鳴り物入りで、RPA業界に登場したRPAツール、「Power Automate Desktop」。

客観的にみて、今からRPAツールを導入・勉強するのであれば、これ一択だと思います。

個人的に「弱点かな!?」と思えるところは、まだ登場して間もないことから、インターネットや書籍に情報が少ないことでしょうか。

初学者の方にとっては、そこに敷居の高さを感じるかもしれません。

さて、そんな「Power Automate Desktop」ですが、最近お客様からある質問を頂きました。

それは、

Power Automate Desktopって、セキュリティ大丈夫ですか? ロボットの保存先がクラウド側ということで、情報流出の可能性とかあるんじゃないかと心配しているんですけど。

というもの。

 

なるほど!

確かに、WinActorとかは、作成したロボット(シナリオ)は、ローカルに保存されます。

そこに安心感を感じる人がいるということも納得できます。

では、本当にマイクロソフト製のRPAツールである「Power Automate Desktop」には、セキュリティの心配があるのでしょうか?

 

Power Automate Desktopのセキュリティ懸念点

1.クラウドサーバに、どこまで情報が送信されているのか?

そもそも論ですが、Power Automate Desktopを使っている時に、どの部分までがクラウドサーバにアップロードされているのでしょうか?

画面で見える範囲になりますが、コンソール画面から「スタート」ボタンを押すと、ステータスが「ダウンロード」に変わります。

どうやらそこで初めて、ロボットがローカルにダウンロードされ、実行開始となっているようです。

回線のスピードを勘案すると、単純にロボット分の容量だけがダウンロードされ、動いているように見えます。

ロボット稼働中において「●行目を処理した」というのは送信され、正常処理か異常処理になったか?は、あちらで判別できるようになっています。(ユーザー側でログが見えるようになっている。)

そこの詳細情報を見ると、どの変数に何の値が入っていたのか?といった情報が見えるので、そういった意味では取得や読み込みアクションで扱ったテキストや数字は、マイクロソフトのサーバー側に保存されていると言えるでしょう。

それらの情報を繋ぎ合わせて、1つのデータテーブルにすることも理論的には可能なのかもしれません。

しかし、万が一そういったものがマイクロソフトの社内から流出したというニュースが飛び交った場合、誰も怖くてPADを使わなくなるという死活問題になるので、マイクロソフト側もそういった仕組みにはしていないと思われます。

 

2.ハッキングの恐れはないのか?

クラウドという概念が出たとき、多くの人がセキュリティについて、心配をしました。

インターネットという無法地帯において、データを保管していても大丈夫か?

やっぱり、オンプレミス(※1)で運用した方が安心ではないのか?と。

※1・・・自社で物理的にサーバを管理する運用手法のこと。

 

確かに、そういった風潮がありましたね。

しかし、この議論、その根底にあるのは、「オンプレミス > クラウド」であり、手元にサーバがある方が安全!という思い込みがあります。

結論から言えば、一概にそうとは言えません。

スタンドアロン(※ネットワーク繋がっていないPC)で利用するならともかく、通常の会社は社内ネットワークがインターネットに接続できるように設計されています。

それはクラウドも同じ。

となると、要は入口・出口の管理が重要になってくることは変わらない訳で、そのゲートを管理する「機器」と「運用知識」次第ということになるからです。

そう考えると、「一般の企業」と「クラウドを扱う専門の会社」を比べた場合、どうでしょうか?

やはり、餅は餅屋。

 

さらに、マイクロソフトほどの会社になると、そのレベルの高さは我々の想像を超えていると思います。

その辺のIT企業に勤めている社内SEレベルで太刀打ちできるはずがありません。

人材もセキュリティのスペシャリストが設計・管理し、セキュリティ用の機器も途方もない金額が費やされています。

そういった意味では、「オンプレミスで管理するより、クラウドの方が安全」と言えると思います。

 

実際に情報が流出する場合、ハッキングではなく、利用する側の社内運用管理の問題でしょう。

パスワード管理が杜撰で漏れたりとか、誰かがUSBメモリでコピーして持ち出したとか。

 

なので、Power Automate Desktop利用が原因で、情報流出ということはあり得ないと思うのですが、いかがでしょうか!?

ちなみに、Power Automate においては、特定のアクションを使用不可にすることができます。

一番情報漏洩しやすいのは、「メールの送信」アクションだと思いますが、このアクションに限っては使用不可、そんな設定が管理者側で簡単にできます。

とはいえ、ネットワークの知識がちょっとでもある方であれば、社内からメールを送信するとログからすぐ足がつくということは分かると思うので、やるにしても普通そんな愚かな手法は選ばないと思いますけど。。