fbpx

Roboticプロセスの自動化とITコンプライアンス

好きな所から読む

Robotic Process Automation(RPA)は、人間の労働者と同じように、プロセス全体で基本的なタスクを実行するように簡単にプログラムできるソフトウェアを指します。ソフトウェアロボットは、受信したフォームの取得、受信メッセージの送信、フォームの完全性の確認、フォームのフォルダーへの提出、フォームの名前、提出日、スプレッドシートの更新およびその他の詳細など、複数の手順とアプリケーションでタスクを実行できます。

RPAソフトウェアは、従業員の反復的で単純なタスクの負担を軽減し、顧客サービスなど、よりやりがいのある高価値のイニシアチブに専念できるように設計されています。それでも効果的なRPA テクノロジーを開発して実装するには、企業はさまざまなIT要件、特に制御、ガバナンス、セキュリティに関連する要件に準拠していることを確認する必要があります。

RPAとITコンプライアンスの関係

RPAテクノロジを使用してビジネスクリティカルなプロセスまたは「制御されたプロセス」を自動化する場合、組織は適切なポリシーと手順を展開して内部IT 要件に確実に準拠する必要があります。RPAを介して重要なビジネスプロセスを自動化するライフサイクル全体で注目すべき4つの重要な領域があります。

前のセクションでは、これらの主要な領域のそれぞれに関する詳細情報を提供するとともに、各コンプライアンス領域の追加の関連情報を提供します。この記事の後半では、これらの各トピックを再検討し、それらを達成するのに役立つ特定の推奨事項を提供します。

プロセス管理

これは、新しい自動プロセスで配置する必要のあるすべてのコントロールに関連しています。これには、次の重要な領域が含まれます。

  • コントロールの識別
  • 役割/アクセス管理
  • ガバナンス
  • プロセスの所有権
  • 職務の分離

プロセス開発

これには、ロボットの実際の開発に関連するすべてのセキュリティが組み込まれています。これは、ソフトウェア開発プログラムに導入されているコントロールと同じくらい重要です。これには次の領域が含まれます。

  • コード品質
  • コードの配置
  • 変更管理
  • プロセスの展開
  • インシデント管理
  • ロギング
  • テストケースの完全性

RPA ITコンプライアンスについて考える方法

コンプライアンスの柱

  • データセキュリティ
    • プロセス管理
    • プロセス開発
    • バックアップ
    • プラットフォーム

指導原則

  • ロボットはデジタルワーカーと従業員です。彼らは従業員のように保護され、承認される必要があります
  • アクセス制御、変更制御、重要なデータセキュリティなどのITコンプライアンスの基本原則を適用する必要があります
  • ロボットは不正にならず、指示されたとおりにのみ実行されます
  • 制御されたプロセスの自動化には、適切なガバナンスとコンプライアンスのアプローチを含める必要があります
  • セキュリティは、RPAの基本的なテナントです

プラットホーム

安全なプラットフォームは、ロボットのコンプライアンス操作、特に重要なプロセスを自動化するロボットにとって非常に重要です。RPAは、プラットフォームとこの環境に関連するすべてのコントロールのセキュリティを保証します。これには次の領域が含まれます。

  • RPAでのデータの送信
  • パスワードの保存
  • インフラストラクチャのセキュリティ

バックアップ

計画外のダウンタイムは問題ですが、これは特に重要なシステムとプロセスに当てはまります。したがって、バックアップは重要です。これには次の領域が含まれます。

  • DR戦略

データセキュリティ

データのセキュリティは、ビジネスに不可欠なプロセスのコンプライアンスの自動化において重要な部分です。RPAプラットフォームは、処理するトランザクション情報を格納しません。たとえば、プラットフォームを使用してERPシステムをSalesforceから取得した値で更新している場合、明示的に要求しない限り、RPAはその値を保存しません。

ライフサイクル全体のコンプライアンス

これらのコンプライアンス構築ブロックは、特定の自動化開発ライフサイクル内に存在します。次のセクションでは、自動化開発ライフサイクルの各ステップについて説明するとともに、各ステップをサポートする特定の領域に関する特定の推奨事項を示します。

