BizRobo! のセキュリティに関する考え方

フォローする

ロボットは事前に決められたWebサイトに対して、人がブラウズするのと同様に内蔵のブラウザー機能を通してWebアクセスし、情報の取得や入力等を行います。
ゆえにセキュリティリスクに対する考え方も ブラウザからのインターネットアクセスに対する ものと同様に考えていただければと思います。

その場合に、想定される脅威としては、

  • マルウェアへの感染
  • ソーシャルエンジニアリング

の大きく2つかと思いますが、以下それぞれの理由によりBizRobo!の利用によるセキュリティリスクはかなり低いものと考えられます。

マルウェアへの感染

通常人が行うWebブラウジングとは異なり、ロボットは業務で利用する一般的なサイトにしかアクセスは行わず、そもそも感染する確率は低い。(怪しいサイトへはアクセスしない。)
業務で利用する一般的なサイトがウイルスやボットに感染している場合であっても、ActiveXやJavaApplet、FlashなどのバイナリデータをBizRobo!内で実行させない仕様により、BizRobo!内部で無効化される。(実行できないため、何もおきません)
クロスサイトスクリプティングに対しても、BizRobo!を構成するJavaのSandbox テクノロジにより無害化されます。

ソーシャルエンジニアリング

QTP等の画面を直接操作するテストツールとは異なり、処理の実行はバックグラウンド処理として実行されるため、ロボット実行時の画面の覗き見はできない仕組みになっている。
システムへのログイン用アカウントについてはユーザ毎にアクセス権限が設定できる(Management ConsoleをTomcat等の外部コンテナで構築する必要あり)のと共に、ロボットファイル内に固定で指定した場合であってもpassword型で定義された情報は暗号化されてファイル保存されるため、第三者が情報を覗き見ることはできない。

それでも十分ではない場合

BizRobo!自体がJavaのVM上で動作する仕組みであるため、JVM自体にセキュリティホールが存在し、かつそのセキュリティホールをつくようなマルウェアが存在する場合には、理論上マルウェア感染を起こすことはあり得ますが、可能性としては低いと考えております。
また、仮にBizRobo!がマルウェア感染をした場合でも、既存のロボットの処理内容が変更されてしまうようなことは考えられず、ロボットが暴走する様な事はありません。
(ロボットの動きを変更させるためには、専用のツールを使用して独自のフォーマットに沿ったXMLの定義ファイルを文法通りに更新する必要があるため)

また、ロボットを実行するRoboServerにおいて、デフォルトではRoboServerからサーバローカルリソースへの書き込み、およびOSコマンドの実行を禁止する設定となっており、その点においてもセキュリティが担保されていると考えております。

更に念を入れる場合

お客様の判断において、サーバ側にアンチウイルスソフトをインストールされることをお勧めします。

0人中0人がこの記事が役に立ったと言っています

コメント

0件のコメント

ログインしてコメントを残してください。