自動化ガバナンスソリューションのリーディングプロバイダーであるDrata(ドラータ)は、カスタムポリシーおよび修正ポリシー向けのAIによるコントロールサジェスチョン機能を導入した。この新機能は、監査への準備を強化し、手作業による監視の必要性を軽減することを目的としている。AIを活用したコントロールサジェスチョン機能は、DrataのPolicy Centerの一部であり、Policy Centerは既に自動化ガバナンス基盤の一部としてポリシーと統制をマッピングしている。しかし、企業のガバナンス、リスク管理、コンプライアンス(GRC)プログラムの規模が拡大するにつれて、カスタマイズが増加し、手作業による監視に潜在的なギャップが生じる可能性がある。
AIを活用したコントロールサジェスチョンは、こうしたギャップを埋めることを目的としている。Drataテンプレートまたはカスタムポリシーが公開されると、DrataのAIがポリシーの内容を分析し、関連するコントロールを推奨する。これらのコントロールには、Drata定義のコントロールと、ユーザーの環境に既に存在するカスタムコントロールの両方が含まれる。ユーザーは完全な監視を維持し、AIのサジェスチョンを全て、一部、または全く受け入れないことを選択できる。AIを活用したコントロールサジェスチョンは、見落とされる可能性のあるギャップをフラグ付けするように設計されており、マッピングされていないコントロール、サポートされていないポリシー、そして予期せぬ監査がないようにできる。
このような機能の必要性は、エンタープライズプログラムの複雑化の増大に起因している。プログラムが拡大するにつれて、ポリシーの進化はマッピングの対応が追い付かないほど速いペースで進むことがよくある。セキュリティーチームは進化するフレームワークに対応するために条項を追加し、コンプライアンスチームはテンプレートでカバーされていない社内ポリシーをアップロードし、特定のリスクや運用上のニーズに合わせて新しいカスタムコントロールが追加される。これらの変更により、意図せずコントロールがマッピングされなかったり、チーム間でマッピングに一貫性がなかったりする可能性があり、監査や社内レビューの際にリスクにさらされる可能性がある。
DrataのAIネイティブプラットフォームは、この課題に対するソリューションを提供する。カスタムポリシーまたは変更されたポリシーに対して、推奨されるコントロールマッピングを提示する。Drataテンプレートを編集すると、AIは変更内容に基づいて関連するコントロールを提案する。カスタムポリシーを公開すると、Drataは自動的にコンテンツ全体を分析し、コントロールマッピングを提案する。カスタムコントロールが作成された場合でも、それらもAIの推奨セットに含まれる。サジェスチョンは承認後に表示されるが、完全に選択可能であるため、ユーザーはワンクリックで適用し、必要に応じて微調整できる。これは単なる自動化ではなく、インテリジェンスレイヤーとしてのAIであり、GRCプログラムの精度と拡張性を向上させる。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
