安全なアクセスと接続を実現する Automation 360 クラウド

Bots Automation 360 アクセス セキュリティを利用して、クラウド を安全に開発および運用することができます。

クラウド デプロイの概略レベルのアーキテクチャ

次のアーキテクチャ図は、Automation 360 クラウド デプロイの概略レベルのワークフローを提供します:cloud-architecture

  1. ブラウザを使用して、Control Room にログインし、ユーザーとロールを作成します。 このプロセスは、Automation 360 クラウドで実行します。
  2. Bot エージェントを Windows デバイスにインストールし、Bots をローカルで実行します。 このプロセスは、お使いのインフラストラクチャで実行します。
  3. Automation 360 クラウドとお使いのインフラストラクチャ上にある Windows デバイス上の Bot エージェント間のデータ フローは、TLS (アウトバウンド ポート 443 のみ) を使用して暗号化されています。

ユーザー システムの ID とアクセス管理 (IAM) セキュリティ

  • 管理者ユーザーが初めて Automation 360 Control Room にログインするとき、管理者は SAML 2.0 を構成して、Automation 360 クラウド Control Room を独自の ID プロバイダー (IdP) に接続し、そのユーザーが MFA (多要素認証) を使用して Control Room にログインできるようにすることできます。
  • これにより、管理者は Bots の開発や実行など、特定のアクティビティを行うために必要なユーザーとロールまたは権限を Control Room で作成することができます。
  • Automation 360 Control Roomのユーザーは MFA を通じてログインし、Bots の作成と実行を開始することができます。
  • さらに、管理者は許可する IP アドレス範囲を構成し、Control Room の管理者設定を通じてユーザーのログインを管理できます。

Automation 360 クラウドの詳細については、「Automation 360 クラウドの使用を開始」を参照してください。

Bots を実行するための安全な接続

ユーザーは、Botsがデプロイされている、ローカルの Windows マシン上で Bot エージェント を実行します。 ユーザーは、Bot エージェントをデバイスにダウンロードしてインストールするか、仮想マシンのプールにデプロイすることができます。

