Drata(ドラータ)は、Zipとの新たな連携により、調達部門とセキュリティー部門間の引き継ぎが自動化され、Zipで受付リクエストが送信されるとベンダーレコードが作成され、セキュリティーレビューが開始されると発表した。同社はこの連携によって、手動による通知、データの重複入力、およびセキュリティーレビューが検証されないままベンダー承認が保留されるといった遅延を解消できると位置付けている。
この発表では、この問題は一般的な業務上のギャップとして捉えられた。調達チームはZipで受付と承認を管理する一方、セキュリティーおよびコンプライアンスチームはDrataでベンダーのリスクと証拠を追跡するため、手動でのメールのやり取りやデータの再入力が必要になっていた。こうしたフリクションによってオンボーディングが遅れ、SOC 2やISO 27001などのフレームワークを目指す組織にとってリスクが高まっていた。
この統合により、Zipで新規ベンダー情報を取得すると、Drataが自動的に対応するベンダーレコードを作成するように促される。StandardのZipベンダーフィールドはDrataにマッピングされるため、情報取得のコンテキストはレコードとともに引き継がれ、構成済みのDrataプログラム設定により、適切なベンダーセキュリティーレビューを即座に開始できる。
文書処理はワークフローの一部だ。SOC SOC 2レポート、ISO証明書、ブリッジレター、侵入テストレポートなどの関連文書は、設定可能な文書フィルターに基づいてベンダーレコードに添付される。提出された文書はPDFに変換してDrataベンダーレコードに追加でき、DrataレコードへのディープリンクはZip APIレスポンスで返されるため、素早くナビゲートできる。
技術的な設定は簡単で、[Settings]→[Integrations]にアクセスし、[Zip]を選択して、必要なスコープを持つAPI認証情報を生成し、その認証情報をZipに貼り付ける。フィールドマッピングを設定したり、デフォルトのDrataユーザーIDをベンダー所有者として設定したり、デプロイメントごとに優先するドキュメントタイプを選択できる。この統合は、有効化されるとバックグラウンドで実行されるように設計されており、継続的な設定は不要だ。
リリースでは、すぐに使える便利な機能についても言及された。標準のZipベンダーフィールドは自動的にマッピングされ、Drataの連絡先名とメールアドレスは追加の設定なしで転送される。カスタムフィールドは今後のフェーズで実装予定だ。Drataからの承認結果はウェブフック経由でZipに同期されるため、調達担当者は検証済みのセキュリティーレビューを確認でき、ベンダーのオンボーディングは手動でのフォローアップなしで進めることができる。
この連携機能は現在利用可能で、Drataは両プラットフォームを利用している顧客に対し、Drataアカウントの「Settings」→「Integrations」から接続するよう推奨している。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
