blue prismはどのようにしてセキュアなロボティッ …...blue...

Blue Prismはどのようにしてセキュアなロボティックプロセスオートメーション（RPA）の標準を確立しているか

blueprism.com

はじめにビジネスの俊敏性とセキュリティ管理のバランスを適切にとることは、すべての組織にとって不可欠です。クラウドベースの場合でもインターネット対応の場合でも、会社に新しいテクノロジーのタッチポイントを導入するたびに、新しいセキュリティリスクに対処する必要があります。同時に、技術革新を進め、競争力を高めるためには、ロボティックプロセスオートメーション（RPA）テクノロジーの管理を、全社的にビジネスリーダーの手に委ねる必要があります。

確信を持ってこれを実現するには、簡単に使えるにもかかわらず各業界で要求される高いコンプライアンスとセキュリティ標準に厳密に準拠する自動化プラットフォームが必要です。一部のセクターでこれを怠った場合、巨額の罰金、さらには懲役刑を科されることもあります。

Blue Prismのconnected-RPA（コネクテッドRPA)テクノロジーの独自性は、デジタルワーカーを導入することにより、人間が行うのと同様に（ただし、人間よりセキュアな形で）プロセスの自動化を実行するように設計されているところにあります。デジタルワーカーにはセキュリティ認証情報が組み込まれているため、非常に要求の厳しいエンタープライズ環境でも安心して運用できます。デジタルワーカーの運用は、ビジネスユーザーがプラットフォームを介して行うことで、IT部門のガバナンスとセキュリティが完全に適用されます。これには非常に規制の厳しいビジネスセクターも含まれます。

Blue Prismのconnected-RPAテクノロジーは、ユーザーインタフェースをマシンインタフェースとして再利用することにより、システムの相互運用性の統合という30年にわたる課題を解決しました。この技術革新により、人間が使用およびアクセスするITシステムとメカニズムを、デジタルワーカーが同じように使用およびアクセスできるようになります。このためデジタルワーカーは、マシンAPIに依存することなく、過去、現在、将来のシステムのプロセスを自動化できます。

connected-RPAを使用すると、ビジネスユーザーはコーディングなしでデジタルワーカーをトレーニングして運用できるため、システムインフラストラクチャにはまったく変更を加えずに済みます。また、Webサービスとコードを記述するコードステージは利用可能ですが、必要になることはほぼありません。

デジタルワーカーにはセキュリティ認証情報が組み込まれているため、非常に要求の厳しいエンタープライズ環境でも安心して運用できます。

blueprism.com 2

:おおおおおおおおおおおお

ホワイトペーパー：BLUE PRISMはどのようにしてセキュアなロボティックプロセスオートメーション（RPA）の標準を確立しているか

大規模なセキュリティ、耐用期間、復元力を持つconnected-RPAを構築するには、自動化のプランニング、モデル化、設計を慎重に行う必要があります。このため、ビジネスユーザーは、デジタルワーカーがタスクの自動化に使用できる直感的なプロセスフローチャートで設計することによって、自動化プロセスを作成できるようになっています。タスクを文書化すると、そのまま実際のタスクになり、ドキュメントを変更すると、タスクも瞬時に変更されます。デジタルワーカーが実行するプロセスは、各自動化プロセス用のプロセスフローチャートに明示されています。プロセスフローチャートは監査と変更管理の対象となります。このアプローチでは、connected-RPAプラットフォーム内ですべてのドキュメントがセキュアに管理されるため、セキュリティレベルが高くなり、コンプライアンス遵守に非常に役立ちます。

また、一元化されたプラットフォームにconnected-RPAの自動化部品を追加し、ビジネス全体で管理して再利用できるようにすることで、ビジネスユーザー間のコラボレーションが可能になります。デジタルワーカーによる決定と行動も一元的に収集されて監査されます。また、人間がデジタルワーカーに対して実施したトレーニング履歴も同様に処理されます。これはプロセスの中で重要な役割を担っており、これによって、connected-RPAプラットフォーム全体の全アクティビティを包括的に監査できます。

組織は、Veracode Verified（企業のセキュアなソフトウェア開発プロセスを検証するサードパーティの認証情報）認定の最高レベルを実証できるRPAベンダーのみを考慮すべきです。Blue Prismは、Verified Level 5を初めて達成したRPAベンダーです。この認定は、Blue Prismが、本格的に構築したエンタープライズレベルのセキュアなソリューションの提供に取り組んでいることを示すだけでなく、Blue Prismの本質をなす製品開発手法の一環でもあります。

