はじめに
自動化されたプルリクエストコンプライアンスレビューにより、コード変更がマージ前に規制要件を満たしていることを確認します。heygrc はGitHubアプリで、プルリクエストが開かれた瞬間にすべてをレビューし、コードを人間が書いたかAIエージェントが書いたかに関わらず、コントロールを危険にさらす変更をフラグ付けします。コンプライアンスチェックを開発ワークフローに直接統合することで、チームが早期に問題を発見し、後々の高額な監査の問題を回避するのに役立ちます。
heygrc とは
heygrc は、ISO 27001、SOC 2、GDPRなど、さまざまなフレームワークに対応する必要がある開発チーム向けのコンプライアンスレビューツールです。GitHubアプリとして動作し、各プルリクエスト(PR)が開かれた時点で自動的にレビューします。このプロダクトは、コード変更をスキャンしてコンプライアンスコントロールに違反する可能性のある変更を検出し、インラインコメントとチェックステータスを投稿します。このチェックステータスはマージ前に必須とすることもできます。このシフトレフトアプローチにより、コンプライアンス検証を監査室から日常のコードレビュープロセスに移行します。
このプロダクトはISMS Copilotによって構築され、現在76のフレームワークをサポートしています。Claude Code、Cursor、Copilot、CodexなどのAIコーディングアシスタントを使用するチームにとって特に有用です。これは、AIエージェントが大量のコードを迅速に生成できるためです。heygrc は、スピードがセキュリティやコンプライアンスのコントロールを上回らないようにします。SOC 2、ISO 27001、PCI DSS、HIPAAなどのコンプライアンス義務がある組織は、継続的な遵守を維持する上で価値を見出すでしょう。
heygrc の主な機能
リアルタイムPRコンプライアンスチェック
heygrc は、作成直後にすべてのプルリクエストをレビューします。監査ログの保持期間の短縮や暗号化設定の変更など、コントロールを弱める可能性のある差分をスキャンします。
広範なフレームワークカバレッジ
このプロダクトは76のコンプライアンスフレームワークをサポートしており、ISO 27001、SOC 2、SOC 1、GDPR、DORA、NIS 2、EU AI Act、PCI DSS、HIPAA、NIST CSFなどが含まれます。ユーザーは自社に適用されるフレームワークを選択します。
コントロール固有の引用
各指摘は、正確なコントロール条項(例:ISO 27001:2022 A.8.15、SOC 2 CC6.1)を引用します。これにより、曖昧な警告を排除し、開発者にコードを調整する明確な理由を提供します。
企業コンテキスト認識
heygrc は、汎用的なチェックリストではなく、ユーザーの業種、データタイプ、ホスティング地域に基づいてレビューを実施します。これにより誤検知が減り、各レビューが関連性の高いものになります。
AI生成コード向け設計
このツールは、AIが書いたコードを人間が書いたコードと同様に扱います。どのエージェントによって導入されたコンプライアンスリスクもフラグ付けするため、チームはコントロール障害を招くことなく、安全にAIアシスタントを採用できます。
GitHubチェックステータスによるマージゲート
heygrc は各PRにチェックステータスを投稿します。ブランチ保護ルールでこのチェックをパスすることを必須にすることができ、CIパイプライン内でコンプライアンスをハードゲートにします。
heygrc のユースケース
エンジニアリングワークフローにおけるコンプライアンスのシフトレフト
従来、監査準備のときだけコンプライアンスをレビューしていたチームが、heygrc を使ってプルリクエストの段階で問題を発見します。これにより、リリースサイクル後半での修正コストと労力を削減できます。
SOC 2 および ISO 27001 コンプライアンスのサポート
SOC 2 Type II や ISO 27001 の認証を取得中または維持している企業は、コード変更がコントロールに違反していないことを証明する必要があります。heygrc はこれらのフレームワークに対して自動的に検証し、チェックの証拠を提供します。
AIコーディングツールの安全な採用の実現
開発者が Claude Code、Cursor、Copilot、Codex を使用する場合、手動のコンプライアンスレビューでは追いつかない速度でコードが生成されます。heygrc は、AIが生成したすべての変更を出荷前にコンプライアンスリスクについてチェックすることで、そのギャップを埋めます。
heygrc の使い方
- GitHubアプリをインストール – heygrc をGitHubリポジトリに追加します。CI設定やYAMLファイルは不要です。
- フレームワークとコンテキストを設定 – 自社が準拠すべきコンプライアンスフレームワーク(例:SOC 2、ISO 27001)を選択し、業種やデータタイプなどの関連する企業コンテキストを提供します。通常、オンボーディングは2分未満で完了します。
- すべてのPRがレビューされる – 次のプルリクエストで、heygrc がインラインコメントとチェックステータスを含むレビューを投稿します。必要に応じて、ブランチ保護ルールでそのチェックをパスすることを必須にできます。
セットアップ全体は約2分で完了し、最初のPRレビューが自動的に開始されます。
heygrc のターゲットオーディエンス
- エンジニアリングチーム – GitHubを使用し、日々のコードレビュープロセスにコンプライアンスチェックを組み込みたいチーム
- コンプライアンス担当者・セキュリティマネージャー – コードマージ前に問題を発見することで監査リスクを低減したい担当者
- DevOps / プラットフォームエンジニア – CI/CDパイプラインを管理し、コンプライアンスゲートを追加したい担当者
- スタートアップ・スケールアップ – SOC 2 や ISO 27001 の認証を目指す企業
- エンタープライズ – 複数のフレームワーク(例:DORA、PCI DSS、HIPAA)に準拠する必要があり、多様なコードベースを持つ企業
- AIコーディングアシスタントを利用するチーム – 開発速度を落とさずにコンプライアンスの速度を維持したいチーム
heygrc は無料ですか?