  • アイデア:これは、新しい自動化プロセスでコントロールポイントを識別する場所です。ただし、手動プロセスで最初に実装されたものと同じコントロールではない場合があります。たとえば、アカウントの調整を自動化するプロセスでは、管理上のレビューは必要ない場合がありますが、自動化によって明らかになったエラーや問題のレビューは依然として必要です。
  • 構築:自動化を開発する場合、設計とコーディング標準の品質が重要です。デジタル標準操作手順を明確に定義しないと、自動化プロセスが機能しなくなる可能性があります。適切なコード品質を確保し、職務を分離し、効果的な変更管理手順を実装することも重要です。
  • テスト:自動化をテストすると、プロセスが徹底的に分析され、正しく実装されていることが確認されます。すべてのケースをテストして、起こり得るすべての逸脱が検証されることを確認することが重要です。
  • デプロイメント:自動化をデプロイするときは、正しいテスト済みバージョンが実稼働環境に配置されていることを確認してください。
  • 運用:コンプライアンスを確保するには、自動化に関連する適切なレベルの運用が不可欠です。アプリケーションの可用性、プロセスの変更、およびその他の変数により、問題が発生する可能性があります。これらの潜在的な問題は、自動化の適切な運用ビューで軽減できます。

ライフサイクル全体のコンプライアンス

  • アイデア
    • コントロールの識別
    • プロセスの所有権
    • ガバナンス
  • 建物
    • コード品質
    • インフラセキュリティ
    • 変更管理(SOX)
    • コードの導入とサードパーティのセキュリティ
    • 職務の分離
  • テスト
    • テストケースの完全性
  • 配備
    • RPA Transmission
    • パスワードの保存
  • 操作
    • DR戦略
    • インシデント管理
    • 役割/アクセス管理
    • ロギング

重要な重点領域の詳細:コンプライアンスの各構成要素を定義し、実装に関する考慮事項を以下に示します。

プロセスコンプライアンス

A1. コントロールの識別

概要

プロセスの自動化は、必ずしも別の制御ランドスケープを義務付けているわけではありません。既存のプロセスが現在制御されている場合、そのプロセスの自動化にも同じレベルの制御を含める必要があります。

RPAの推奨事項

新しい自動化プロセスを定義する場合、既存の手動プロセスを正常に自動化するには、リスクとコントロールを新しいプロセスの一部としてリストする必要があります。

手動プロセス

たとえば、金融システムへのすべてのアクセスを検証するために、企業がRPAを実装している場合を考えます。手動プロセスは、アクセス要求のダウンロード、承認のフィルタリング、適切な承認が取得されていることの確認、およびシステムで作成されたアカウントとの比較で構成されていました。

不一致が見つかった場合、調停者は問題が発生した理由を特定する必要があります。このプロセスにはいくつかのリスクがあります。レビュー担当者がすべてのアクセスレコードを取得できない場合や、アクセスレコードを見逃す場合があります。

自動化されたプロセス

自動化されたプロセスでは、ロボットを使用して、ログに記録された承認をチェックすることにより、金融システムの各レコードを検証します。ただし、上記のリスクはまだ存在しており、それらを軽減するために、新しい制御を実装する必要があります。

  1. すべてのレコードが取得されるわけではないという事実を緩和するために、RPAプラットフォームで調整が完了している必要があります。これは、アクセスレビュープロセスの一部として公開およびレビューされます。
  2. レコードが欠落している可能性があることを軽減するために、プロセスの一部として完全なエラーレポートが確認されます。

これにより、コントローラーシップ/セキュリティは、自動プロセスを完全に準拠させるために必要な制御の完全な概要を持つことができます。

A2. アクセス制御

概要

ビジネスに不可欠なシステムのアクセス制御は、財務およびIT要件に準拠するために、少なくとも四半期ごとに見直す必要があります。これらのレビューでは、最小特権のアクセスと、すべての高特権アカウント(HPA)が適切にプロビジョニングされていることを確認する必要があります。

