Q&A
質問自体は個人的にはアリだと思いますが、最終的な判断を下すのは裁判所で、残念ながら日本の裁判所は我々プログラマーとはだいぶ異なる判断基準を持ってるようです。詳しくは Librahack 事件などをお調べください。
注:お断り
プログラミングやコーディングには何の関係もない質問かもしれません……。
ただ、RPAを試してみる上で、少し気になったので質問させていただきました。
もしteratailの利用目的に反しているようであれば削除させていただきます。
低評価・コメントにてお知らせいただきたく、よろしくお願いいたします。
内容
RPAやVBAマクロやpythonのseleniumを用いたブラウザ操作によって、外部のサービスやシステムにログインすることは、不正アクセスととらえられてしまうことはあり得るのでしょうか?
具体的には、以下のような動作を想定しています。
- ブラウザ上で動作するアプリケーションで、1件1件情報を手作業で登録していく代わりに、Excel等で作成した複数件の情報を一括でロボットに入力させる
考えたこと
さすがに、1つのユーザ情報を使って複数のロボットが同時にアクセスし、全く異なる仕事を同時に行うのは、さすがに不正だと判断できそうな気もするのですが、1人の人間の作業の代わりに、1人分のロボットが1つのアカウントを使って人の代わりに作業する、というのが、「不正」に該当するかどうか、どう判断していいものかわかりません…。
恥ずかしながら、考えすぎなのか考えてなさすぎなのかすらも自身では判断できず、皆様の力をお借りしたく、質問させていただきました。
実際には、使用者と提供者の協定次第としか言いようがないとは思いますが、一般的にどのように捉えられるのか、どのように考えればよいのか、RPAに詳しい方々がいらっしゃるコミュニティなら知恵が集まるかとおもい、この場をお借りしました。
冒頭にも述べた通り、場違いでしたらすみません……、即刻削除いたしますのでご連絡いただきたくお願いします。
規約の例
3)お客様は、本サービスを第1項記載の目的のためにのみ利用するものとし、次の各号に定める事項を行わ
ないものとします。
(…中略…)
⑤本サービスに関連するシステム若しくはネットワークに対する不正なアクセスを試みること。
不正アクセス
不正アクセスとは?|どんな危険があるの?|基礎知識|国民の ...
不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。
不正アクセスとは、2012年5月1日に改正 施行された、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)(*1)に定義された不正アクセス行為および不正アクセスを助長する行為のことを言います。具体的には、以下に示す行為のことです。
- コンピュータのOSやアプリケーションあるいはハードウェアに存在するぜい弱性(セキュリティホール)(*2)を利用して、コンピュータのアクセス制御(*3)機能を迂回し、コンピュータ内に侵入する行為(侵入行為)
- 他の人に与えられた、利用者IDおよびパスワード(*4)を、その持ち主の許可を得ずに利用して、持ち主に提供されるべきサービスを受ける行為(『なりすまし』行為)
- 持ち主の許可を得ずに、その持ち主の利用者IDおよびパスワードを第三者に提供する行為
不正アクセスとは | セキュリティ対策 | CyberSecurityTIMES
不正アクセスとは、アクセスの権限を持っていない人物が、第三者の情報やサーバーなどに勝手にアクセスすることをいいます。一般的にはなりすまし行為や不正侵入などの行為が不正アクセスとして扱われます。
不正アクセスとは、あるコンピューターに対して、正規のアクセス権を持っていない者が、不正な手段によってアクセス権を取得し、ネットワークを通じてそのコンピュータを利用することである。あるいは、そのような利用を試みること。
不正アクセスの主な手段としては、IDやパスワードを盗用することによる「なりすまし」、あるいはソフトウェアの保安上の脆弱性(セキュリティホール)を悪用した侵入などが挙げられる。その内容としては、ファイルの盗み見・削除・改ざん、IDやクレジットカード番号などの重要なデータの窃取、コンピューターの正常な動作の妨害、あるいはメールサーバーを悪用した迷惑メールの配信などが挙げられる。
以上、よろしくお願いいたします。
[岡崎市立中央図書館事件 - Wikipedia](https://ja.wikipedia.org/wiki/%E5%B2%A1%E5%B4%8E%E5%B8%82%E7%AB%8B%E4%B8%AD%E5%A4%AE%E5%9B%B3%E6%9B%B8%E9%A4%A8%E4%BA%8B%E4%BB%B6)
[Librahack : 容疑者から見た岡崎図書館事件](http://librahack.jp/)
ご意見ありがとうございます。知らない事件でしたので、参考までにURLを貼らせていただきました。
"一般的"って何?とか、"不正"って何?というキーワードについて考えさせられますね…。
回答5件
0
ベストアンサー
観点
観点としては
- 技術的に検知出来るかどうか
- 検知できたとして、不正アクセスと判断されるかどうか
の2段階の論点があるかと思います。
技術的に検知出来るかどうか
検知出来るかどうかという観点で言うと、reCAPTCHA等のBOT防止ツールを使えば割と簡単に検知出来ると思われます。
検知できたとして、不正アクセスと判断されるかどうか
RPAやVBAマクロやpythonのseleniumを用いたブラウザ操作によって、外部のサービスやシステムにログインすることは、不正アクセスととらえられてしまうことはあり得るのでしょうか?
