セキュアでコンプライアンスに準拠した安全なオートメーション環境をクラウドで実現するための 5 つのステップ

「米国企業の 80% 以上が、システムをハッキングされて、重要なデータを盗まれたり、変更されたり、公開されたりしたことがあり、(中略)アジア、ヨーロッパ、アフリカ、中南米でも、85% 以上の企業がハッキングの被害に遭ったことがある」そうです。その結果、ひどい損額を被ることがあります。1 回の情報漏えいで、修復作業に数百万ドルもかかるだけでなく、ビジネスと信用を失う可能性もあります。

オートメーションをクラウドネイティブなアーキテクチャに移行することで、迅速なスケーリング、高可用性、きめ細かいセキュリティ、イノベーションを実現できます。ビジネスのスピードに対応するには、以下のことが可能なオートメーション プラットフォームが必要です。

• 攻撃にさらされるリスクやセキュリティ インシデントを最小限に抑える。
• 事前対応型の強力なリスク軽減ポリシーと災害復旧ポリシーを適用する。
• 主要な業界標準に準拠している。
• 一元化された強力な認証およびアクセス制御とともに、統合による拡張機能を提供する。

上記のプラットフォームに関する考慮事項に加え、今回は、オートメーション プラットフォーム、開発ライフサイクル、データのセキュリティを確保するための 5 つのステップをご紹介します。 

ステップ 1: 認証とアクセスの定義、管理を確実に行う 

まず、システムにアクセスするのは認証されたユーザーのみに限定する必要があるため、厳重に管理された環境では、多層認証ときめ細かいアクセス制御が不可欠です。適切な認証とアクセスを確実に構築する作業の一環として考慮すべきベスト プラクティスをいくつかご紹介します。

• オートメーション プラットフォームの基本的なアーキテクチャと主要な機能において、RPA 管理者、Bot ビルダー、Bot テスター、RPA オペレーターといった明確な役割を作成します。サポートやトラブルシューティングの職務を遂行する権限に基づいて、コンテンツへのユーザーのアクセスを制限します。このような制御では、厳重かつセキュアでコンプライアンスに準拠した環境のニーズを満たすのに十分なきめ細かいアクセス制御により、職務を分掌し、忠実度の高い役割を作成することができます。
• オートメーション プラットフォームに資格情報コンテナーが内蔵されているか資格情報コンテナーと統合する機能が備わっていることを確認します。資格情報コンテナーには、すべてのシステム資格情報とユーザー資格情報に加え、オートメーションの実行時に必要な資格情報が保存されます。その結果、Bot ビルダーは、資格情報やその他の機密データ/引数を直接オートメーション内でハードコーディングするような安全でない方法を避けることができます。
• ユーザー認証の管理オプションを複数用意します。たとえば、LDAP を使用した Active Directory、Kerberos を使用した Active Directory、SAML2.0、内蔵の資格情報コンテナーを使用したローカル認証など、複数の役割や権限を利用できるようにします。 

ステップ 2: 堅牢なソフトウェア開発ライフサイクル管理サポートにより、可用性の高い開発環境を構築する

アクセスのセキュリティが確保されたら、他のエリアに移動して、潜在的な脆弱性を取り除くことができます。たとえば、以下のベストプラクティスにより、オートメーション ソフトウェア Bot の開発を安全に進めて成功させることができます。

• ソフトウェアの脆弱性を検知して取り除くために継続的なマルチツール多層スキャニングを必要とする、コード開発のセキュリティ プラン/プロトコルを検討します。
• プラットフォーム プロバイダーが事前にコード スキャンによって脆弱性のペンテストを行えるようにします。
• エンドポイント検知・対応 (EDR) ソリューションとデータ損失防止 (DLP) ソリューションを活用して、事前にポリシーの適用、異常の検知、脅威の修復を行うことで、オートメーションを実行するデバイスのセキュリティ態勢を整えます。
• コンポーネント アーキテクチャを評価します。高可用性/災害復旧 (HA/DR) 用の既存のインフラストラクチャやプロセスにシームレスに適合できる必要があります。 

ステップ 3: 保存中、使用中、転送中のデータを保護する 

エンドツーエンドでデータを保護するための対策を講じていますか? これは、ビジネスクリティカルなプロセスや機密データの機密性と整合性を維持するために欠かせません。オートメーション プラットフォームでは、保存中や転送中のデータだけでなく個々のシステムで使用中のデータも保護する対策が必要です。対策の例には、以下のようなものがあります。

• ローカル資格情報と一部の Bot 用ランタイム データを暗号化し、資格情報コンテナーを使用して、重要なバージョン管理とメール サービスに伴う機密性の高い設定パラメーターや詳細情報を安全に保存します。
• データ管理および非識別化手順である仮名化を採用します。仮名化では、データを人為的な識別子に変換します。これにより、別に管理されている追加情報なしにはデータを使用して自然人を特定することができなくなります。
• すべてのネットワーク サービスで、TLS (Transport Layer Security) 1.2 (またはその他の業界標準) を使用して、コンポーネント間を転送中のデータのセキュリティと整合性を確保します。
• オートメーション プラットフォームで、業界標準の暗号化技術に従ってデータが暗号化されるようにします。ユーザーとの間のトラフィックを HTTPS + SSL/TLS 1.2 で暗号化し、オートメーション環境と通信します。サービス内に保存されるデータ (保存中のデータなど) は、AES-256 で暗号化します。

ステップ 4: コンプライアンス

従業員が社内で業務に適した場所を利用し、セキュアな環境で働けるようになったら、次に目を向けるべきなのがコンプライアンス対策です。

コンプライアンスの評価と管理では、主にシステムとプロセスを評価して、業界標準と規制要件を満たしているかどうかを確認します。これは継続的に行う必要があります。ビジネスの成長に合わせて、各部門はスケーリングを支援するソリューションを導入します。新しいアプリケーションは、複数のセキュリティ コンプライアンスを危険にさらすことがないよう検証されなければなりません。プラットフォーム上の包括的かつ継続的な監査ログ機能は、企業レベルのセキュリティおよび品質コンプライアンスを確保するのに役立ちます。保健科学や金融といった規制の厳しい業界では、HIPAA、PCI-DSS、FISMA などのコンプライアンス基準を満たしていないと、罰金やその他の罰則を受ける可能性があります。

ステップ 5: 事前対応型でセキュリティ運用を監視する

セキュリティは一過性のものではありません。新たな脆弱性やサイバー攻撃手法がいつでも出現してきます。セキュリティ運用は常に監視して高い水準で行う必要があるのです。そのためのベストプラクティスをいくつかご紹介します。

• オートメーション プラットフォームで確実にセキュアなソフトウェア開発ライフサイクル (SDLC) プロセスが実行されるように、役割や権限の異なる複数の管理者がチェックと認証を行います。
• 厳格な職務分掌と多層制御を構築して、ソフトウェア開発パイプラインの信頼性、拡張性、効率性、セキュリティ、コンプライアンスを確保します。 
• 設計レビュー、脅威のモデル化、手作業によるコード レビューとスポット チェック、継続的な侵入テストを担当する専門のセキュリティ エンジニアリング チームを編成して、クラウドのセキュリティを確保します。 
• 運用と同時に、事前対応型で災害復旧を管理することでインシデントの監視と通知によってタイムリーに状況に対応できるようにします。

オートメーション・エニウェアのクラウドネイティブな Automation 360™ プラットフォームとサポートにより、お客様はデータと業務を守る防御力を高めることができます。