Bot エージェントをインストールする前に、次の条件が満されている必要があります。
  • Bot エージェントがインストールされるデバイスの完全性が損なわれていないこと。
  • ユーザー組織は、Bot エージェントの乗っ取りやシステムレベルのユーザー侵害を防止するセキュリティ保護と管理を導入していること。
  • ユーザー環境に、ドメイン ネーム システム (DNS) キャッシュ ポイズニングやアドレス解決プロトコル (ARP) スプーフィングなど、ネットワーク ベースの攻撃を受けるおそれがないこと。
注: Automation 360 クラウドには、中間者 (MITM) 攻撃や悪意のある窃取を確認するためのセキュリティ運用管理も含まれています。
Bot エージェント のインストールと登録
デバイスを登録するときは、Bot エージェント デバイスに JSON Web トークン (JWT) が提供され、Control Room への登録プロセスが開始されます。 Bot エージェントデバイスから提供されたトークンと Control Room から提供されたトークンが一致しない場合、登録処理は失敗します。 これにより、クライアント Bot エージェント デバイスが Control Room に認証されます。
Bot エージェントの一括インストールおよび登録モードでは、Bot エージェントデバイスは、Control Roomautoregistration.propertiesファイルで指定された URL に事前に登録されていればオンラインになります。 一括登録設定を使用する場合、そのデバイスの管理者権限がないと、偽の Control Room URL を入力することも指定することもできません。 Bot エージェントは、初めて起動されると、autoregistration.properties ファイルを読み込み、プロパティ ファイルで指定された Control Room URL にそれ自体を登録します。 デフォルトでは、Bot エージェント登録をある Control Room から別のものに切り替えるオプションは無効になっています。 このオプションは、Control Room 管理者のみが有効にすることができます。 このオプションが無効になっている場合、誰かが別の URL を登録しようとしても、登録が直ちに失敗し、「Control Room はすでに登録されており、Control Room URL を切り替えることはできない」というエラーが表示されます。
管理者にのみキャッシュ フォルダーへの書き込み権限を付与し、Bots を実行できる他のすべてのユーザーに読み取り権限を付与することで、Bot がデバイスのキャッシュにダウンロードされたときに、悪影響を及ぼす可能性がある操作を実行できないようにすることができます。
Bot エージェントControl Room の間の通信
Bot エージェント デバイスは HTTPS (アウトバウンド ポート 443) を使用して Control Room への WebSocket 接続を確立します。インバウンド接続は必要ありません。
  • サーバー認証: トランスポート レイヤー セキュリティ (TLS) ハンドシェイクにより、周知の認証局 (CA) から発行されたサーバー証明書のコモンネーム (CN) が、信頼できる証明書チェーンに含まれる正当なホスト名と一致することが保証されます。
  • クライアント認証: 登録後、Control Room への接続を確立するために、Bot エージェントから有効なJSON Webトークン(JWT)が要求されます。 このトークンはBot エージェントによって生成され、Bot エージェントの秘密鍵を使用して署名されており、Bot エージェントの身元を確認し、トークンが認証されていることを保証するために使用されます。 トークンは、登録プロセス中に Control Room に送信された Bot エージェント 公開鍵を使用して検証できます。 Bot エージェントデバイスがControl Roomに接続するたびに、同じプロセスが使用されて認証されます。 トークンが確認されると、新しいJSON Web Token (JWT) が Control Room によって生成され、既存のHTTP接続をWebSocket接続に変換するために Bot エージェント に送信されます。
お客様のネットワークとクラウド サービスの間のデータ接続は、少なくとも 2,048 ビットの RSA サーバー証明書、128 ビットの対称暗号化キー、およびより堅牢な TLS プロトコルを活用した強力な TLS 接続で保護されます。 この安全な接続により、確立された TLS 接続を侵害することは事実上不可能です。
WebSocket 接続が確立されると、お客様のネットワークとクラウド サービスの間の通信は、安全な双方向通信が可能になります。 Bot エージェント デバイスと Automation 360 クラウド ホスト Control Room の間の接続は永続的であり、接続が切れた場合は自動的に再確立されます。 この接続は、Bots をダウンロードして実行し、動作ステータス情報を Control Room に送信するために使用されます。
注: 接続は、Bot ごとではなく 1 回だけ確立されます。
Bots の実行をスケジュール
Control Room ユーザーは Bots の実行をスケジュール設定できます。 コンパイルされた Bots はダウンロードされて Bot エージェント デバイスで実行され、操作ログは Bot エージェント デバイスから Control Room に送信されます。
Bots の実行に備えて、Bot エージェントBot Runner デバイス上で認可された Bot エージェント ユーザーとして認証することにより、アクティブな Windows セッションを確立します。
Bots の安全な資格情報
Bot デバイス上で実行される Bot エージェント は、資格情報を使用してデバイスにログインする必要があります。 資格情報は Automation 360 クラウド Control Room 資格情報 Vault に安全に保管できます。 また、資格情報はお客様がホストするキー管理システム (CyberArk など) に保管することもできます。 お客様がホストするキー管理システムに資格情報を保存する場合は、Control Room とお客様のキー管理システムの間の接続が必要です。 接続を提供し、アクセスを許可するには、ファイアウォールで Automation 360 をホストしている特定の クラウド Automation 360 リージョンの クラウド Control Room IP アドレスを構成する必要があります。 詳細については、「外部統合の Control Room IP アドレス」を参照してください。

Automation 360 クラウドでの安全な操作

Automation 360 クラウドは安全であり、次のコンプライアンス基準を満たしています: SOC 1、SOC 2、ISO 27001:2022: 情報セキュリティ管理システム (ISMS)、ISO 27017:2015: クラウドサービスの情報セキュリティコントロール)、ISO 27018:2019: クラウド 環境および HITRUST で個人を特定できる情報 (PII) の保護。

  • Automation 360 クラウドのデプロイ モデルおよび運用モデルについては、「Automation 360 Cloud Security and Data Privacy」を参照してください。

  • Automation 360 クラウド コンプライアンス レポートについては、「Compliance Portal」を参照してください。