セキュアなソフトウェア開発ライフサイクルBlue Prismの製品開発手法は、ソフトウェアとサービスの設計、そして開発のすべてのステージを通知する包括的なセキュリティ保証プロセスに従っています。このアプローチは、脆弱性と脅威の予測、特定、軽減に役立ちます。Blue Prismの高度なセキュリティを持続させるために、弊社ではこのアプローチを継続的に検討し、ベストプラクティスを活用しています。

認定とコンプライアンスRPAの採用によって特に大きなメリットを享受するのは、保険会社、銀行、金融機関、官公庁、ヘルスケアプロバイダーなど、コンプライアンスとデータセキュリティの手続きに関する懸念が大きい企業です。こうした企業は、RPAプロバイダーがサイバーセキュリティと情報管理の標準とポリシーを満たすことを要求します。Blue Prismは、PCI業界データセキュリティ規格（PCI-DSS）、米国における医療保険の相互運用性と説明責任に関する法令（HIPAA）、サーベンス・オクスリー法（SOX）に準拠したプロセスをサポートし、必要なセキュリティとガバナンスを提供するための管理体制を備えています。

blueprism.com 3



Blue Prismは、Veracodeと契約して、定期的な製品脆弱性分析を実施しています。Veracodeは、業界のベストプラクティスである次のようなセキュリティ手法を使用して、アプリケーションのセキュリティと脆弱性について、公平かつ信頼性の高い検証を独立で行います。

• PCI DSS：PCI DSSは、識別可能なカード会員データの保管と処理に適用される技術、管理、手続きのルールセットであり、その目的は、セキュアで標準化されたソリューションが業界全体で使用されるようにすること、そして不正の可能性を最小限に抑えることです。Blue Prismは、顧客がロボティックプロセスオートメーション（RPA）をPCI準拠ソリューションの一環として実装できるように最適化されています。

• PCI PA-DSS：決済アプリケーションが守るべきセキュリティ基準（PA-DSS）の要件は、PCI DSSの要件とセキュリティ評価手順から派生しています。

• OWASP：Open Web Application Security Project（OWASP）は、アプリケーションセキュリティに関する公平で実用的な情報の提供に取り組む非営利組織です。同組織が発表するTop 10は、非常に重大なWebアプリケーションセキュリティ欠陥についての幅広いコンセンサスを表しています。

• 2011年共通脆弱性タイプ一覧（CWE）/SANSによる「Top 25 Most Dangerous Programming Errors（最も危険なプログラミングエラー25選）」は、深刻なソフトウェア脆弱性の原因となる可能性のある最も重大なエラーの一覧です。この一覧に掲載されているエラーは頻繁に発生し、簡単に見つけられて悪用されることがよくあります。攻撃者はこれらのエラーを悪用してソフトウェアを乗っ取ったり、データを盗んだり、ソフトウェアの動作を停止させたりすることができるため、危険です。CWE/SANS Top 25はきわめて一般的かつ重大な欠陥のリストであり、ソフトウェアにこれらのエラーが含まれていないという確証が得られない限り、非Webアプリケーションを顧客に配信してはなりません。

• CERTセキュアコーディング：企業はセキュアなコードを作成することで、悪用可能な脆弱性を引き起こす可能性が非常に高いソフトウェア欠陥の回避に役立てることができます。ソフトウェアエンジニアリング研究所（SEI）CERT Cコーディング規格（2016年版）は、今日最も広範に蔓延しているソフトウェア脆弱性の根本原因を特定し、それらがどのように悪用されうるかを示し、潜在的な脅威を検討し、セキュアな代替策を提示します。

• HIPAA：HIPAAは、ヘルスケア業界に対する米国連邦の一連の法的要件であり、保護された健康情報（PHI）の管理、保管、送信に関する標準と要件などが含まれています。

業界のベストプラクティスセキュリティ手法：

• PCI DSS

• PCI PA-DSS

• OWASP

• 2011 CWE/SANS Top 25

• SEI CERT Cセキュアコーディング規格

blueprism.com 4



アーキテクチャBlue Prismは、通常はプライベートクラウド（「オンプレミス」とも呼ばれる）またはパブリッククラウドでホストされます。Blue Prismの実行はビジネス部門が主導ですが、プラットフォームの導入、管理、統制はIT部門が行うことが強く推奨されます。

Blue Prismアーキテクチャの基本的なコンポーネント

標準的なBlue Prismアーキテクチャには4つの主要なコンポーネントが含まれています。

• Blue Prismランタイムリソース：自動化されたプロセスを実行するための仮想化されたインスタンスです。通常は標準的なエンドユーザーデスクトップを使用し、一般的に「デジタルワーカー」と呼ばれます。通常、これらのコンポーネントでは、物理アクセスおよびリモートアクセスのセキュリティを強化する必要があります。