| プラン | 価格 | 機能 |
|---|---|---|
| フリー | $0 | 請求期間ごとに一定数のプルリクエストレビュー(公開・プライベートリポジトリ両方に対応)。無料割り当てを超えた場合は従量課金制。 |
正確な数字と使用量のしきい値は、ローンチ時点で最終調整中です。公式の価格ページで詳細を提供する予定です。heygrc は現在アーリーアクセス中で、興味のあるチームはウェイトリストに参加できます。
heygrc の長所と短所
| 項目 | 長所 | 短所 |
|---|---|---|
| セットアップ | YAMLやCI設定不要で数分でインストール可能。 | 現時点ではGitHubのみ対応(他のプラットフォームは未発表)。 |
| フレームワークカバレッジ | SOC 2、ISO 27001など76以上のフレームワークをカバー。 | すべてのフレームワークでルールの深さが同じとは限らず、範囲にばらつきがある可能性。 |
| AIコード対応 | AI生成コードを人間のコードと同じようにレビュー。 | アーリーアクセス – 新しいAIパターン向けのルールはまだ成熟途上の可能性。 |
| コントロール引用 | 各指摘が特定の条項を参照し、修正が明確。 | 条項を解釈するにはコンプライアンスフレームワークにある程度の知識が必要。 |
| 価格 | 無料枠あり、初期コミットメント不要。 | 無料枠を超えると従量課金制、正確なコストは未公開。 |
| 連携 | GitHubチェックステータスとしてネイティブ統合、マージのゲートに利用可能。 | GitLab、Bitbucket、その他のGitホストとの直接連携はまだない。 |
heygrc に関するよくある質問
heygrc はどのフレームワークをカバーしていますか?
heygrc は現在76のフレームワークをサポートしており、ISO 27001、SOC 2、SOC 1、GDPR、DORA、NIS 2、EU AI Act、PCI DSS、HIPAA、NIST CSFなどが含まれます。ユーザーは自社に適用されるフレームワークのみを選択します。
無料枠はありますか?
はい。heygrc は一定数のプルリクエストレビューを無料で提供します。その後、従量課金制に移行します。公開・プライベートリポジトリとも同じ条件です。正確な数字はローンチ時点で最終調整中です。
heygrc はプルリクエストのマージをブロックしますか?
設定した場合のみブロックします。heygrc はGitHubチェックステータスを投稿します。ブランチ保護ルールでこのチェックをパスすることを必須にすることもできます。それ以外の場合は、フィードバックを提供するだけでブロックはしません。
heygrc は通常のバグボットやリンターとどう違いますか?
バグボットやリンターは、構文エラーやセキュリティ脆弱性などのソフトウェア欠陥を検出します。heygrc は、特定の規制フレームワークに対して測定されたコンプライアンス関連の変更を検出します。「このコード変更はまだコンプライアンス要件を満たしているか?」という質問に答え、「このコードは正しいか?」という質問には答えません。
heygrc はいつから使い始められますか?
heygrc はアーリーアクセス中です。製品ウェブサイトのウェイトリストに参加すると、チームがオンボーディングの際に連絡します。
heygrc はClaude CodeやCopilotなどのAIエージェントが書いたコードもレビューできますか?
はい。heygrc は、人間が書いたコードでもAIエージェントが書いたコードでも、すべてのプルリクエストをレビューします。これにより、高速なAI生成変更がコンプライアンスコントロールを追い越すことがないようにします。
heygrc タグ
heygrc, プルリクエストコンプライアンスレビュー, SOC 2 コンプライアンス, ISO 27001 コンプライアンス, 自動化コンプライアンスチェック, GitHub コンプライアンスチェック, AIコードレビューコンプライアンス, シフトレフトコンプライアンス, コンプライアンスアズコード, DORA コンプライアンス, NIST CSF, PCI DSS コンプライアンス, HIPAA コンプライアンス, CI/CD におけるコンプライアンス
