Orchestrator ユーザー ガイド

リモート サーバーの構成で、MCP Streamable HTTP トランスポート向けに外部 HTTP(S) エンドポイントへの接続を定義します。つまり、この外部サービスとの間で送受信するすべてのデータには、UiPath による直接制御が及ばないというセキュリティ上の影響があります。リモート サーバーで認証 (API キー、トークンなど) が要求される場合、これらのシークレットを HTTP ヘッダーや URL に直接埋め込みたくなるかもしれません。シークレットを設定に直接保存するのは危険です。UiPath MCP サービスでは、このような機密性の高いヘッダー値が UI 上ではマスクされ、データベースへの保存では暗号化されますが、扱いが不適切であると、そのようなデータがシステムを通過し、公になる可能性があります。また、エンドポイント URL、本文のペイロード、クエリ パラメーターなどのフィールドはデータベースで暗号化されません。このようなフィールドには機密データを決して入力しないようにします。外部エンドポイントに送信したデータは、そのエンドポイントが侵害されている場合や通信が安全ではない場合、傍受や悪用の危険にさらされます。つまり、リモート サーバーによってオートメーションが外部ネットワークに拡張されることから、それらのエンドポイントが信頼できることを確認し、転送でシークレットや機密情報が漏洩しないようにする必要があります。

コード化されたサーバーは、エージェントの一部としてパッケージ化して実行するカスタム コード (Python スクリプトやプログラムなど) を参照し、コマンド サーバーはサーバーレス ランタイムでシェル コマンドやスクリプトを実行します。どちらも、UiPath によってオーケストレーションされたエフェメラルなサーバーレス コンテナーの中で、ユーザーが指定したロジックを実行します。セキュリティの観点から見ると、UiPath クラウド環境で特定の権限によってコードが実行されます。注目すべきことは、それが組織のコンテキストで実行され、UiPath サービスにコールバックするために、組織やユーザーを対象範囲とした認証トークン (ベアラー トークン) が保持されることです。その主意は、そのトークンと、場合によっては他の環境変数によって、実行するコードが生来的に信頼されているということにあります。悪意のあるコードや未検証のコードを実行すると、トークンなどの機密情報が盗まれ、不正な操作が実行されるおそれがあります。コード化されたサーバーやコマンド サーバーでは、信頼できないコードの使用を厳格に禁止する必要があります。データの漏洩や付与されている特権の悪用につながる可能性があるからです。悪意のないコードであっても、攻撃者がアクセスするために悪用できる脆弱性が潜んでいる可能性があります。また、これらのコンテナーは、構成や資格情報のような特定の環境変数にアクセスできることがあり、機密性の高い領域と見なす必要があります。このような変数は、悪意のあるコードによってメモリに読み取ることができます。

要約すると、カスタム コードまたはコマンドを実行するということは、そのコードの動作のリスクを負うことを意味します。信頼性が高く、レビュー済みのコードのみをデプロイし、コーディングの安全なプラクティスに従う必要があります。

MCP を使用すると、これらの特定のコンポーネント以外の範囲でも責任共有モデルが導入されます。このモデルでは、UiPath がプラットフォームのセキュリティ (分離された実行コンテナー、保存中のデータの暗号化、ネットワーク保護、クラウド プラットフォームにおけるコンプライアンス認定) を提供しますが、接続する外部システムと実行するコンテンツのセキュリティはお客様の側の責任で確保する必要があります。以下のセクションでは、このお客様の側の責任を果たす上でのベスト プラクティスの概要を説明します。

機密性の高いシークレット (API キー、トークン、資格情報) をリモート サーバー構成に直接保存しないことを強くお勧めします。このプラットフォームでは保存中のシークレット ヘッダー値は暗号化され、UI 上ではマスクされますが、このアプローチは理想的ではありません。構成内のシークレットはログに表示されたり、誤って公開されたりする可能性があり、指定されたシークレット ヘッダー以外のフィールドは暗号化されません。機密データは、URL、クエリ パラメーター、要求本文などのフィールドにプレーン テキストで配置しないでください。