• Blue Prismインタラクティブクライアント：環境全体におけるBlue Prismプロセスのセットアップ、開発、構成、スケジューリング、および監視を行えるようにするための、物理的または仮想的なエンドユーザーデスクトップビルドです。このビルドは通常、他のBlue Prismコンポーネントとともにデータセンターで仮想化されており、エンドユーザーのデスクトップに直接展開できます。

• Blue Prismアプリケーションサーバー：Blue Prismサーバーサービスは、Blue Prismコンポーネントとデータベース間のすべてのコネクティビティをマーシャリングします。このコンポーネントの主要な機能は、通常は仮想Windowsサーバーとしてプロビジョニングされ、セキュアな認証情報管理、データベース接続のマーシャリング、データ暗号化、スケジュールされたプロセス実行などが含まれます。

• SQL Serverデータベース：Microsoft SQL Serverデータベースは、プロセス定義、ログ、監査、ユーザー情報を保持する一元的なリポジトリとして使用されます。Blue Prismコンポーネントからの接続は、Blue Prismアプリケーションサーバーを介して行われます。

暗号化

保存データ

保存データとは、任意のデジタル形式で物理的に保管されている非アクティブデータのことです。Blue Prismは、よく知られている暗号化規格のみを使用し、連邦情報処理規格（FIPS）準拠の

blueprism.com 5



オプションを含めています。エンドユーザーはアルゴリズムを選択し、暗号化キーを生成し、キーの保存場所を指定できます。Blue Prism製品には、暗号化キーを簡単にローテーションできるツールがあります。

ユーザーが構成できる暗号化キーの管理：

次の情報は、ユーザーが構成できる暗号化に使用される暗号化キーの生成の仕組みと保存場所を説明するものです。

• Blue Prismアプリケーションサーバー（推奨）：暗号化キーはアプリケーションサーバーに保存され、そのキーを環境内にある各アプリケーションサーバーに手動で展開する必要があります。この方法は、暗号化されたデータとは別にキーが保存されるという理由で、最も一般的に選択されるシナリオです。アプリケーションサーバーを介して接続されるクライアントがサポートされます。

• データベース：暗号化キーはBlue Prismデータベースに保存されます。これは、アプリケーションサーバーが導入されていないシナリオに適しています。データベースに直接接続されるクライアントおよびアプリケーションサーバーを介して接続されるクライアントがサポートされます。

Blue Prismデータベースの一部の情報は、暗号化されたデータとしてテーブルの行内に保存されます。これにより、データベースに侵入された場合でも、復号化されない限りデータは露出しません。デフォルトでは、この情報はAESを使用して対称暗号方式で暗号化されます。加えて、Microsoftのデフォルト暗号化メカニズムである透過的データ暗号化（TDE）でもデータベースを暗号化できます。ただしこれは、エンドユーザーが実装する必要があります。

使用中データ

使用中データとは非永続的なデジタル状態で保存されているアクティブデータを指し、その保存先は通常、コンピューターのRAM、CPUキャッシュ、CPUレジスターなどです。

Blue Prismは、.Net Frameworkに組み込まれているMicrosoftのSecure String機能を使用しています。Secure Stringとは、不要になった時点でコンピューターのメモリから削除するなどして、機密にすべきテキストのことです。Blue Prism Safe Stringは、.NET Frameworkに組み込まれているSecure Stringのラッパーです。これにより、パスワードなどの機密情報は、メモリで処理されている間は侵入不可能なセキュアなコンテナーに保持されます。攻撃者がアプリケーションのその時点のメモリスナップショットをインスペクトできたとしても、機密情報は露出しません。

移動中データ

移動中データとは、ネットワークを通過するデータ、または読み取りや更新のために一時的にコンピューターのメモリに入っているデータを指します。Blue Prismでは、適切な証明書を各ランタイムリソースに手動で展開し、デバイスの起動パラメーターを更新することにより、証明書ベースの暗号化が適用されるようにすることを推奨しています。

blueprism.com 6



TCP接続：

Blue Prismは、.NET Frameworkバージョン4.7を基盤として構築されています。.NET Framework 4.7以降のバージョンでは、ホストオペレーティングシステムの構成がデフォルトになり、最適なセキュリティプロトコルとバージョンが自動的に選択されます。これは、TCP、WCF、およびHTTPベースの通信に適用されます。使用可能なプロトコルと暗号は、エンドユーザーが管理するか、Microsoftセキュリティ更新プログラムによって自動的に処理されます。Blue Prismバージョン6.1～6.5では、TCPおよびHTTPプロトコルにTLS1.2が強制的に適用されましたが、バージョン6.6以降では上記を使用するように変更されました。

