Drata(ドラータ)は、継続的なコンプライアンス、フレームワークサポートの拡充、大規模なインフラストラクチャーテストライブラリー、およびリスクと監査ワークフローの強化に重点を置いた、2026年第1四半期の幅広い製品アップデートを発表した。
このプラットフォームでは、継続的なコンプライアンスを強化するために、証拠収集、監視、および是正措置を統合することを目的とした改善が導入された。アップデートは、チームがコントロールの状態をより明確に把握し、是正措置のプロセスを迅速化し、クラウドインフラストラクチャーと脆弱性監視における自動化を拡大できるように構成されている。
更新されたCCPA 2026の要件への対応が追加され、プライバシーリスク評価、サイバーセキュリティー監査、ADMTガバナンス、および機密個人情報管理をプラットフォーム上で直接運用できるようになった。このアップデートにより、これらの要件を既存のフレームワーク、管理策、ポリシー、および証拠と並行してマッピングできるため、規則の進化に伴う重複を削減できる。
DrataはISO 27701 :2025フレームワークのサポートも追加した。これは、Privacy情報管理システムに関するISO 27001のガイダンスを拡張し、管理者と処理者の責任を明確化し、プライバシーガバナンスを強化するものだ。プログラム側で更新されたフレームワークを有効にし、プライバシー管理と証拠をマッピングすることで、標準規格との整合性を維持できる。
Drataの新しいTestライブラリーは、AWS、Azure、GCPにわたる1,000以上の事前構築済みインフラストラクチャーテストを一元的にカタログ化している。チームはテストを閲覧し、プラットフォーム内で自動チェックを一括プロビジョニングし、リアルタイムの障害表示機能で構成を継続的に監視できるため、カスタムスクリプトを作成することなく、より広範な自動化への道のりを短縮できる。
インポートされたインフラストラクチャーテストは、単一の設定から複数のプロバイダーや組織構造にわたって実行できるようになり、作業の重複を減らし、複雑なクラウド環境全体における制御監視の一貫性を向上させる。Insightsダッシュボードが強化され、失敗した監視テストの平均解決時間(MTTR)のInsights機能が追加された。これにより、修復パフォーマンスの可視性が向上し、ボトルネックに対処するための担当者の割り当てが迅速化される。
プラットフォーム内でエンドツーエンドの監査プログラムをサポートするために、内部監査機能が拡張された。この機能により、監査プログラムの作成、監査担当者と担当者の割り当て、組み込みビューアーによる証拠の収集とレビュー、および是正措置の追跡が可能になり、スプレッドシートや外部ツールに頼ることなく、ワークフローを一元化して追跡可能にできる。
Audit HubにCustom事前監査パッケージ機能が追加された。この機能により、チームは事前監査の証拠バンドルを含めるかどうか、具体的な証拠カテゴリー(コントロールマッピング、接続、ベンダー、資産、担当者、インフラストラクチャーへのアクセスなど)を選択すること、監査範囲の変更に応じてパッケージを更新または再生成できる。属性が変更されるとパッケージは自動的に更新され、古いバージョンは削除されるため、監査担当者は常に最新の情報を確認できる。
クラウド接続のスコープ設定が組織構造に合わせて改善された。AWSAWSとOrganizational Unitsを同期することで、Security Hub、GuardDuty、Config、Inspector、Macieデータの集中監視と取り込みが可能になる。Azure管理Groupsは、タグ付けベースの包含/除外による読み取り専用のAzureストラクチャー可視性を実現するために、複数のサブスクリプションを接続できる。また、GCP接続は、自動化されたスクリプトまたはTerraformを使って組織レベルまたはプロジェクトレベルで確立し、IAMおよびリソースデータをアクセスレビューと監視に反映させることができる。
Custom Fieldsがフレームワーク要件にも拡張され、チームは標準フレームワークとカスタムフレームワークの両方について、実装に関する注記、担当者、評価、その他の構造化されたメタデータを要件レコードに添付できるようになった。これらのフィールドは要件インデックスで検索可能で、標準レポートを通じてエクスポートできる。
ベンダーおよび内部リスク管理に関しては、AIを活用したエージェント型TPRMアセスメントが導入され、ベンダーのドキュメント(SOC 2レポート、ポリシー、アンケート、Trust Centerの成果物)を取り込み、証拠を事前定義されたセキュリティーおよびリスク基準にマッピングする。エージェントは、引用元と残存リスクスコアリングとともに標準化された結果(達成、部分的に達成、未達成、結論が出ない)を出力するが、最終的な決定権は人間のレビュー担当者が保持する。組み込みのトラストセンターでは、サードパーティープロファイル内でベンダーの利用可能な保証リソースを直接表示して証拠の発見を迅速化し、カスタムアンケートの件名、メールの文字数制限の拡張、AIによるSOC 2フィールドのサポートとサマリーの強化、ベンダーフィルタリングの改善など、スケーラビリティーをサポートするワークフローの改善が行われた。
Upwind SecurityおよびOrca Securityとの脆弱性スキャン連携機能が追加され、検出結果の自動インポート、コンプライアンス管理およびリスクワークフローへの問題のリンク、ツール全体にわたる脆弱性リスクの統合ビューが提供されるようになった。また、Security Reviews、SOCレポートレビュー、アップロードされたレビューのタイトルをプロジェクト、システム、または業務内容に合わせて変更できる機能が追加され、レビュー担当者の利便性が向上した。
自動化されたガバナンスの更新には、リスク、Controls、トレーニング、Background ChecksをCSVファイルを使ってセルフサービスで一括インポートする機能が含まれる。この機能は、AIを活用した列マッピングとデータ変換により、大規模な移行を容易にする。Controlアクションパネルでは、監視テストの失敗、期限切れの証拠、承認の欠落、ポリシーの依存関係など、準備の妨げとなる要因を一元管理する。また、OpenSearchによる高性能検索機能では、ベンダー、リスク、コントロール全体にわたるあいまい一致とカスタムフィールド検索が可能だ。CustomTasksの一括CSVインポート機能を使うと、リアルタイム検証とコントロールまたはリスクへのリンクを備えた、単発タスクと定期タスクを混在させて作成できる。
セキュリティー保証機能が強化され、既存のドキュメントからアイテムの説明を生成するAITrust Centerアイテム生成機能、ほぼ全てのポータルからアンケートをインポートして回答できるポータル非依存のアンケート解析Chrome拡張機能、AI生成アンケート回答で使用されるデータソースを制限するコンテンツコレクションが追加された。Evidence LibraryとTrust Centerの同期機能が導入され、プラットフォームから選択したエビデンスを安全な一方向接続を介してSafeBaseトラストライブラリーにプッシュし、外部トラストセンターが最新のレビュー済み成果物を反映するようにした。AIアンケートアシスタンスが複数選択回答に対応したため、「該当するものを全て選択」プロンプトを手動で編集することなく処理できるようになった。
計画されている作業では、リスク管理およびサードパーティーのワークフロー全体における自動化の深化、AI機能の拡張、そして拡張可能なガバナンスおよび保証プログラムを支援するためのセキュリティーエコシステム全体におけるより広範な統合を優先的に進めていく。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