RPAの推奨事項

ロボットは、日常の作業を改善するために反復的なタスクを実行するデジタルワーカーです。人間の従業員と同様に、そのアクセスは、最小限の特権の観点からのベストプラクティスに従い、HPAのレビューに従う必要があります。RPA プラットフォームでのロボットへのアクセスは、ユーザーベースのセキュリティモデルに従い、企業がアプリケーションを安全に保護できるように構造化されています。各ロボットには独自の認証情報があり、共有アカウントを使用しません。 ユーザー名とパスワードがクライアントマシンのローカルに保存されている場合、RPAプラットフォームはWindows統合認証を利用します:

お客様事例

主要な医療機関はRPA Orchestratorを利用して、ロボットと対話するシステムのすべての資格情報を保存しています。医療機関はRPAハッシュを評価し、Orchestratorがパスワードの安全な場所であると判断しました。さらに、会社はこれらのパスワードを90日ごとに変更して、これらのパスワードが不適切に使用されないようにします。

A3. ガバナンス

概要

現金の申し込みなどの管理されたプロセスは、標準の運用手順(SOP)で管理する必要があります。SOPにはバージョン管理が必要であり、承認されたバージョンに基づいて何も変更されていないことを監査人/セキュリティ専門家に示します。

RPAの推奨事項

ビジネスオペレーションに不可欠な自動化は、制御された環境に保存する必要があります。これには、承認されたプロセスのバージョン管理にRPA Orchestratorを使用することや、オートメーションが正しくバージョン管理されるようにするためにSubversion(SVN)システムを使用することが含まれます。自動化が変更されるたびに、一貫した承認、更新、およびバージョン管理が適用されます。

A4. プロセスの所有権

概要

企業内に存在する手動プロセスと同様に、自動プロセスの所有者が常に存在する必要があります。この個人は、プロセスの設計、保守、および進化を担当します。

RPAの推奨事項

新しい自動化がデプロイされると、その自動化の名前付き所有者がいるはずです。このプロセスの所有者は、ビジネス要件(例えば、収益を認識するための新しい方法)および環境の変化により必要になる可能性のあるメンテナンスの所有権を認識する必要があります。

A5. 職務の分離

概要

財務管理とIT管理は、重要なシステムへの不適切なアクセスを防ぎます。準拠したプロセスを実装するため、要求者は、承認者と異なっている必要があります。さらに、承認者には、特定の要求者のアクセスを正確に評価するための管理権限が必要です。

RPAの推奨事項

このコントロールがロボットがアクセスするアプリケーションに特に適用される場合、すべての標準コントロール(データの分離、アクセスレビュー)を配置する必要があります。アクセスが必要な場合、ロボットの認証情報は管理コントロールによって承認される必要があります。RPA Orchestratorの資格情報を付与する場合も、同じプロセスに従う必要があります。このアクセスは、要求者が承認者と同じではない標準プロセスを介して制御する必要があります。

開発

B1. コード品質

概要

制御されたプロセスの自動化では、コードの品質と標準およびベストプラクティスの使用が重要です。特に、データストレージ、アクセス/資格情報の処理、および信頼性に一貫したアプローチを使用することが重要です。

RPAの推奨事項

RPAはReFrameworkを提供します。これは、失敗したトランザクションの再試行を含む、エンタープライズロボット展開の確実な配信を保証するのに役立ちます。継続的なコード品質については、SonarQubeのような品質エンジンの使用をお勧めします。安全なデータと情報ストレージをカバーするRPA Academyの高度なトレーニングモジュールにもガイダンスがあります。

B2. コードの導入

概要

コンプライアンスを維持するには、開発者と実装者の間で職務分掌(SoD)を確実にすることが一般的です。

RPAの推奨事項

RPAでは、自動化の開発を分離されたチーム環境で行うことをお勧めします。自動化の開発とテストを行うチームと、自動化を運用環境に展開して運用するチームとの間には、明確な分離が必要です。自動化を本番環境に移行する前に適切なテストを実施する必要があります。これは、企業のソフトウェア開発プロセスでビジネスクリティカルなシステムに使用されているのと同様のアプローチに従う必要があります。