WCF接続：

Blue Prismで使用されるWCF接続では、ユーザーは次の暗号化方式から選択できます。

• メッセージ暗号化とWindows認証

• トランスポート暗号化とWindows認証

• トランスポート暗号化

• なし（デバッグ目的のみ）

メッセージレベルの暗号化に使用されるWCF構成はプログラムで作成され、.NETの標準暗号化方式であるAES256を使用します（これは変更できません）。Blue PrismコンポーネントがActive Directoryネットワークインフラストラクチャ内に展開され、適切なドメイン信頼で構成されていれば、コンポーネント間通信の通信メッセージセキュリティはデフォルトで有効になります。メッセージセキュリティを有効にすることによって接続をセキュアにする方法の詳細については、「Securing Network Connectivity」データシートを参照してください。

データベース接続：これは、アプリケーションサーバーとデータベースの間の読み取り/書き込み接続です。証明書ベースの暗号化は、自己署名証明書を自動生成できるSQL Server機能を使用するか、または既存の検証可能な証明書を活用してサポートされます。

難読化

Blue Prismでは、暗号化に加えて、難読化のアルゴリズムを使用しています。難読化は、機密情報をわかりにくい形に変換することで機密情報漏洩リスクの軽減に役立ちます。他の既存のテクノロジーや制御を補完するためによく使用されます。

• 暗号難読化：主に、認証情報（Blue Prism認証情報マネージャー）を難読化するために使用されます。

• シンプルな難読化：主に、境界にまたがってシリアライズ/デシリアライズされた情報を難読化するために使用されます。

サードパーティの暗号化機能

Blue Prismの暗号化機能では、次のサードパーティ製品を使用しています。

• Microsoft Windowsオペレーティングシステム

• Microsoft .Net Framework

• Microsoft Windows Communication Foundation（WCF）

• Microsoft SQL Server

blueprism.com 7



• ソースコードの難読化：Blue Prismのソースコードは、その大部分が業界をリードする難読化ツールを使用して難読化されています。ソースコードを難読化すると、リバースエンジニアリングや悪意のあるパッチの作成が複雑になり、実行に必要な時間が長くなるため、そうしたタスクが成功するリスクを大幅に減らすことができます。

FIPS 140-2準拠

バージョン6.6では、FIPS準拠のアルゴリズムが適用されるデバイスでBlue Prismを使用できます。これを実装するために、Blue PrismをFIPS準拠とする変更が加えられました。Blue Prismアプリケーションサーバー、インタラクティブクライアント、ランタイムリソースは、暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用するグループポリシーが有効になっているかどうかを確認するようになりました。有効になっている場合、インタラクティブクライアント上の暗号化方式およびワークキューシステムの設定で、FIPS準拠でない暗号化スキームは選択できません。また、アプリケーションサーバーの暗号化方式を構成するときにも選択できず、FIPS準拠でないオプションを使用するAutomateCコマンドも実行できません。

認証

ACTIVE DIRECTORYの統合

Blue Prismは、.Net System.SecurityおよびSystemDirectoryServices名前空間を使用し、Active Directory（AD）ドメインサービスを活用することにより、エンタープライズレベルの強度を持つさまざまな機能を提供します。Active Directoryは、既存のセキュリティポリシーに沿ってBlue Prism プラットフォームへのユーザーアクセスを管理および制御するために使用され、エンタープライズ展開に推奨されるアプローチです。さらに、Active Directoryは、コンポーネント間のメッセージセキュリティを提供するためにも使用できます。

次のようなエンタープライズ強度の機能を有効にするには、Blue PrismプラットフォームをActive Directoryネットワークインフラストラクチャ内に展開する必要があります。

• Blue Prismプラットフォームのシングルサインオン（SSO）（Active Directoryドメインサービスにより提供）。

• Blue PrismとActive Directoryを統合してSSOを有効にすると、Blue Prismプラットフォームへのユーザーのアクセスを検証するために、Active Directoryの機能を活用できるようになります。このアプローチを使用すると、ログオンプロセスがシンプルになるだけでなく、既存のネットワークセキュリティポリシーと整合性のとれたユーザーアクセス制御が実現します。このためには、ユーザーのActive Directoryアカウント、Blue Prismサーバー、およびユーザーがアクセスするすべてのBlue Prismデバイス（インタラクティブクライアント、および場合によってはランタイムリソース）が共通のActive Directoryフォレスト内になければなりません。