推奨されるアプローチ

「Secret」タイプの Orchestrator アセットを使用して機密キーを管理し、リモート サーバーのヘッダーまたはパラメーターで参照します。

たとえば、MY_API_KEY という名前のアセットに API キーを格納します (Orchestrator では、アセットが既定で保存時に暗号化されます)。リモート サーバーのヘッダー構成では、キー値を入力する代わりに、プレースホルダー参照を使用します (例: Authorization: Bearer %Assets/MY_API_KEY%)。エージェントを実行すると、このプレースホルダーが実行時に実際のシークレットに置き換えられます。

これにより、シークレットがリモート サーバーの設定にプレーン テキストで保存されることはなく、アセット コンテナーに安全に保持されます。UI には、マスクされたプレースホルダーのみが表示されます。この方法は、シークレットを誤って公開してしまうことを防ぎ、資格情報をハードコーディングしないという原則にも一致します。

結論: エージェントのコードと構成にシークレットを記載しないようにします。シークレットは、Secure Store で一元管理します。API キーを定期的にローテーションし、コードや HTTP 要求にシークレットを直接埋め込まないようにします。

リモート サーバーの構成では、信頼できる外部エンドポイントにのみそのサーバーを接続します。各リモート サーバーは、セキュリティ、プライバシー、コンプライアンスを組織が審査済みのドメインやサービスを指している必要があります。サードパーティの新しい API やサービスをベンダーとして扱い、それが自社のセキュリティ基準に適合していることを確認します (たとえば、適切な認証を取得していること、暗号化を適用していること、データを適切に処理していることを確認します)。

重要なポイント: 外部呼び出しを IT 環境の拡張機能として扱います。外部サービスのセキュリティを検証し (SSL/TLS が有効化されていること、証明書が自己署名や期限切れではないことなど)、信頼できる外部サービスにのみデータを送信します。侵害されたエンドポイントや不正なエンドポイントには、データが盗まれるリスクや有害な応答が挿入されるリスクがあるため、外部サーバーに対するデュー デリジェンスが重要です。

コード化されたサーバーとコマンド サーバーの場合、セキュリティは実行するコードに大きく依存します。信頼されていないコードやサードパーティのコードを、徹底的なレビューなしに実行しないでください。エージェント コンテナーは、UiPath API (および場合によってはその他の連携) を呼び出すことができるアクセス トークンを使用してコードを実行します。悪意のあるコードは、このベアラー トークンやその他の環境シークレットをキャプチャして漏洩したり、プラットフォーム API を介して破壊的なアクションを実行したりする可能性があります。また、コンテナー ランタイムの悪用を試みる可能性もありますが、UiPath のサーバーレス コンテナーは分離されており、既定では管理者特権では実行されません。

まとめると、エージェントのコード実行環境は、機密性の高いアクセスを保持する運用サーバーと同じように扱い、信頼できるコードのみを実行し、コーディングの安全なプラクティスに従い、セキュリティ テストを実行します。UiPath のプラットフォームでは、セキュリティで保護されたサンドボックスを提供し、アカウントのコンテキスト下でコードが実行されるようにしますが、コードのロジックをきめ細かいレベルで検査したりサンドボックス化したりすることはありません。その責任はお客様が負うものとします。

やむを得ない場合を除き、機密データを外部ツールに送信しないようにします。UiPath Platform から外部の API やサービスに送信するデータは、漏洩するリスクにさらされると見なす必要があります。可能であれば、個人データや規制対象情報を、リモート サーバーに送信する前にマスク処理または墨消し処理します。たとえば、外部の AI API を使用してエージェントで顧客データを要約する場合は、プロンプトの中で識別子を削除するか匿名化することを検討します。このようにデータを最小化すれば、プライバシー規制 (GDPR、HIPAA など) に準拠していない可能性があるシステムには保護されたデータが公開されなくなるので、このような規制に確実に準拠できます。

機密情報の送信を必要とする場合は、送信先の外部プロバイダーがデータ保護を契約で保証していることを確認します (データを保存しないことや他の目的では使用しないことなど)。外部サービスでのデータ保管場所を確認します。この確認を怠ると、無関係な地域のエンドポイントへのデータ送信が自社のポリシーに違反する行為となる可能性があります。組織のコンプライアンス要件に適合するように外部エンドポイントを利用します (たとえば、SOC 2 や ISO 27001 など、業界に関連する認証をサードパーティ サービスが取得していることを確認します)。