サービス提供側の匙加減一つなのでサービス提供事業者に聞くしか無いです。
例えば、以下の様なサービスであれば利用規約で人間がブラウザを操作すること以外のアクセスを禁じている場合があります。
- ログインによってインセンティブが得られるようなサービス(ゲーム等)
- 人間が操作する事を前提としたサービス(ゲームやオークション等)
- 人間が操作することが収益の根幹になっているようなサービス(広告収益モデルのサービスとか)
- APIや専用ツールを公式が販売しているようなサービス
検知出来るかどうかは別として、これらのケースでは不正アクセス扱いされてアカウントが凍結されるというのは昔からよくある話の一つです。
一方で、ASPやSaaSで業務で利用するサービスそのものを売っているようなケースであれば、サポート対象外にはなるが積極的に検知したり不正アクセスとして対応するようなケースは少ないと思われます。
投稿2020/04/02 08:22
総合スコア18716
2つの観点からのご回答、ありがとうございます。
実際、前者の「バレるかどうか?」について、実はいま検討しているサービスは
、「salesforceというクラウド基板上に構築されたSaaSの業務アプリケーション」なのですが、そうなるとbotの検出でreCAPTCHAはないだろうし、正直相手側もそこまでやるか?というのは疑問です。
後者の「怒られるか?」について、おっしゃるとおり相手の匙加減だと自分も理解しています。また、その匙加減も、相手との信頼関係も一部の要素として関係するような気も正直します。
フランクにいえば、その行為が「ズルいかどうか?」という表現になるかと思うのですが、やはり「使用目的による」としか言えなさそうですね。
明らかに「ズルい方法(=1アカウントを使いまわすとか)」はさておき、手作業による自動入力を置き換えるとか、業務効率化に繋がるようなテクニックについては、むしろ相手に新しい使い方を提案するぐらいの気持ちでとらえようと思います。
((下手に「これはいい?あれはいい?」と聞くと、あれもだめこれもだめ、と言われそうなので、この辺りは人間力が試されますねぇ…
ご丁寧な解説ありがとうございました。
salesforceであれば営業窓口もあることですし、相談すれば悪いようにはならないかと思いますね。
サポートはしないが積極的に禁ずることもしないです
くらいの返事が来そうな気がします。
0
一般論としては規約に左右されますが、自動化プロジェクトを始める前に関係者に承諾を取ることをおすすめします。
問題点は、スクレイピングをサービスで利用する場合と似通ったものになるので、以下を参考にしてみてください。
参考:
スクレイピング!その前に
規約の解釈で揉めるのは無駄なので、連絡を入れておくことで回避してしまうのが後々楽です。
また、自動アクセスを排除する方針のサイトで自動化をすすめると、ゴミデータを渡される可能性もあります。
著作権トラップの進化版みたいなものですね^^;
地図だと以下の話は有名ですが、データでも存在します。
RPAやVBAマクロやpythonのseleniumを用いたブラウザ操作
現時点では、かなり慎重に組み立てないと、検出できます。誤検出が怖いのでアクセス拒否まで実施するサイトはまれですが、怪しいアクセスをログとして洗い出すのは技術的に難しくありません。
投稿2020/04/02 08:48
退会済みユーザー
総合スコア0
ご回答ありがとうございます。
不正アクセスに関する記事をいくつか読ませていただきました。アクセスされる側の行動や自衛の方法があるのかと勉強させていただきました。他の回答者様の意見でもありましたが、「バレたところで怒られるかどうか?」がキーポイントなのかなと感じました。
確かに規約の解釈でもめるのは時間の無駄だと思いますし、あとから蒸し返されてどーのこーの指摘されるのもリスキーですので、相手様の出方を見つつ相談すべき点は相談しようと思います。
0