• ランタイムリソースの、ドメインアカウントによる認証。Blue Prismランタイムリソースがドメインアカウントを使用して認証するように構成されている場合、SSOメソッドを使用して、プロセス自動化の一部として使用されるビジネスアプリケーションとシステムで認証を行えます。

blueprism.com 8



ログインエージェント

ログインエージェント機能により、ユーザーセッションのリモート初期化と終了をランタイムリソースで行えます。これにより、ランタイムリソースが要求されないときはそのランタイムリソースを「ログアウト」状態にし、意図しないやり取りが行われないようにすることができます。ログインエージェントは、セキュアな認証情報マネージャーからログイン認証情報を取得します。

多要素認証

多要素認証（MFA）では、以下のうち2つ以上の証拠（または要素）を認証メカニズムに正常に提示した後で、アクセスが許可されます。

• ユーザーだけが知っている事柄

• ユーザーだけが持っているもの

• ユーザーだけに該当する特性

デジタルワーカー：

MFAの要件は、人間の脆弱性を回避することです。しかしながら、デジタルワーカーはその性質上、人間よりもセキュアです。たとえば、デジタルワーカーには以下のような特性があります。

• クライアントの専用ファイアウォール内のセキュアな環境で運用される

• インターネット接続を介して世界中のシステムやネットワークからアクセスすることがない

• 人間のようにパスワードを書き留めたり、教えてしまったりしない

• フィッシング、ショルダーサーフィン、暴力的な脅威に対して脆弱ではない

• パスワードを頻繁に変更するように構築でき、長くて複雑なパスワードを簡単に処理できる

インタラクティブクライアント：

現時点では、Blue Prismは製品内でのMFA（2種類以上の認証を使用して製品にログインすること）をネイティブでサポートしていません。ただし、Blue Prism内でSSOを構成しておけば、MFAをオペレーティングシステムに委任して、ユーザーがソフトウェアにログインしたときに実行されるようにできます。

サードパーティアプリケーション：

対象アプリケーションのMFAの要件は、対象アプリケーションの機能と、そのアプリケーションがMFAをサポートするかどうかによって決まります。MFAが要求される場合、物理トークンは適切ではなく、以下のような代替のアプローチを利用できます。

• ソフトウェアトークン：多くのトークンベースの認証スキームには、APIまたは「ソフトウェアトークン」のオプションがあり、物理トークンの代わりにこれを使用できます。ソフトウェアトークンオプションの例としては、仮想モバイル経由のSMSや、ワンタイムパスワード（OTP）などがあります。ソフトウェアとセキュリティサーバーは同じですが、ハードウェアトークンは、デジタルワーカーが

blueprism.com 9



配置されている仮想マシンにあるソフトウェアを介してエミュレートされます。Blue Prism Digital Exchange（DX）：https://digitalexchange.blueprism.comで、利用可能なMFAのオプションを確認できます。

• スマートカード：スマートカードなど、他の形態の2要素認証を使用する組織もあります。Blue Prismには、ハードウェアスマートカードデバイスを使用する認証プロセスの自動化で、豊富な経験があります。

ただし、こうした状況におけるMFAの必要性を確認し、MFAがデジタルワーカーに必要かどうかを検討することを推奨します。

認可Blue Prism実装の一部として、ユーザーアカウントに必要とされるやり取りがいくつかあります。以下がその例です。

• ランタイムリソースがネットワークまたはワークグループに対して認証を行うために使用するやり取り

• 対象アプリケーションのアクセスと自動化に使用されるランタイムリソース

• プロセスおよび関連するキュー、スケジュール、設定を構成、開発、リリース、展開するためにBlue Prismのコントローラーとデベロッパーが行うやり取り

以下についてはセキュリティも考慮する必要があります。

• アプリケーションサーバーやランタイムリソースなど、さまざまなBlue Prismコンポーネントへのアクセス（リモートアクセスを含む）

• 各ユーザーがBlue Prism環境内で利用できるアクションに与えられる論理アクセス許可

ユーザーアカウント：ランタイムリソースネットワーク認証

ランタイムリソースがドメインまたはワークグループに対して認証されるときにユーザーアカウントが使用される場合の考慮事項としては、次のものがあります。

• アプリケーションサーバーやランタイムリソースなど、さまざまなBlue Prismコンポーネントへのアクセス（リモートアクセスを含む）

• 各ユーザーがBlue Prism環境内で利用できるアクションに与えられる論理アクセス許可

ユーザーアカウント：対象アプリケーション

Blue Prismランタイムリソースは、各事業や自動化されたサードパーティアプリケーションへの適切なアクセス権を持つ必要があります。特定のアプリケーションに同時接続するランタイムリソースそれぞれに対して、適切なアクセス許可を持つユーザーアカウントを使用できるようにすることが推奨されます。また、Blue Prismランタイムリソースが共有認証情報を使用するためのサポートも提供されます。

