Amazon Web Services ブログ
Planview が Kiro CLI で SOC 2 コンプライアンスを自動化し、監査サイクルあたり 40 時間以上を削減
本記事は「Planview saves 40+ hours per audit cycle by automating SOC 2 compliance with Kiro CLI」を翻訳したものです。
コンプライアンス管理は、時に圧倒的な負担に感じることがあります。多くのエンジニアリングチームにとって、継続的に大きな注意を払い続ける必要がある業務です。チームは年間サイクルごとに 40 時間以上をかけてエビデンスを収集し、クラウドプロバイダーのコンソールを操作し、監査期限が迫る中でスプレッドシートを作成しています。
戦略的ポートフォリオ管理のリーダーとして世界中で 3,000 社以上の顧客にサービスを提供する Planview も、同じ課題に直面していました。マルチサービスの AWS インフラストラクチャ全体で SOC 2 コンプライアンスを維持するために、顧客向けの機能開発に充てるべきエンジニアリング時間が消費されていたのです。ここでは、Planview が Kiro CLI を使ってコンプライアンスワークフローをどのように変革し、コンプライアンスサイクルあたり 40 時間以上を削減したかをご紹介します。
コンプライアンスは大変
Kiro 導入前の Planview のコンプライアンス管理は、以下のような状況でした。
- エンジニアが手動でエビデンスを収集 — 20 以上のクラウドサービスにまたがり、コンソールや API からデータを取得していました。
- チームがスプレッドシートの発掘作業を実施 — セキュリティコントロール、タイムスタンプ、監査証跡を追跡していました。
- 監査準備サイクルに 40 時間以上を消費 — エンジニアをプロダクト開発から引き離していました。
- 複数のチームメンバーにまたがる調整オーバーヘッド — クラウドプロバイダーと SOC 2 要件の両方に精通した専門知識が必要でした。
クラウドコンプライアンスを管理する多くのエンジニアリングチームが、同様の課題に直面しています。監査に費やす時間、コンテキストスイッチ、手動エラーの可能性、四半期サイクルの計画が、コストを複合的に増大させています。
コンプライアンスへの新しいアプローチ
Planview は、また別のコンプライアンスダッシュボードを構築するのではなく、異なるアプローチを選びました。Kiro CLI を使って、コンプライアンスの自動化を開発ワークフローに直接組み込んだのです。
当初、Planview の SOC 2 コンプライアンスプロセスは完全に手動で、セキュリティチームとエンジニアリングチームに多大な時間とリソースを要していました。コンプライアンスワークストリームの効率化のため、チームは 2025 年第 1 四半期に商用の継続的コンプライアンスプラットフォームを評価しました。Planview は長期的には継続的コンプライアンス機能の導入を計画していますが、フル商用プラットフォームのオーバーヘッドなしに迅速に価値を提供できる暫定的なソリューションが必要でした。このニーズに Kiro は最適でした。Kiro は Planview の既存ワークフローに直接統合され、フルコンプライアンスプラットフォームへの移行の道を閉ざすことなく、すぐに自動化のメリットを提供しました。
Kiro CLI でカスタムコンプライアンスエージェントを作成する
Planview は、Kiro CLI の組み込み aws ツールとカスタムエージェント機能を使用して、クラウドサービスへのきめ細かな読み取りアクセスを設定しました。Kiro のカスタムエージェントを使うと、ユースケースに合わせた特定のコンテキストとツール権限を持つ、目的特化型の AI アシスタントを作成できます。Planview の場合、SOC 2 コンプライアンスワークフローに関連する技術的エビデンスを取得するために、クラウドサービスへの事前承認済みの読み取り専用アクセスを持つエージェントを作成しました。事前承認とは、エージェントが各読み取り操作に対して手動の承認を必要としないことを意味します。これにより、監査サイクルやエビデンス収集タスクごとに手動で権限を付与する必要がなくなり、以前は 40 時間以上かかっていた手動プロセスが自動化されたワークフローに変わりました。この統合は読み取り専用の非侵襲的なアクセスで動作するため、インフラストラクチャのセキュリティは確保され、変更されることはありません。これはコンプライアンスに限った話ではありません。例えば、CloudWatch メトリクス、S3 バケット設定、Lambda 関数ログをクエリするインフラストラクチャ監視用のカスタムエージェントを作成し、AWS サービスへの事前承認済み読み取りアクセスを付与して、運用ヘルスレポートを自動生成することもできます。カスタムエージェントの作成方法と設定例をご覧ください。
以下の例は、~/.kiro/agents/soc2-compliance.json に保存するカスタム soc2-compliance エージェント JSON の参考例です。これを SOC 2 コンプライアンスプロセスを支援するアシスタントとして活用でき、CLI で kiro-cli --agent soc2-compliance(またはカスタムエージェント名)を使って起動できます。
この JSON は、セキュリティコントロール、監査準備、ポリシー適用を支援するために設計された特化型エージェント設定を定義しています。各セクションの意味は以下の通りです。
name— エージェントの識別子/名前description— エージェントの目的を説明する人間が読める説明文(SOC 2 コンプライアンス業務)prompt— エージェントのシステム指示/動作を含むマークダウンファイルへのパス(./prompts/soc2-expert.md)tools— エージェントがアクセスできるツール:- read(組み込みツール)— ファイル/ディレクトリの読み取り
- write(組み込みツール)— ファイルの作成/変更
- aws(組み込みツール)— AWS CLI 呼び出し
