業界インサイト
APRAアライン・エンジニアリングパートナーシップガイド
ANZエンタープライズ向けサードパーティリスク文書、CPS 230/234コンプライアンスエビデンス、成果ベースのエンゲージメント
Eastgate Software - ドイツのエンジニアリング標準。エンタープライズグレードの成果。
APRAアライン・エンジニアリングパートナーシップガイド: ANZエンタープライズ向けサードパーティリスク文書、CPS 230/234コンプライアンスエビデンス、成果ベースのエンゲージメント
APRA CPS 230とCPS 234は、オーストラリアの規制対象事業者に関わるすべてのサードパーティ技術サプライヤーへのコンプライアンス基準を引き上げます。本ガイドでは、具体的な義務、必要な文書、エンゲージメントモデルの規制リスク評価方法、およびEastgateがANZ調達チーム向けにエビデンスを整備する方法について説明します。
はじめに
APRA CPS 230/234はエンジニアリングパートナーに何を要求しますか?
APRAの健全性基準CPS 230(オペレーショナルリスク管理)とCPS 234(情報セキュリティ)は、サードパーティ技術ベンダー(オフショアエンジニアリングパートナーを含む)と契約する規制対象事業者に直接的な義務を課します。多くのANZテクノロジーリーダーはそのスコープを過小評価しています:APRAはオンショアとオフショアのサプライヤーを区別しません。エンジニアリングチームが本番コードをデリバリーしたり規制対象データを処理したりする場合、スコープ内となります。
本ガイドでは、基準が要求すること、エンジニアリングパートナーが提供すべき文書、さまざまなエンゲージメントモデルの規制リスク評価方法、EastgateがANZ調達チームに提供する具体的なエビデンスについて説明します。
第I部
サードパーティエンジニアリングエンゲージメントにおけるCPS 230の6つのコア義務とは?
CPS 230は2025年7月1日に発効しました。ADI、一般保険会社、生命保険会社、RSEライセンシーを含むすべてのAPRA規制対象事業者に適用されます。以下の6つの義務は、規制対象事業者が重要なサードパーティエンジニアリングベンダーをどのように管理すべきかを直接規定しています。
オペレーショナルリスクフレームワーク
規制対象事業者はエンタープライズリスクフレームワーク内でサードパーティのオペレーショナルリスクを管理する必要があります。エンジニアリングベンダーは重要サービスプロバイダーとして明示的にスコープ内に含まれます。
重要なサードパーティの特定
事業者は各重要サービスプロバイダーを特定・評価する必要があります。規制対象システムで本番コードをデリバリーするサードパーティエンジニアリングチームは、ほとんどの解釈においてこれに該当します。
エンゲージメント前のデューデリジェンス
CPS 230は重要なサードパーティと契約する前に、セキュリティプラクティス、事業継続性、集中リスクの評価を含む文書化されたデューデリジェンスを要求します。
継続的なモニタリング
規制対象事業者はオンボーディング時だけでなく、継続的に重要なサードパーティをモニタリングする必要があります。ベンダーは定期的な報告と監査権でこれをサポートする必要があります。
事業継続計画
サードパーティへの依存関係は事業者の事業継続計画に含める必要があります。エンジニアリングパートナーはBCPを提供し、中断時にもデリバリーを継続できることを実証する必要があります。
契約上の保護措置
契約にはAPRAのCPS 230の期待に沿った解約権、監査権、データ所有権の規定、インシデント通知要件を含める必要があります。
重要な示唆: CPS 230の下では、デューデリジェンスはエンゲージメントの前に実施する必要があります - オンボーディング中ではありません。契約締結後にコンプライアンス文書を要求することは、基準のシーケンス要件違反となります。
第II部
CPS 234はエンジニアリングパートナーのセキュリティコントロールにどのように適用されますか?