blueprism.com 10



これらのユーザーアカウントの認証情報は、プロセス定義とは別に、一元化された認証情報管理リポジトリ内にセキュアに保存されます。環境内での不正使用を防ぐため、特定の認証情報へのアクセスは特定のランタイムリソース、プロセス、およびユーザーに制限されています。Blue Prismプロセスは、これらのアプリケーションパスワードを定期的に変更するように構成できるため、認証情報が人間のオペレーターに知られることはありません。

ユーザーアカウント：BLUE PRISMユーザー（コントローラー/デベロッパー）

デフォルトでは、Blue Prismのネイティブ認証を使用してBlue Prismアプリケーションへのユーザーアクセスを管理し、各ユーザーに適切な制御と許可を割り当てます。また、Blue PrismをActive Directory ドメインサービスと統合し、ユーザーのアクセスと管理を制御および構成することもできます。

選択された認証の種類にかかわらず、ユーザーアクセスは役割ベースであり、各環境用に個別に構成されます。これにより、特定のユーザーは環境に応じて異なるアクセス権を持つことになり、1人のユーザーがすべての環境ですべてのアクセス権を持つことのないようにします。

論理アクセス許可の構成はプロジェクト開始時に実施する必要がある作業の一環です。Blue Prism では、カスタムのセキュリティ役割と事前設定されているセキュリティ役割を組み合わせて使用し、各環境で適切なアクセス権を各ユーザーに割り当てることができます。

この定義の一部として検討されることの多い役割には以下のものがあります。

• プロセスの作成、読み取り、編集、削除

• ビジネスオブジェクトの作成、読み取り、編集、削除

• プロセスまたはビジネスオブジェクトの比較、エクスポート、インポート

• リリースパッケージの定義、リリースの作成

• スケジュールの作成、編集、削除

• キュー/セッションへのフルまたは読み取り専用アクセス

• システム設定、ユーザー、認証情報などの定義へのアクセス

さまざまな環境で適切なレベルの制御とガバナンスを提供するためには、論理アクセス制限を確立して実装する必要があります。これには次のようなものがあります。

• 本番環境で開発が行われないようにする

• さまざまな環境間でプロセス（および関連するアイテム）を移行できるユーザーを制限する

• 設定、構成、ユーザーアクセスを担当するユーザーを特定する

• さまざまな種類の監査とログにアクセスできるユーザーを特定する

blueprism.com 11



マルチチーム

マルチチーム環境（MTE）機能により、組織は、既存の役割ベースのアクセス制御を拡張してよりきめ細かく構成できるようにすることにより、Blue Prism内で複雑さを増し続けるセキュリティ構成をモデル化できます。これらの機能により、組織は、特定のBlue Prism環境内の複数のチームと、ビジネスオブジェクトやランタイムリソースなどのBlue Prismアセットを共有できます。MTE機能を使用すると、アセットの種類および階層構造ごとに許可を割り当てることができます。たとえば、あるチームのメンバーになっているユーザーが一部のビジネスオブジェクトに対してフルアクセスを持つが、他のビジネスオブジェクトに対しては表示または実行のアクセスだけを持つようにすることができます。

認証情報管理

認証情報マネージャー

認証情報管理機能は、ランタイムリソースが対象アプリケーションにアクセスするために必要なログイン詳細のセキュアなリポジトリを提供します。認証情報はBlue Prismデータベースに保存され、クライアントが定義する暗号化方式を使用して暗号化されます。暗号化キーはBlue Prismアプリケーションサーバーマシンに別々に保存され、検証済みのクライアントに認証情報を提供するために使用されます。

CYBE RARKへの接続

Blue Prism Cyber Ark Integrationでは、既存の機能を使用して、Blue Prism環境内でのコンテキストの制御を保持しながら、Cyber Ark認証情報ストアから資格情報を取得できます。統合は、Blue Prism Digital Exchange（DX）：https://digitalexchange.blueprism.com/dx/search?keyword=cyberarkから入手できます。他の統合もDXから利用可能です。

ネットワークコネクティビティ進化するネットワークインフラストラクチャとの互換性を保証するために、Blue Prismは、すべての接続にIPv4またはIPv6ネットワークプロトコルを使用する環境にも、両方のプロトコルを組み合わせて使用するハイブリッド手法を用いた環境にも導入できます。これにより、Blue Prismのすべてのコンポーネント（ランタイム、クライアント、アプリケーションサーバー）が、推奨される方法または最適な方法を使用して接続できるようになります。