B3. 変更管理

概要

上記のコードの展開と同様に、プロセスへの進行中の変更を順守するために、職務の分離を維持する必要があります。

RPAの推奨事項

自動化への変更は、開発と本番を明確に分離した分離されたチーム環境で行う必要があります。検証のために開発環境とテスト環境を最初に経由することなく、本番環境に変更を加えないでください。

B4. 事故管理

概要

制御されたプロセスのためにロボットを維持するには、問題がいつ発生したかを理解する必要があります。これは、無人環境での自動プロセスでは一般的です。

RPAの推奨事項

自動化の問題/エラーに対処するには、いくつかの方法があります。ロボットはRPAプラットフォームでアラートを発生させることができます。または、制御されたプロセスの自動化は、発生する可能性のある問題を追跡するために顧客システムにチケットを記録することができます。

B5. ロギング

概要

システムの信頼を維持するために、すべての監査ログとシステムへの変更を記録する必要があります。従来のIT環境では、これらのドキュメントは変更管理として保存されます。これらの変更管理は、システムに加えられた変更、および事前にテストされた方法を決定します。

RPAの推奨事項

ロボットは標準の従業員のように個別のセキュリティ資格情報を使用するため、変更は記録システムにトランザクションとしてすでに記録されているため、ロボットが行った変更を個別に記録する必要はありません。ただし、RPA では、制御されたプロセスの一部であるオートメーション自体への変更を記録することをお勧めします。これは、従業員のプロセスマップまたはトレーニングドキュメントの更新と概念が似ています。このプロセスが変更されたため、記録を残しておく必要があります。新しいプロセスはサードパーティの監査会社に提示されます。

B6. テストケースの完了

概要

ビジネスクリティカルなシステムに本番環境の変更を加える前に、広範なテストが必要です。これは、不適切に実行されたプロセスとテクノロジーの変更がビジネスに悪影響を与えないようにするためです。

RPAの推奨事項

生産レベルの作業を行う前に人を訓練する必要があるのと同じように、ロボットによって実行される自動化プロセスは、展開する前に広範なテストを受ける必要があります。これには、開発からテスト、本番までの標準的な複数の環境でのテストが含まれます。

プラットホーム

C1. RPA送信

RPAの概要:Robotには、RPA Orchestrator URLを使用して構成エンドポイントに接続し、マシン名とRobot Keyで認証するRPAエージェントが含まれています。エージェントはRPA Orchestratorとの通信チャネルを開き、常にこのチャネルを開いたままにします。エージェントは30秒ごとにハートビートをRPA Orchestratorに送信します。RPA Orchestratorは、この通信チャネルを使用してロボットの開始および停止コマンドを送信します。エージェントは、操作するデータをローカルに保存しません。自動化デザイナーによってカスタマイズ可能な特定の「ログメッセージ」アクティビティを使用して生成されたメッセージのみをローカルログファイルに保存します。

エージェントは、ロボットのステータスを送信し、実行する必要のある自動化のバージョンをダウンロードする責任もあります。エージェントとRPA Orchestrator間の通信は、常にエージェントによって開始されます。通知シナリオでは、エージェントはWebソケットチャネルを開きます。このチャネルは、後でOrchestrator がロボットにコマンド(開始、停止など)を送信するために使用されます。

C2. パスワードの保存

RPAの推奨事項:これは、RPA Studioファイルにローカルに何も保存せずに呼び出すことができます。アプリケーションがローカルマシンに保存されている認証情報を使用しない場合、RPAはCyber​​Arkを利用して安全な認証情報を保存できます。RPAプラットフォーム内のすべてのロボットのコマンドセンターであるRPA Orchestratorには、強力なパスワードとアクセスポリシーをお勧めします。RPA Orchestratorを使用してRobot ファイルをローカルマシンに送信する場合、ユーザー名とパスワードはAES_CBC_256暗号化で保存されます。これは、安全なHTTPSチャネルを通じてローカルエージェントにも伝達され、セキュリティを確保するために難読化されます。