CPS 234は、重要なサードパーティの情報セキュリティコントロールが規制対象事業者自身の基準と同等以上であることを要求します。以下は5つのコントロールエリアとEastgateが各エリアで提供するエビデンスです。
| コントロールエリア | CPS 234要件 | Eastgateエビデンス |
|---|---|---|
| ガバナンス | 情報セキュリティの役割と責任をサードパーティ関係全体で明確に定義する必要があります | ISO 27001 ISMSガバナンス文書、指名情報セキュリティオフィサー、すべてのデリバリーストリームのRACIを文書化 |
| 情報資産の特定 | サードパーティが扱うすべての情報資産を分類・文書化する必要があります | 資産台帳、データ分類ポリシー、要求に応じて提供可能なプロジェクト固有のデータ処理補遺 |
| コントロールの実装 | サードパーティの情報セキュリティコントロールは事業者自身のコントロール標準と同等以上である必要があります | ISO 27001スコープはすべてのプロジェクトデリバリー環境をカバー - 証明書と適用性宣言書が提供可能 |
| インシデント管理 | インシデント検知、対応、通知プロセスを文書化してテストする必要があります | インシデント対応計画、文書化された通知SLA(P1インシデントに対する2時間以内の初期通知)、年次机上演習記録 |
| コントロールのテスト | 適切なスキルを持つ担当者が少なくとも年1回コントロールの有効性をテストする必要があります | 年次ペネトレーションテスト、ISO 27001サーベイランス監査報告書、脆弱性管理スキャンログ |
重要: ISO 27001認証を確認する際は、証明書だけでなく、スコープ声明書を確認してください。本社管理のみをカバーする証明書は、エンジニアリングデリバリーパートナーのCPS 234を満たしません。Eastgateの認証スコープはすべてのエンジニアリングデリバリー環境を明示的にカバーしています。
第III部
ANZ調達チームはエンジニアリングパートナーと契約する前に何を要求すべきですか?
ベンダー評価時にこのチェックリストを使用してください。必須とマークされた項目は、CPS 230/234の下での重要なサードパーティ指定のための最低基準です。
認証
- ISO 27001証明書 - スコープが本社だけでなくエンジニアリングデリバリーをカバーしていることを確認
- ISO 9001証明書 - 品質管理システム監査カバレッジ
- SOC 2 Type II報告書または同等の評価(利用可能な場合)
- 証明書の有効期限とサーベイランス監査ステータスを確認
APRA CPS 230文書
- サードパーティリスク調査票の記入・署名
- 事業継続計画 - 重要デリバリー機能の最小4時間RTO
- 集中リスク評価 - ベンダーが許容できないシングルポイント依存を生じさせないことを確認
- サブ契約の開示 - 業務がさらにサブ契約されているか、誰に対してかを確認
APRA CPS 234文書
- 情報セキュリティポリシーとISMSスコープ声明書
- APRAアラインの通知タイムラインを含むインシデント対応計画
- 過去12ヶ月のペネトレーションテスト報告書
- データ主権声明書 - コード、データ、通信が保存・処理される場所
契約要件
- 監査権条項 - 事業者は合理的な通知期間でオンサイトセキュリティ監査を実施する権利を保持
- データ所有権 - IPとデータの所有権が規制対象事業者に有利に明示的に文書化
- インシデント通知義務 - 合意された期限内に通知する契約上の義務
- 契約終了時の移行支援 - ベンダーは契約終了時に秩序ある移行をサポートする必要あり
オペレーショナル評価
- 規制対象業界の現在・過去のクライアントからのリファレンスチェック
- キーパーソンリスク評価 - デリバリーリードへの依存とサクセッションの特定
- デリバリー実績 - 同等エンゲージメントのケーススタディとクライアントリファレンスを要求
- タイムゾーンとコミュニケーションの重複 - ANZチームの実用的なコラボレーション時間を確認
第IV部
APRA規制リスクを最も効果的に管理するエンゲージメントモデルはどれですか?
