GRC(Governance、Risk、Compliance)分野のリーディングカンパニーであるDrata(ドラータ)Drataの最高情報セキュリティー責任者(CISO)であるMatt Hillary氏が、生成AI「Claude」を開発したAnthropicのCISOであるVitaly Gudanets氏と対談。そこから得られた知見を公開した。
Drataは、従来の手作業によるGRCプロセスから、より自動化されたリスク主導型のアプローチへの移行を主導している。この変革は、AIの進歩と継続的なアシュアランスへの注力によって推進されている。Gudanets氏は、多くの組織がGRCへの取り組みをコンプライアンス項目のチェックから始めるものの、そこから先に進めないことが多々あると指摘した。GRCの究極の目標は、真のリスクを特定・軽減し、ビジネス上の意思決定に情報を提供し、企業が新しいテクノロジーや規制の要求に対応できるよう支援することであるべきだと強調した。グダネッツ氏によると、GRCの未来は、継続的なアシュアランス、自動化、そして組織間の信頼の構築と維持にある。
会話では、GRCの進化を加速させるAIの役割についても触れられた。AIは多くのGRCタスクを自動化する可能性を秘めているが、Gudanets氏はAIへの過度の依存に警鐘を鳴らし、依然として人間の介入が必要な領域もあると述べた。例えば、リスクの受容にはビジネスコンテキストが必要だが、AIはまだこれを提供できない。しかし、AIは既に、継続的な監視、自動証拠収集、スケーラブルなベンダーリスク管理、AI拡張リスクモデルといった強力な機能を実現している。
議論はGRCの将来像を巡る議論で締めくくられた。Gudanets氏は、GRCが現実のリスクについて実用的な優先順位付けされたビューを提供し、設計段階からスムーズな統制が組み込まれ、顧客と経営幹部への継続的なアシュアランスが実現し、AIエージェントが証拠、統制テスト、モデリングを強化する未来を思い描いている。また、急速に進化するGRCの環境を、互いに学び合い共に乗り越えていくことができる、CISOと実務担当者による強力なコミュニティーの重要性も強調した。
対談の詳細はこちら
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
