安全なアクセスと接続を実現する Automation 360 クラウド
- 最終更新日2023/03/21
安全なアクセスと接続を実現する Automation 360 クラウド
Automation 360 クラウド アクセス セキュリティを利用して、Bot を安全に開発および運用することができます。
クラウド デプロイの概略レベルのアーキテクチャ
次の情報は、Automation 360 クラウド デプロイの概略レベルのワークフローを提供します。
- ブラウザを使用して、Control Room にログインし、ユーザーとロールを作成します。このプロセスは、Automation 360 クラウドで実行します。
- Bot エージェントを Windows デバイスにインストールし、Bot をローカルで実行します。このプロセスは、お使いのインフラストラクチャで実行します。
- Automation 360 クラウドとお使いのインフラストラクチャ上にある Windows デバイス上の Bot エージェント間のデータ フローは、TLS 1.2 (アウトバウンド ポート 443 のみ) を使用して暗号化されています。
次の画像は、Automation 360 クラウドのアーキテクチャを示しています。
ユーザー システムの ID とアクセス管理 (IAM) セキュリティ
- 管理者ユーザーが初めて Automation 360 Control Room にログインするとき、管理者は SAML 2.0 を構成して、Automation 360 クラウド Control Room を独自の ID プロバイダー (IdP) に接続し、そのユーザーが MFA (多要素認証) を使用して Control Room にログインできるようにすることできます。
- これにより、管理者は Bot の開発や実行など、特定のアクティビティを行うために必要なユーザーとロールまたは権限を Control Room で作成することができます。
- Automation 360 Control Room のユーザーは MFA を通じてログインし、Bot の作成と実行を開始することができます。
- さらに、管理者は許可する IP アドレス範囲を構成し、Control Room の管理者設定を通じてユーザーのログインを管理できます。
Automation 360 クラウドの詳細については、「Automation 360 クラウド の使用を開始」を参照してください。
Bot を実行するための安全な接続
ユーザーは、Bot エージェントがデプロイされている、ローカルの Windows マシン上で Bot を実行します。ユーザーは、Bot エージェントをデバイスにダウンロードしてインストールするか、仮想マシンのプールにデプロイすることができます。
Bot エージェントをインストールする前に、次の条件が満されている必要があります。
- Bot エージェントがインストールされるデバイスの完全性が損なわれていないこと。
- ユーザー組織は、Bot エージェントの乗っ取りやシステムレベルのユーザー侵害を防止するセキュリティ保護と管理を導入していること。
- ユーザー環境に、ドメイン ネーム システム (DNS) キャッシュ ポイズニングやアドレス解決プロトコル (ARP) スプーフィングなど、ネットワーク ベースの攻撃を受けるおそれがないこと。
注: Automation 360 クラウドには、中間者 (MITM) 攻撃や悪意のある窃取を確認するためのセキュリティ運用管理も含まれています。
- Bot エージェント のインストールと登録
- デバイスを登録するときは、Bot エージェント デバイスに JSON Web トークン (JWT) が提供され、Control Room への登録プロセスが開始されます。Bot エージェントデバイスから提供されたトークンと Control Room から提供されたトークンが一致しない場合、登録処理は失敗します。これにより、クライアント Bot エージェント デバイスが Control Room に認証されます。
- Bot エージェントと Control Room の間の通信
- Bot エージェント デバイスは HTTPS (アウトバウンド ポート 443) を使用して Control Room への WebSocket 接続を確立します。インバウンド接続は必要ありません。
- Bot の実行をスケジュール
- Control Room ユーザーは Bot の実行をスケジュール設定できます。コンパイルされた Bot はダウンロードされて Bot エージェント デバイスで実行され、操作ログは Bot エージェント デバイスから Control Room に送信されます。
- Bot の安全な資格情報
- Bot エージェント デバイス上で実行される Bot は、資格情報を使用してデバイスにログインする必要があります。資格情報は Automation 360 クラウド Control Room 資格情報 Vault に安全に保管できます。また、資格情報はお客様がホストするキー管理システム (CyberArk など) に保管することもできます。お客様がホストするキー管理システムに資格情報を保存する場合は、Control Room とお客様のキー管理システムの間の接続が必要です。接続を提供し、アクセスを許可するには、ファイアウォールで Control Room をホストしている特定の Automation 360 クラウド リージョンの Automation 360 クラウド IP アドレスを構成する必要があります。詳細については、「外部統合の Automation 360 IP アドレス」を参照してください。
Automation 360 クラウドでの安全な操作
Automation 360 クラウドは安全に運用されており、次のコンプライアンス基準を満たしています: SOC 1、SOC 2、ISO 27001、および HITRUST。
-
Automation 360 クラウドのデプロイ モデルおよび運用モデルについては、「Automation 360 クラウドのセキュリティとデータ プライバシー」を参照してください。
-
Automation 360 クラウド コンプライアンス レポートについては、「コンプライアンス ポータル」を参照してください。