エンジニアリングエンゲージメントの構造は、CPS 230コンプライアンス義務の複雑さに直接影響します。以下はAPRA適合性の観点から評価した3つの一般的なモデルです。
固定スコープデリバリー
低オペレーショナルリスク定義されたデリバブル、固定価格、完了の明確な定義。
最適なケース:モダナイゼーションプロジェクト、インテグレーション、明確にスコープ化されたプラットフォーム業務
APRAに関する注記
APRA目的での最もクリーンなモデル - 契約がリソースではなく成果を特定します。BCP内での有界な依存関係として含めやすい。
組み込みエンジニアリングチーム
中程度のオペレーショナルリスクお客様のエンジニアリング組織に統合された専任チーム、マイルストーンベース請求。
最適なケース:継続的なプラットフォーム開発、規制対象システムのメンテナンス、長期的な能力構築
APRAに関する注記
CPS 230の下で重要なサードパーティとしての指定が必要。完全なコンプライアンスパック、四半期報告、年次監査が必要。デューデリジェンスは高度だが、より深い能力を提供。
時間・費用精算
最も高いオペレーショナルリスク時間単位で請求されるオープンエンドなリソース提供。
最適なケース:短期的なサージキャパシティのみ
APRAに関する注記
CPS 230の下で最も管理が困難。スコープクリープリスクと予算不確実性が規制対象事業者のリスク管理期待と矛盾します。非重要なタスクの有界なもののみに使用。
Eastgateメソドロジー
EastgateのACDC(エージェント中心の開発サイクル)はAPRA規制対象デリバリーにどのように適用されますか?
ACDC(エージェント中心の開発サイクル)はEastgateの内部AI活用エンジニアリングメソドロジーです。APRA規制対象デリバリーの文脈では、特定の懸念事項に対処します:AI支援開発は新しいリスクベクター(未レビューコード、文書化されていない変更、非決定論的アウトプット)を導入し、CPS 230/234の監査可能性要件と矛盾する可能性があります。
スペック駆動設計
コード生成が始まる前に、すべての要件が構造化されたOpenSpecにエンコードされます。要件から実装までの監査可能なトレイルを作成し、CPS 230の変更管理期待を直接満たします。
テスト駆動設計
AIがコードを生成する前にテストケースが定義されます。すべてのアウトプットは具体的で文書化されたアサーションに対して検証されます。CPS 234のコントロールテストが要求する自動化されたエビデンストレイルを提供します。
ヒューマンインザループ
シニアエンジニアがマージ前にすべてのAI生成アウトプットをレビューし承認します。未レビューのコードはデリバリーパイプラインに入りません。APRAの監督要件が求める人的説明責任を維持します。
規制上の示唆: ACDCメソドロジーは要件からデプロイされたコードまでの構造化された監査トレイル(OpenSpec文書、テストケース記録、レビュー承認、デプロイメントログ)を作成します。このエビデンスパッケージは、コンプライアンス文書パックの一部としてANZ規制対象事業者に提供可能です。
よくある質問
ANZ調達・リスクチームからよくある質問
サードパーティエンジニアリングベンダーに対するCPS 230とCPS 234の違いは何ですか?
APRA CPS 230はオフショアエンジニアリングチームに適用されますか?
エンジニアリングパートナーはAPRAのデューデリジェンスを満たすためにどのようなエビデンスを提供すべきですか?
EastgateのISO 27001認証はAPRA CPS 234コンプライアンスをどのようにサポートしますか?
APRA CPS 230要件と最も適合するエンゲージメントモデルはどれですか?
ホワイトペーパー全文を読む
詳細なフレームワーク、実装手法、実践的なインサイトを、ビジネスメールアドレスで今すぐご覧いただけます。
Eastgate Software について
Eastgate Software はベトナムのハノイに本社を置き、ドイツのアーヘン、日本の東京にオフィスを持つ戦略的エンジニアリングパートナーです。200 人以上のエンジニア、93% のチーム保有率、12 年以上の配信実績により、Siemens Mobility や Yunex Traffic を含むクライアント向けのミッションクリティカルシステムを構築しています。
当社の ACDC(エージェント中心の開発サイクル)方法論は、ドイツのエンジニアリング規律とベトナムのエンジニアリング才能を組み合わせ、インテリジェント交通、FinTech、小売、および製造業全体でエンタープライズグレードの成果を提供しています。
連絡先: [email protected] | (+84) 246.276.3566 | eastgate-software.com
APRAコンプライアンスレビューを始める準備はできていますか?
EastgateのAPRAコンプライアンス文書パック(ISO 27001証明書、インシデント対応計画、データ主権声明書、サードパーティリスク調査票回答)をリクエストしてください。
エンジニア
ACDC(エージェント中心の開発サイクル)
保有率
ベンダーではなくパートナー
年間
エンタープライズ配信