C3. インフラストラクチャのセキュリティ

RPAの推奨事項:RPAプラットフォームとベストプラクティスに関するすべてのドキュメントはオンラインで入手できます。暗号化、メンテナンス、その他のインフラストラクチャ関連の考慮事項などのトピックが含まれています。

お客様事例

大規模な産業顧客は、スナップショットシステムを使用して、RPA Orchestrator にあるロボットのレコードを保存します。これにより、本番環境でエラーが発生した場合でも、別のインスタンスが動作可能になります。このシステムは、ビジネスクリティカルなプロセスとRPAロボットに使用されます。

バックアップ

D1. DRS

災害復旧の計画を立てることで、重要な管理プロセスを維持でき、一部の規制の遵守に必要になる可能性があります。

RPAの推奨事項:以下の図に示す展開モデルは、下の図でDRデータセンターとしてマークされているセカンダリデータセンターの障害復旧オプションを使用して、プライマリデータセンターの高可用性構成を拡張します。プライマリデータセンターが再構築されるまで、一時的な使用のためにプロビジョニングされていることを考慮して、災害復旧データセンターで使用するマシンの数を減らします。このソリューションは、データセンター間のネットワーク接続が遅い場合に適用できます。

次の条件を満たす必要があります。

  • Always On可用性グループ機能の少なくとも1台のマシンが、障害復旧データセンターに物理的に配置されています。
  • プライマリデータセンターとディザスタリカバリデータセンターの間にネットワーク接続があります。
  • 外部ストレージは、スナップショットツールを使用してプライマリデータセンターで作成されたスナップショット用のディザスターリカバリーデータセンターで提供されます。これらのスナップショットは、障害復旧データセンターにあるElasticsearchインデックスの復元ツールを使用して読み取られ、適用されます。
  • NuGet形式の自動化パッケージ(アーティファクト)は、外部ストレージに保存されます。各Orchestratorインスタンスは、NuGet.Packages.Path構成設定を使用してこのストレージをポイントします。
  • Redisクラスターは、SignalRおよびキャッシュ設定とユーザー権限をスケールアウトするために提供されています。
  • 外部ストレージはミラーリングされています(オプション-図には含まれていません)。

概要の概要

RPAプラットフォームを使用すると、準拠した方法で制御されたプロセスを自動化できます。従うべき基本的な概念は次のとおりです。

  • プロセスのセキュリティ:これは、制御されたプロセスの新しい自動化に必要なすべての制御に関連しています。ロボットは、通常のユーザーと同じようにアクセスをプロビジョニングする必要があります。彼らのアクセスは監査され、彼らが実行している仕事に基づいて最低限の特権を与えられるべきです。ロボットの仕事に高い特権のアカウントが必要な場合は、人間と同じようにアクセスを監査する必要があります。

開発:制御されたプロセスの準拠した自動化を開発するには、ビジネスに不可欠なソフトウェアシステムの開発に使用されるものと同様のベストプラクティスを採用する必要があります。

  • プラットフォーム:安全なプラットフォームは、重要なプロセスを自動化するロボットのコンプライアンス動作にとって非常に重要です。RPAは、プラットフォームとこの環境に関連するすべてのコントロールのセキュリティを保証します。
  • バックアップ:重要なプロセスでは、停止によるダウンタイムが問題になるため、バックアップが重要になります。災害復旧を検討する場合、RPAプラットフォームはサプライチェーンの重要な部分として扱う必要があります。必要に応じて、バックアップインフラストラクチャとオフラインプロセスが必要です。
  • データセキュリティ:ビジネスクリティカルなプロセスのコンプライアンスの自動化の基盤となるのはデータセキュリティです。この主要コンポーネントとして、RPAプラットフォームは処理するトランザクション情報を保存しません。たとえば、プラットフォームを使用してERPシステムをSalesforce から取得した値で更新している場合、明示的に要求しない限り、RPAはその値を保存しません。

