Drata(ドラータ)は、APRA規制対象企業とその主要サービスプロバイダーが2025年7月1日に発効した統合健全性要件を満たすのを支援するために設計されたAPRA CPS 230フレームワークを発表した。2026年7月1日という節目では、既存のサービスプロバイダー契約の引き上げと、延期されていた事業継続要件の非重要金融機関への拡大が求められる中、同社は多くの組織が依然として実装に遅れをとっていることを強調した。
規制当局は、オペレーショナルリスク管理、事業継続計画、および第三者/アウトソーシングリスクを、取締役会が責任を負う単一の基準に統合した。この変更により、企業は分断されたプログラムの見直しを迫られている。業界関係者が指摘する実際的な課題は、個別のスプレッドシート、独立した事業継続計画文書、およびばらばらの第三者リスクプラットフォームではなく、一貫性のあるオペレーショナルリスクプロファイルと監査可能な証拠記録が必要であるということだ。
Drataのフレームワークは、CPS 230の5つの要件領域(ガバナンス、運用リスク管理、インシデント管理、事業継続、サービスプロバイダー管理)全てを、2つの補完的な構成にマッピングする。1つの構成は、APRA規制対象事業体向けに事前に構築された要件とコントロールを、統合されたリスク管理、TPRM、および事業継続ワークフローと整合させる。もう1つの構成は、重要なサービスプロバイダーを対象とし、プロバイダーに適用される義務を特定し、Drata Trust Centerを通じて運用化、監査対応可能な証拠の生成、および態勢の共有を可能にする。
CPS 230コントロールとSOC 2、ISO 27001、Essential Eight、NIST CSFの相互マッピングが含まれており、証拠の再利用をサポートし、まったく別のコンプライアンスプログラムを実行する必要性を軽減する。フレームワークのその他のライブ機能には、年次APRA登録提出をサポートするTPRM/MSPレジスター、サードパーティーのリスクレビューとベンダーデータ収集のためのTPRM AIAgent、CPS 230 (事業継続、サードパーティー管理、リスクアセスメント、情報セキュリティー)に準拠したポリシーテンプレート、証拠とレビュー担当者のコラボレーションを一元化するAudit Hub、主要なCPS 230コントロールの継続的なコントロールモニタリングが含まれる。
このフレームワークの設計は、コンプライアンス担当役員やGRCマネージャーが直面する一般的な課題、すなわち、CPS 230条項のない従来のベンダー契約、事業影響分析や許容レベルと連携していない事業継続計画、中央集権型のMSP登録簿の欠如といった課題に対応するものだ。Drataは、BIA、重要業務登録簿、許容レベル、BCPを単一の監査証跡にリンクさせるプラットフォーム機能について言及し、APRAの期待に応えることを目指していると述べた。
CISOにとって、このフレームワークは、MSPの集中リスク、APRAの72時間および24時間義務に準拠したインシデント通知準備状況、既存のセキュリティープログラムを活用したフレームワーク横断的な制御範囲をリアルタイムで可視化できるように設計されている。MSPにとって、この導入は差し迫ったビジネス上の現実に対応するものだ。APRAの規制対象顧客は、プロバイダーが重要な業務をサポートしているかどうかに基づいて、プロバイダーを重要なサービスプロバイダーとして指定することができ、CPS 230に関連する契約上の義務は2026年7月1日までに反映されなければなりない。CPS 230の保証を実証できないプロバイダーは再交渉のリスクに直面するが、保証の準備が整った証拠を持つプロバイダーは、Trust Centerを使って顧客と直接体制を共有できる。
Drataは、このフレームワークはオーストラリアの大手監査提携パートナーと共同で開発されたもので、APRA(オーストラリア健全性規制庁)の監督当局がレビューを実施する方法、証拠に関する期待事項、一般的な監督上の指摘事項などを反映したものであると説明した。このアプローチは、サービス提供者とサービス提供者の双方の関係を単一のプラットフォームに統合し、複数のフレームワーク間で統制と証拠を「一度テストすれば、多くの要件を満たす」という形で再利用できるようにすることを基本としている。
CPS 230フレームワークは、APRA規制対象企業および重要なサービスプロバイダーが、未解決のコンプライアンス上のギャップに対処するために、Drata GRCプラットフォームで利用可能になった。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。