Comp AI: SOC 2、ISO 27001、GDPR コンプライアンスを自動化するオープンソースプラットフォーム

はじめに

Comp AIは、米国サンフランシスコに本社を置くComp AI社によって開発されたオープンソースのプラットフォームです。SOC 2、ISO 27001、GDPRなどのコンプライアンス要件を、自動化されたツールにより、数カ月ではなく数週間で準備することを目標に、組織の迅速な対応を支援する。このプラットフォームは、透明性と低コストを重視し、DrataやVantaに代わるオープンソースとして位置づけられている。comp AIは、エビデンスの収集、ポリシーの管理、コントロールの実施を自動的に行うコードによって、コンプライアンスの問題を解決する。クラウド利用とローカル展開の両方をサポートし、コア機能についてはフリーでオープンソース（AGPLv3ライセンス）であり、一部の高度な機能については商用ライセンスが提供されているため、あらゆる規模の企業に適している。

機能一覧

• コンプライアンスの自動化SOC 2、ISO 27001、GDPRなどのフレームワークをサポートするコンプライアンス・プロセス。
• 証拠収集統合ツールからコンプライアンス証明を自動的に抽出します。
• リアルタイム・モニタリングセキュリティリスクとコンプライアンスギャップを検出する。
• 戦略管理事前に定義されたコンプライアンスポリシーとコントロールを提供します。
• リスク管理システムのセキュリティ問題を特定し、修正する。
• セルフホスト・サポート組織がローカルに展開し、データとインフラをコントロールすることを可能にする。

ヘルプの使用

Comp AIはクラウドベースとローカルデプロイの両方が利用可能です。以下に詳しい操作方法をご紹介します。

クラウド版の利用

1. アカウント登録
   https://trycomp.ai/ を開き、ウェイティングリストに参加してクラウドにアクセスする。招待状を受け取ったら、https://app.trycomp.ai/ でアカウントを作成し、Eメールとパスワードを入力して「続行」をクリックして登録します。
2. 初期設定
   ログインしたら、コンプライアンスフレームワークを選択する（例：SOC 2）。ツールに接続し（現在、AWS、Slackなどをサポートし、さらに多くの統合を開発中）、ページのガイドラインに従って認証を行う。
3. 機能操作
   • コンプライアンスの自動化ダッシュボードでフレームワークを選択すると、コンプライアンスの進捗状況やToDoリストが表示されます。
   • 証拠収集Evidence "をクリックすると、システムは自動的に接続ツールからデータを取得し、レポートを作成する。
   • リアルタイム・モニタリングモニタリング」を選択し、セキュリティの状態をチェックし、修正が必要な項目には赤で印をつけます。
   • 戦略管理ポリシーで定義済みのポリシーを表示し、調整してチームに適用します。
   • リスク管理スキャンを実行して、問題とその解決策を確認してください。

ローカル展開版のインストールと使用

1. 環境準備
   以下のツールがインストールされていることを確認する：
   • Node.js（バージョン >= 20.x、推奨） nvm (経営陣)
   • Bun (バージョン >= 1.1.36)
   • ポストグレス（バージョン >= 15.x）
   • GitとDocker
2. クローンコード
   ターミナルで実行：

git clone https://github.com/trycompai/comp.git
cd comp

3. 依存関係のインストール
   実施する：

bun i

4. 設定環境
   サンプル・ファイルをコピーし、キーを生成する：

cp apps/web/.env.example apps/web/.env
cp apps/app/.env.example apps/app/.env
openssl rand -base64 32

キーを apps/app/.env な AUTH_SECRETその他の変数（データベース接続など）を設定する。
5. データベースのセットアップ
Postgresを起動し、初期化する：

bun docker:up
bun db:generate
bun db:push
bun db:seed  # 可选，填充初始数据

6. サービス開始
   開発サーバーを実行する：

turbo dev

インタビュー http://localhost:3000 ローカルバージョンを使用する。
7. 機能操作
クラウド版と同様に、ログインして上記の手順に従ってください。

注目の機能

• 証拠収集ツールに接続すると、ログや設定を自動的に取得し、コンプライアンス・レポートを作成するため、手作業が軽減されます。
• リアルタイム・モニタリングシステムをスキャンして問題（暗号化されていないデータなど）を検出し、リアルタイムで警告を発します。
• セルフホスト・サポート一旦ローカルに展開すれば、組織はデータを完全にコントロールでき、プライベート・クラウドや特別なニーズにも対応できる。

ほら

• クラウド版では招待を待つ必要があり、ローカル版では定期的なコード更新が必要となる(git pull).
• 一般公開のためのコードの改変はAGPLv3ライセンスに従う。商用利用はに連絡することでライセンスされる。
• ご不明な点がありましたら、メールでお問い合わせいただくか、GitHubのディスカッションフォーラムでお尋ねください。

アプリケーションシナリオ

1. 中小企業コンプライアンス
   新興企業はSOC 2で顧客を獲得する必要がある。Comp AIは証拠収集を自動化し、監査を迅速に準備する。
2. 開発チームが使用
   開発チームは、コンプライアンス・ツールのセルフホストを望んでいる。comp AIはローカルに展開され、既存のテクノロジー・スタックと統合される。
3. セキュリティの向上
   企業はGDPRコンプライアンスを監視する必要がある。このプラットフォームは問題を検出し、リアルタイムで解決策を提供します。

品質保証

1. Comp AIは無料ですか？
   コア機能はフリーでオープンソース（AGPLv3）であり、GitHubでホストされている。一方、高度な機能には商用ライセンスが必要であり、そのためには関係者に問い合わせる必要がある。
2. どのような技術スタックがサポートされていますか？
   Next.js、Prisma、Tailwind CSS、Trigger.devなどで構築され、AWS、Slack、その他のインテグレーションをサポートしています。
3. クラウドへのデプロイ方法は？
   現在、ローカルデプロイがサポートされており、DockerとVercelのデプロイ手順は近日中に公開される予定だ。