付録1:認定とコンプライアンス

Windows Active Directoryを完全にサポートしています。他のアイデンティティ管理プロバイダーのサポートは現在利用できません。

私たちは以下に準拠しています:

  • 情報セキュリティ管理システムISO 27001:2013
  • 品質管理システム:9001:2008

ISOは、さまざまなレベルの複数業界標準です。ISO 27001 は、強力な情報セキュリティ管理システム(ISMS)を実施および保証します。これは情報セキュリティを保証するための完全なシステムであり、この標準を持つ人は少なくとも、情報セキュリティを管理するための強固なシステムを持っています。

ISO 27001フレームワークは、組織の特性に合わせて調整されたISMSポリシーを定義し、目標を設定して有効性をテストするための特定のフレームワークを備えています。これに基づいて、組織はリスク評価アプローチを定義します。潜在的なリスクを特定、分析、評価します。これらのリスクから保護するためのコントロールを開発します。最後に、会社は、選択されたコントロール、それらの選択の理由、およびそれらの実装を明記した適用性の声明を作成します。

一方、SSAE 16は、サービス組織管理(SOC)情報を目的と比較する独立した公認会計士または企業の証明書です。提供されるSOCレポートのうち、ISO27001との共通点が最も多いのはSOC 2です(ただし、SOC 2はレポートであり、ISO27kは認証であることを覚えておくことが重要です)。

これは、セキュリティ、可用性、処理の整合性、機密性、およびプライバシーの原則に基づいてリスクを軽減するサービス組織コントロールの設計(タイプI)および運用(タイプII)について報告することを目的としています。ただし、すべての原則を満たす必要はありません。SaaSプロバイダーは、報告するRPA Security 9の目的に最適な原則を選択できます。SSAE 16には明確に定義されたルールや標準はありません。代わりに、プロバイダーは、監査によってテストされる独自のセキュリティ制御と原則を作成する必要があります。

HIPAA / SOX / PCI-DSS

RPAプラットフォームは、顧客のネットワーク/インフラストラクチャの外部で機密データを保存、送信、または処理しません。これは、PCI-DSS、HIPAA、SOXに準拠した自動プロセスを作成するための基盤として使用できることを意味します。開発者/クライアント/コンプライアンスチームは、開発された自動化が関連する規制の推奨事項に引き続き従うようにする必要があります。

OWASPトップ10リストに完全に準拠しています。OWASPセキュアコーディングプラクティスに準拠しています。

GDPR

すべての企業が、大量のデータの処理を伴う可能性のあるデータ(同意を含む)をインベントリ、分類、および更新するプロセスを実装しています。RPAプラットフォームを使用すると、すべてのシステムでデータの変更を自動化できます。RPAプラットフォームを利用して、記録システムからPIIデータを取得またはパージして、手動操作を減らすこともできます。RPAプラットフォーム全体がクライアント環境に完全にデプロイされているため、RPAによってデータが保存または処理されないことに注意することも同様に重要です。ロボットログにはプロセス関連のデータのみが保存されます。個人データや機密データは保存しないことをお勧めします。2018.1では、すべてのログはElastic Shieldを使用して暗号化されて保存され、Orchestrator からの残りのユーザーログは暗号化されてSQLデータベースに保存されます。

GDPRコンプライアンスを念頭に置いてワークフローが作成されていることを確認する制御チェックに役立つGDPRフレームワークをリリースします。

すべての企業でRPAはGDPRに準拠して自社事業を運営する必要があります。Sypherツールと法律顧問の助けを借りて、GDPRデータプライバシー規制へのコンプライアンスを確実にするために、影響を受けるすべてのプロセスを評価およびマッピングしました。会社全体およびお客様とのコミュニケーションが行われ、実装が発表されました。

SNSでもご購読できます。

コメントを残す

*