Blue Prismプラットフォームには、データベースへの接続やランタイムリソースへの接続など、複数の通信チャネルがあります。すべてがネイティブに暗号化されている場合も、証明書を介して暗号化が適用されている場合もあります。コンポーネント間の通信の詳細については、Blue Prismにお問い合わせの上、リファレンスアーキテクチャガイドを入手してください。

blueprism.com 12



https://digitalexchange.blueprism.com/dx/search?keyword=cyberark

ロギングと監視

ロギングと監査

セッションロギングBlue Prismプロセスには、プロセス実行の一部としてランタイムリソースが従ういくつかのステップが含まれています。これらのステージは、計算、決定、ユーザーインタフェース要素からのデータの読み取り、サブプロセスやアクションの実行など、さまざまなアクションを表すことができます。Blue Prismでは、ビジネスプロセスの実行の一部としてすべての適切なステージを記録し、次にランタイムリソースを記録するために、セッションが使用されます。各ステージのロギングの量は、プロセス設計の一環として構成されます。

ワークキューワークキューは、プロセスのストレージおよびワークフロー機能で使用されます。各ワークアイテムは、個々のレコード（データ、ステータス、履歴）を表します。ワークアイテムには、保留、延期、ロック、完了、中止など、いくつかのステータスがあります。ワークアイテムがプロセスによって中止されると、そのワークアイテムは自動的に再試行される場合があります。各キューには一定数の自動再試行を設定できます。

監査ログBlue Prismの監査証跡は一元管理され、改ざん防止機能を備えているため、誰も変更や改ざんを行うことはできません。そのため、法令違反や監査の際には、監査証跡が反論不可能な否認防止の役割を果たします。

監査ログは、次のアクションを記録するために使用されます。

• ログイン/ログアウト

• 環境全体の設定に対する変更

• ビジネスオブジェクト、プロセス、キューの作成、更新、削除

blueprism.com 13



プロセスおよびオブジェクトへの変更を記録すると、すべての変更の詳細がキャプチャされるため、比較やロールバックが可能になります。

スケジュールログ各スケジュールにログが作成され、そのスケジュール内のすべてのタスクとセッションの時間と結果が記録されます。

監視とアラート

プラットフォームの監視Blue Prismインフラストラクチャはいくつかの異なるコンポーネントで構成されており、各コンポーネントを監視およびポーリングして、可用性と応答性を検証できます。Blue Prismコンポーネントを監視する際には、標準のサードパーティツールと手法を使用して、以下を評価できます。

• 割り当てられたハードウェアの健全性（ディスクスペース、CPU使用率、ネットワークコネクティビティなど）

• 特定のWindowsサービスの可用性（サービスの開始、適切なポートでの応答など）

• Windowsイベントビューアーのエントリ

アラートアラートタイプは複数あり、関係者に、例外からプロセスの完了に至るまで、あらゆる関連情報を通知するように構成できます。以下のアラートタイプがあります。

• プロセスアラート：これらのアラートは、特定のアクションがBlue Prism環境内の選択されたプロセスで発生したときに、特定のユーザーにそれを通知するものであり、ユーザーごとに構成されます。ユーザーは、監視するプロセス、通知するアクション、および通知方法を選択できます。

• スケジュールアラート：これらのアラートは、特定のアクションがBlue Prism環境内の選択されたスケジュールで発生したときに、特定のユーザーにそれを通知するものであり、ユーザーごとに構成されます。ユーザーは、監視するスケジュールと通知方法を選択できます。また、通知がスケジュールのレベルで必要か、それともより詳細なスケジュール-タスクレベルで必要かを選択できます。

• カスタムアラート：追加のアラートや特定のアラートが必要な場合は、どのプロセスについてもカスタムアラート通知を設計することができます。

APIWeb APIは、公開されているHTTP APIを提供するシステムおよびサービスとのネイティブなやり取りを構成するためのインタフェースを提供する機能です。最も一般的なのはRESTful Webサービスです。Web APIサービス機能により、Blue Prismプロセスはこれらのサービスとやり取りし、自動化されたビジネスプロセス内で、これらの外部システムが提供するデータを提供したり、データやサービスを使用したりできます。Web API機能がネイティブで提供する機能により、最も一般的なサービスをBlue Prismで自動化できます。これらの機能は、コードステージを使用して拡張し、特殊または複雑なデータ構造と認証メカニズムで使用できます。

blueprism.com 14



制御

ROBOTIC OPERATING MODEL（ROM）

Blue Prism Robotic Operating Model（ROM）は、ユーザーがRPAの展開を効果的に管理し、適切にスケーリングできるように設計されたフレームワークです。ROMには、論理アクセスモデルやプロセスガバナンスなど、制御に関するアドバイスとガイダンスが含まれています。詳細については、https://blueprism.com/japan/rom/ をご覧ください。

