の価値 × 脅威 × 脆弱性

 

 

  1. リスク対応の洗い出し

 

 

 

 

以上が非常におおざっぱではありますが、リスクマネジメントのフローです。

このように、リスクマネジメントを行うことで様々な状況に対応できるようになります。

 

 

 

    topへ
    © RPA.biz