定型業務をRPA化すること自体は昨今増えています。
- 相手先システムなりお客様の各種ポリシーに違反しないか
- 短時間大量アクセス等で相手先システムを輻輳させないような配慮
- RPA実装マシン自身のセキュリティ
こうしたことに配慮する必要があります。
特に相手先の合意は必要だと思います。
投稿2020/04/02 05:20
総合スコア1095
> - 短時間大量アクセス等で相手先システムを輻輳させないような配慮
この件について、利用規約に以下のような記述がありました。
`④方法の如何を問わず、<提供側会社名> による本サービスの提供を妨害すること`
どんな操作をすればどんな妨害になり得るのかは、見えない箱の中身を手探りで言い当てるみたいな話で、ナンセンスな感じがしますが、「思いやりって大事だよね!」という程度の気持ちで考えようと思います。
また、RPAの導入に対するセキュリティ的な観点について調べるいい機会になりました。ご回答ありがとうございました。
0
不正アクセスか否かという観点に絞って考えると、一般的には、不正アクセス禁止法に抵触するかどうかという定義が一番明確かと思います。
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
不正アクセス行為の禁止等に関する法律 より引用
識別符号という言葉は難しいですがID・パスワードのことです。上記太字で示したように、ユーザー本人の承諾がある場合は不正アクセス禁止法でいう不正アクセス行為からは除外されています。
ただ、不正アクセス禁止法以外の法律に抵触しないかという点も考慮する必要はあります。岡崎市立中央図書館事件(いわゆるLibrahack事件)では、偽計業務妨害の疑いで逮捕に至ったわけですが、この逮捕は不当なものであったという批判が各方面からあがりました(参考)。
現実的なところでは、利用規約に違反していないか、当該サーバー・サービスに過負荷やその他の迷惑が及ばないかは、狭義の不正アクセスとは別の観点で注意すべきであることは、他の回答者の指摘のとおりです。
投稿2020/04/02 09:40
総合スコア11705
回答ありがとうございます。
「不正アクセス」という言葉の解釈に対する一般的・フラットな情報、として捉えました。
おっしゃるとおりこの法律の解釈としては「ユーザの承諾がある場合は"不正アクセス行為"ではない」ととらえられるものの、そもそも不正アクセスだろうとなかろうと「相手を困らせる行為」であるかどうか、が議論のポイントのように思いました。
(librahack事件に関する記事に関しては、その行為が"故意"かそうでないかもキーだったのかなと個人的には感じましたが…)
0
RPAやVBAマクロやpythonのseleniumを用いたブラウザ操作によって、外部のサービスやシステムにログインすることは、不正アクセスととらえられてしまうことはあり得るのでしょうか?
具体的には、以下のような動作を想定しています。
ブラウザ上で動作するアプリケーションで、1件1件情報を手作業で登録していく代わりに、Excel等で作成した複数件の情報を一括でロボットに入力させる
私は会社で自動化の業務を主に担当しています。
結論から言うとあり得ないです。不正アクセスだと言うなら、止めればいいだけです。
しかしそれでは本来の人の手での業務に戻ってしまいます。それば非常に勿体ない。
もし怒られたら、一度自動化を止めきちんと、いつ、誰が(ここではPC名やアカウントの事)、どこで、どんなデータにアクセスするのかを管理者にお伝え下さい。
投稿2020/04/02 08:00
総合スコア3307
「あり得ない」とのご意見について、私の個人的な見解としても「ですよねぇ??」と言いたいのですが、今回利用しようとしているサービスも、B2Bのお付き合いなので、少し慎重に&フラットな意見として調査したい…という想いを込めて質問させていただきました。
ご回答ありがとうございます。
あなたの回答
tips
プレビュー
