Drata(ドラータ)は2026年6月10日、企業環境全体で稼働するAIエージェントの検出、監視、および管理を目的とした新製品「AI Agent Governance」の早期アクセスを提供開始したと発表した。
同社は、長年にわたる可視性のギャップを背景に今回の発表を行った。多くのセキュリティー責任者は、エージェントがSaaSコネクター、社内開発フレームワーク、サードパーティー製品を介して生成されるため、自社の環境で動作しているエージェントを列挙できないと報告されている。Drataは、数百万件に及ぶセキュリティーに関する質問から得られた自社のデータに基づき、過去9カ月間でAIガバナンスへの関心が急増していることを示し、現在、組織の89%がエージェントガバナンスに関する監査担当者や調達担当者の質問に回答していない一方、ベンダーのわずか11%しかエージェントの決定に関する監査証跡を実質的に証明できないと報告した。
AI Agent Governanceは、これらの欠点を解消することを目的とした5つの主要機能で構成されている。1つ目はDrata Sensorで、企業が使うAIプラットフォームとインラインで接続し、エージェントの作成時に登録を行い、各エージェントを所有者、IDプロバイダー、権限、および運用範囲にマッピングする。このセンサーは、特定の時点のスナップショットを作成するのではなく、作成イベントをストリーミングすることで、数分でリアルタイムのインベントリーを作成すると説明されている。
2つ目の機能であるMission Controlは、アクションが実行される前にポリシーを適用する。Policiesは平易な英語で意図として記述され、リアルタイムでエージェントの全てのアクションを評価するコントロールにコンパイルされる。システムは、承認されたポリシーに違反するアクションをインラインでブロックするように設定されている。
そして、Trust Ladderと呼ばれる組み込みのテストワークフローにより、チームはポリシーを3つの段階を経て推進できる。トレーニング段階では、ポリシーは強制適用なしで実際のトラフィックを監視する。推奨段階では、システムが強制適用した場合の動作を表示する。アクティブ段階では、ポリシーがインラインで強制適用される。Trust Ladderは、ポリシーを有効にする前に予期せぬ事態や誤検知を減らすための手段として位置付けられている。
Drift Detection機能は、コマンド、プロンプト、ツール呼び出しを承認済みのポリシーと継続的に比較し、エージェントが権限範囲を拡大したり、許可範囲外の動作をした場合にそれを特定する。アラートは、監査サイクルで後から発見されるのではなく、逸脱が発生した時点で送信される。
Chain of Custody(管理の連鎖)は、全てのエージェントの決定、ポリシー評価、および是正措置に関する監査可能で改ざん防止機能付きの記録を提供し、監査担当者、取締役会、および大口顧客にとって単一の証拠源となる。
Drataは、これらの機能をCISOがAIエージェントに関して尋ねられる5つの質問(発見、認証、ID、監視、証明)にマッピングし、それぞれの質問を対応する製品コンポーネントにリンクさせた。発見にはDrata Sensor、認証にはMission Control、IDにはSensor内のIDマッピング、監視にはDrift Detection、証明にはChain of Custodyがそれぞれ対応している。
本製品には、OWASPなどの確立されたガイダンスに基づいたすぐに使えるポリシーテンプレートが付属しており、初日からガバナンスを可能にするとともに、カスタムのインテントベースポリシーもサポートしている。Drataは、AI Agent Governanceが、ISO 42001、EU AI Act、AIUC-1などの新たなAI固有のフレームワークが正式化されるにつれてそれらにマッピングされ、エージェントのアクティビティーは、SOC 2、ISO 27001、Drata、およびその他30以上のフレームワークで既に使用されているのと同じ証拠レイヤーに表示されるとしている。
金融サービス、ヘルスケア、上場ソフトウェア企業、AIラボなど、6カ月間にわたって約150人のCISOとの対話から得られたフィードバックが、製品の方向性を決定づけた。業界標準に積極的に関わっているあるセキュリティーリーダーは、どのAIエージェントが稼働しているか、そしてどのように管理されているかという点に関して、新たな調達カテゴリーが出現しており、既存のツールではこれらの質問に十分な確信を持って答えられないことが多いと指摘。同社は、実証可能なガバナンスを提供できる能力を調達における差別化要因と位置付け、エージェント制御を立証できるチームは、そうでないチームよりもベンダーレビューを迅速に通過できると期待している。
早期アクセスは、少数のパートナー企業を対象に開始され、実際のエージェントの運用状況や調達ニーズに基づいて、ポリシーセット、アンケート回答、監査担当者のワークフローを改良していく。早期アクセスプログラムへの応募はこちら
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