論理アクセスモデル

Blue Prismでは、各組織が当初から自社専用の Logical Access Model（LAM）を作成して実装することを推奨しています。これは、あらゆるBlue Prism導入の一部として含める必要があります。製品で定義されているデフォルトのユーザーの役割は、組織専用のLAMで定義されているユーザーの役割に置き換える必要があります。このアクションは、各Blue Prism環境（開発、UAT、および本番）で実行する必要があります。

ランタイムリソースとシステム管理者のユーザーの役割は変更できないことに注意してください。LAM を作成または更新するプロセスには、RPAの責任者、RPAガバナンス委員会、ITチームを含むすべての関係者が参加する必要があります。任務の分離も組織内で考慮する必要があります。LAMテンプレートとガイドは、ROMの一部として提供されます。

変更の管理

デジタルワークフォースを導入して保守するにあたり、組織は既存の変更管理プロセスに従うことが推奨されます。ROMは、プロセスの定義、設計、構築、レビュー、テスト、およびリリースの概要を示して、実用化までのベストプラクティスに関するガイダンスを提供します。

その他の考慮事項

侵入テスト

Blue Prismは「ベストプラクティス」環境で、サードパーティによる侵入テストを実施します。これらのテストは本質的に主観的であり、各クライアント環境はそれぞれ異なるため、報告される結果はガイドラインとしてのみ使用する必要があります。テストの手法と結果に関する詳細情報は、最新のBlue Prism Veracodeアプリケーションセキュリティレポートに記載されています。

blueprism.com 15



https://blueprism.com/japan/rom/

wp_secure_robotic_rpa_191205

Blue PrismについてBlue Prism 社は、あらゆる組織にデジタルワークフォースを提供する事をビジョンとし、デジタルワークフォースと人間のコラボレーションを最大化することを目的としています。これにより、すべての組織が比類のないスピードと俊敏性でビジネスゴールを達成し、意義のある成長を実現することが可能となります。170か国以上で利用されているBlue Prismは、エンタープライズ向けのconnected-RPA（コネクテッドRPA）プラットフォームとして、フォーチュン500に名を連ねる企業や公共機関に採用されています。インテリジェントな自動化を戦略的に適用することにより、これらの組織は新しい機会やサービスを創造し、何百万もの時間をビジネスに還元することで膨大な効率を引き出しています。オンプレミス、クラウド、ハイブリッド、または統合SaaSソリューションとして利用可能なBlue Prismのデジタルワークフォースは、大規模かつ組織全体が協業した真のデジタル変革を推進し、より複雑化しているビジネスプロセスをエンドツーエンドで自動化します。詳細は、www.blueprism.com/japanをご覧ください。

結論Blue Prismでは常に、セキュリティがconnected-RPAテクノロジーの重要なコンポーネントであると考えています。これは、Blue Prismが初のVeracode検証レベル5 RPAベンダーとなったことでも明らかです。Blue Prismの一元化されたデータセンターホストアプローチは、非常に包括的でセキュアなエンタープライズレベルのセキュリティを提供するため、IT部門が管理し業務部門が運営するプラットフォームの高い信頼性とセキュリティが保証されます。暗号化によりデータが確実に保護され、さらに追加の暗号化オプションを簡単に導入できます。柔軟で堅牢な認証と認可の機能により、組織は自社の標準運用手順に沿ったデジタルワーカーを導入できます。広範なロギングおよびアラートのオプションにより、デジタルワーカーとBlue Prismユーザーの両方を完全に見える化し、監査証跡を確保できます。

これらの優れた機能はすべて、アクセスモデルとデリバリー手法を含む、業界最先端のROMの強力なガバナンスと制御によって支えられています。つまり、connected-RPAは、人間とデジタルワーカーが真のデジタルトランスフォーメーションを安全に実現できるよう、最もセキュアなコラボレーションプラットフォームを提供するのです。

© 2020 Blue Prism Limited.「Blue Prism」、「Thoughtonomy」、「Blue Prism」ロゴ、およびPrismデバイスは、Blue Prism Limitedおよびその関連会社の商標または登録商標です。 All Rights Reserved.



http://www.blueprism.com/japan

blue prismはどのようにしてセキュアな ロボティッ …...blue...

Documents

blue prismはどのようにしてセキュアなロボティッ …...blue...