コンプライアンス自動化プラットフォームであるDrata(ドラータ)は、AIを活用し、コンプライアンステストの生成を自動化することに成功した。企業のコンプライアンス状況に関する証拠をリアルタイムで収集するこのプラットフォームは、AWSなどのクラウドプロバイダーが提供するサービスの増加に対応する上で課題に直面していた。テストの作成と検証を手作業で行うプロセスは、特に複雑なクラウドインフラストラクチャーを持つ大規模な顧客にとって、時間がかかり、非効率的だった。
この問題を解決するため、DrataチームはAIに着目した。クラウドプロバイダーのスキーマ、コンプライアンスフレームワーク、既存のテストパターンといった構造化された入力を用いて、コンプライアンステストを自動生成できるシステムを開発した。目標は、動作するテストコードという形で構造化された出力を生成することだった。課題は、AIが全てのデータを確実に推論できるようにすることだった。
チームは当初、コンプライアンスの世界における高レベルの要件であるコントロールから直接テストを生成しようと試みた。しかし、このアプローチは、単一のコントロールが数十種類のリソースに適用される可能性があるため、問題を抱えていることが判明した。そこでチームは方向転換し、リソーススキーマから始めて、それを関連する少数のコントロールセットにマッピングすることにした。このアプローチにより、検索範囲が限定され、カバレッジギャップの可能性が低減し、クラウドプロバイダーが新しいサービスを追加した際に、既存のコントロールに対して新しいスキーマを処理することが容易になった。
最終的なアプローチは、リソーススキーマを分析して関連するコンプライアンス制御を特定し、各制御に対して特定のテストクエリーを生成し、重複をチェックし、実際に実行可能なJSONパスロジックを生成するというものだった。この複数ステップのワークフローにより、チームは各ステップを個別に最適化および検証することができた。また、AI生成コードに対して堅牢な検証と再試行のメカニズムを実装し、テストが本番環境で使用できる状態であることを確認するための一連の後処理ステップも実装した。
その結果、AWS、Azure、GCPを網羅する1,000件以上のインフラストラクチャーテストが生成され、118のリソースにわたる165の固有のコンプライアンスコントロールを網羅した。これにより、チームの手作業にかかる数カ月分の労力が削減されただけでなく、監査にとって適切かつ有意義なテストであることが保証された。このプロジェクトの成功は、コンプライアンス業界における複雑なプロセスの自動化と効率性向上におけるAIの可能性を浮き彫りにしている。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