allowedTools— ユーザー承認を必要としないツール(ここでは read のみ自動承認。write と aws は確認が必要)toolsSettings— 各ツールのきめ細かな権限設定:write.allowedPaths— エージェントが書き込みできるディレクトリを限定(コンプライアンスドキュメント、ポリシー、監査ファイル、セキュリティファイル)aws.allowedServices— エージェントが操作できる AWS サービスを限定(IAM、CloudTrail、Config、GuardDuty、SecurityHub、Inspector、KMS、S3 — すべてセキュリティ/コンプライアンス関連)
aws.autoAllowReadonly— 読み取り専用の AWS 操作(describe-*、list-*、get-* など)は承認不要resources— エージェント起動時に自動的にコンテキストに読み込まれるファイル:- ポリシーのマークダウンファイル
- コンプライアンスドキュメント
- 監査 JSON ファイル
- セキュリティコントロール YAML ファイル
あるいは、エージェント設定 JSON を手動で作成する代わりに、Kiro CLI の /help エージェントを使用できます。これは、自然言語の説明からスマートなエージェント設定の推奨を生成する組み込みアシスタントです。Kiro CLI 内で /help Help me create a custom agent for soc-2 compliance を実行すると、Kiro が SOC 2 コンプライアンスを支援するための初期ドラフトを自動的に生成します。
/help Help me create a custom agent for soc-2 compliance を実行すると、以下のことが起こります。
- Kiro は組み込みの
/helpエージェントに切り替わります。これは Kiro CLI に関する質問に答え、設定を生成するために特化されたエージェントです。 /helpエージェントは Kiro の内部ドキュメントを参照して正しいエージェント設定スキーマを検索し、生成される設定が有効なフィールドを使用し、ベストプラクティスに従っていることを確認します。/helpエージェントは、ツール、権限、リソースパターン、カスタマイズされたシステムプロンプトを含む推奨設定を、手動の JSON 作成なしに生成します。必要に応じてこれを調整できます。
Kiro CLI でカスタムエージェントを使用する
開発者がターミナルで kiro-cli --tui --agent soc2-compliance を使ってこのカスタムエージェントを起動すると、チャットセッション開始時に「aws」ツールの allowedServices、resources、allowed paths のコンテキストと権限が読み込まれます。--tui フラグを使用すると、Kiro CLI の新しい UX が読み込まれます。通常の kiro-cli ターミナル体験を使用したい場合は、kiro-cli --classic --agent soc2-compliance を使用するか、Kiro ターミナル内で /agent soc2-compliance を使用できます。
プロンプト例: 「すべての S3 バケットの暗号化ステータス、パブリックアクセス設定、アクセスログ設定を示す SOC 2 CC6.1 コンプライアンスレポートを生成してください。」
Kiro の機能を活用して、Planview は SOC 2 および ISO エビデンスのタイムスタンプ収集を簡素化しました。システムがタイムスタンプ付きの情報を取得できるようになり、Kiro は以下を自動的に実行できるようになりました。
- すべてのリージョンにわたる S3 設定のクエリ、または同じ結果を生成するクエリの実行を支援するスクリプトの作成
- 暗号化設定とキー管理の確認
- アクセスコントロールリストとバケットポリシーの検証
- タイムスタンプ付きのフォーマットされたコンプライアンスエビデンスの生成
エージェントが複雑さを処理し、チームは必要なエビデンスを取得できます。
注意: AI が生成するコンプライアンス出力は、エージェントに提供されるプロンプトの具体性と範囲に大きく依存します。これは監査プロセスを加速するためのツールであり、決定論的なコンプライアンスツールの代替となるものではありません。AI が生成したすべての推奨事項、ポリシーテキスト、監査エビデンスは、本番環境での使用や監査人への提出前に、資格のあるコンプライアンス専門家によるレビューと検証を受ける必要があります。
成果
以前は手動でのデータ収集が必要だった作業が、自動的に行われるようになりました。Kiro はタイムスタンプ付きのコンプライアンスエビデンスを取得し、上記の AWS 許可サービスを使用してセキュリティスキャンを実施し、特定の SOC 2 および ISO コントロール要件に沿ったアーティファクトを整理します。
このワークフローは、開発環境の変更を必要とせずに Planview の既存プロセスに統合されます。以前は手動だったエビデンス収集が、Kiro CLI の組み込みツールを通じて実行され、フィードバック用の対話型インターフェースが提供されます。Planview チームは、すぐに大きく測定可能な効果を実感しました。
- コンプライアンスサイクルあたり 40 時間以上を削減 — 節約された時間は、エビデンス収集ではなく顧客価値の構築に活用されています。
- 自動化による全体的な効率 60% 向上 — チームは監査リクエストに 3〜4 倍速く対応できるようになりました。
- チームメンバーあたり 1〜1.5 SDE スプリント分の時間を節約 — 機能開発や改善に振り向けられています。
- オンデマンドのエビデンス収集 — 特定の時間を確保するのではなく、年間を通じて監査に備えることができます。
しかし、本当の成果は、エンジニアリングリソースが本来あるべき場所に戻ったことです。スプレッドシートの作成ではなく、プロダクトの構築に集中できるようになりました。
まとめ
Planview のアプローチは、コンプライアンス業務が負担である必要はないことを示しています。コンプライアンス要件を仕様として提供し、AI を開発ワークフローに直接組み込むことができます。カスタムエージェントのような機能は、セキュリティ基準を維持しながら、チームが顧客への価値提供に集中できるよう支援します。
Planview は、コンプライアンス管理以外のユースケースにも Kiro CLI のカスタムエージェントの活用を拡大しています。これにより、組織全体のより多くの開発者が再現可能なワークフローを使用し、効率化の効果を倍増させることができます。
Kiro CLI を今すぐ始めましょう。