UiPath Platform 内では、ツールの使用状況やツールに渡されるデータなど、すべてのエージェント アクティビティが可能な範囲でログに記録されます。これらのログを活用して、意図しないデータが送信されないようにします。エージェントが処理し、外部に送信している情報を定期的に確認してください。たとえば、エージェントがリモート サーバーへの要求に社会保障番号を含めていることがわかった場合は、そのようなデータをハッシュまたは削除するようにエージェントのロジックを修正することを検討してください。

コード化された/コマンド MCP サーバーを使用する場合、ログ記録はお客様の責任の範囲内にあります。個人を識別できる情報 (PII) やセキュリティ情報などの機密データは絶対にログ記録しないでください。

また、外部サービスからの出力データにも注意してください。外部の AI やスクリプトが機密情報 (または悪意のあるコンテンツ) を返す可能性があります。可能な場合は、出力の検証を実装します。たとえば、リモート サーバーが意思決定で使用される応答を返す場合は、応答が期待される形式と範囲であることを確認してください。これにより、外部システムからの操作や予期しない動作から保護されます。

つまり、外部連携をコンプライアンスのためのデータ フロー ダイアグラムの一部として扱い、どのデータがどのサービスを経由してプラットフォームから送信されるかを記述します。これは、リスク評価と監査に役立ちます。タスクに必要最小限の情報を共有することを常に優先します (データの Need to Know の原則)。

MCP 連携の構成や利用を目的としたアクセス自体を厳密に制御する必要があります。管理者または信頼性が高いユーザーのみが、リモート サーバー、コード化されたサーバー、コマンド サーバーの構成を作成または変更できるようにします。Orchestrator のロールベースのアクセス制御 (RBAC) を活用して、このような機能を制限します。たとえば、「エージェント連携マネージャー」に固有のロールを設定し、そのロールをセンター オブ エクセレンスまたは IT セキュリティ チームのメンバーにのみ割り当てます。これにより、通常のオートメーション開発者やビジネス ユーザーが安全ではない接続を誤って追加することや、任意のコードを実行することを防止できます。追加したすべての新しい MCP サーバーやエージェント ツールは、レビュー プロセスを経たうえで使用する必要があります。

ロールと権限を割り当てるときは、最小特権の原則を適用します。ユーザーが自分の仕事に必要な操作のみを実行できるようにする、スコープを絞ったロールを定義します。たとえば、エージェントが特定のデータの読み取りや特定のプロセスの実行のみを必要とする場合は、そのエージェントを実行するアカウントが、他のデータや管理機能に広くアクセスできないようにします。完全な Orchestrator の管理アカウントでエージェントを実行することは避けてください。代わりに、最小限の権限を持つ専用のサービス アカウントを使用します。これにより、エージェントのトークンが侵害された場合でも、潜在的な損害はそのアカウントの範囲内に限られます。

エージェントの実行ログを監視します。エージェントによるすべてのツールの使用状況は、一貫した方法で追跡および記録されます。これらのログを確認することで、異常 (エージェントが通常は呼び出ししないエンドポイントを呼び出したり、異常な時間に実行したりしているなど) を検出できます。

MCP サービス構成で、以下のように定期的なコンプライアンス チェックを実行するのが賢明です。構成されたすべてのリモート サーバーのリストをエクスポートし、それらが承認済みリストにあることを確認します。どの説明やフィールドにも資格情報が公開されていないことを確認します。すべてのコード化されたサーバーとコマンド サーバーが、セキュリティ レビューに合格したコードに対応していることを確認します。IT アセットのインベントリと同様に、これらの「エージェント ツール」のインベントリを維持します。

最後に、インシデント対応計画が MCP サービス シナリオをカバーしていることを確認します。たとえば、外部エンドポイントが侵害されたり、API キーが漏洩したりした場合に、そのリモート サーバーを素早く無効化するか、資格情報をローテーションする手順を用意します。UiPath は統合エンタープライズ環境の一部となるため、セキュリティ チームはこれらの機能に精通し、脅威モデルや対応訓練に含める必要があります。

アクセスを制御し、アクティビティを監視し、異常があれば迅速に調査することで、責任共有モデルにおけるお客様の側の役割を果たすことになります。つまり、プラットフォームの強力な機能の使用方法に関するセキュリティとコンプライアンスを維持することができます。