理想的な世界では、企業は利用するすべてのサードパーティベンダーのセキュリティとコンプライアンスを徹底的に検証するでしょう。そして、これらのレビューが完了するまでは、販売は成立しません。問題は、セキュリティレビューには膨大な時間と労力がかかることです。
企業がベンダーを審査する主な方法であるアンケートには、プライバシーポリシーから物理的なデータセンターのセキュリティまで、数百もの質問が含まれています。ベンダーが回答するまでには数日から数週間かかることもあります。
このプロセスを効率化しようと、Chas Ballew 氏は Conveyor を設立しました。同社は、OpenAI の ChatGPT に似た大規模言語モデル (LLM) を使用して、元のアンケート形式でセキュリティの質問に対する回答を生成するプラットフォームを構築するスタートアップ企業です。
Conveyorは本日、Cervin VenturesがリードするシリーズA資金調達ラウンドで1,250万ドルを調達し、累計調達額が1,900万ドルに達したと発表しました。Balew氏によると、調達資金はConveyorの営業・マーケティング活動、研究開発、そして15名の従業員の拡大に充てられる予定です。
「セキュリティレビューは依然として大部分が旧式のプロセスです」と、Ballew氏はTechCrunchのメールインタビューで語った。「ほとんどの企業は依然としてこれらの質問に手作業で回答しており、以前の回答をスプレッドシートや提案依頼書と照合するだけのSaaS(サービスとしてのソフトウェア)製品も存在します。これらは依然として多くの手作業を必要とします。Conveyorは…セキュリティレビューへの対応プロセスを自動化します。」
Ballew氏は2度目の創業者であり、2013年にはセキュリティコンプライアンスを自動化するPaaS(Platform as a Service)であるAptibleを共同で立ち上げました。ConveyorはAptible社内の実験的な製品としてスタートしましたが、Ballew氏はConveyorを自社事業として構築する機会を見出し、2021年にその取り組みを開始しました。
Conveyorは2つの補完的な製品を提供しています。1つ目は、企業がセキュリティに関する文書やコンプライアンスに関するFAQを見込み客や顧客と共有できるセルフサービスポータルです。2つ目は、OpenAIなどのLLM(法務・法務・法務・法務)を活用した質問応答AIで、スプレッドシートやオンラインポータル内のセキュリティアンケートを含むアンケートの構造を理解し、自動で回答します。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Conveyor は、ベンダー固有の知識データベースを活用し、「従業員はデータ保護とセキュリティに関する必須のトレーニングを受けていますか?」や「顧客データはどこに保存され、どのように分離されていますか?」といったアンケートの自然言語の質問に対して「人間のような」回答を提供します。顧客はアンケートをアップロードし、完成版を元のファイル形式でエクスポートして、オプションで顧客エンゲージメントデータを Salesforce と同期することができます。
「例えば、顧客から『バグ報奨金プログラムはありますか?』と尋ねられ、会社側がバグ報奨金プログラムを実施していないものの、他の種類のセキュリティテストを実施している場合、『いいえ、ただし、定期的に侵入テストやコードレビューなどを実施しています』と答えるのが適切でしょう」とバリュー氏は述べた。「これはAIで再現するのは非常に難しいですが、Conveyorのソフトウェアはまさにその点で優れています。」
Conveyor は、LLM を使用してセキュリティ レビューを自動化しようとしている数社のうちの 1 社です。
もう一つの企業はVendictで、社内およびサードパーティのLLMを組み合わせて、企業に代わってセキュリティアンケートに回答しています。サイバーセキュリティベンダーのPlurilockは、ChatGPTを使用してアンケートに回答する実験を行いました。その他にも、セキュリティアンケートの回答を生成するツールKaiを最近リリースしたScrutや、Y Combinatorが支援するInventiveなどがあります。
本記者は、ConveyorをはじめとするAI搭載の留守番電話機の最新動向が、セキュリティレビューの趣旨に反するのではないかと懸念している。セキュリティレビューは(少なくとも理論上は)ベンダーのIT部門およびセキュリティ部門の従業員から回答を得ることを目的としたものである。Conveyorが記入するセキュリティアンケートは、ChatGPTが作成したカバーレターのように、適切な回答を導き出し、必要なポイントをすべて網羅できるのだろうか?果たして本当にそうなのだろうか?
Ballew氏は、Conveyorは手抜きをしているわけではないと主張する。むしろ、ベンダーのセキュリティに関する様々なデータポイント(関係者から提供されたデータポイント)を、簡潔な文章で補足し、アンケートに回答しやすい形式に再構成しているのだと彼は言う。
「見込み客は皆、同じような質問をしますが、その形式や言い回しは少しずつ異なります」とバリュー氏は言う。「こうしたレビューは、手作業による骨の折れる作業なのです。」
しかし、セキュリティレビューに関わるリスクを考えると、LLMは人間よりも確実にこれらのアンケートに回答できるのでしょうか? 最高のパフォーマンスを誇るLLMでさえ、軌道から外れたり、予期せぬ形で失敗したりする可能性があることは周知の事実です。例えば、ChatGPTは記事の要約に頻繁に失敗し、重要なポイントを見落としたり、記事にはない内容を完全に捏造したりすることがあります。
Conveyor はベンダーにとって無関係な質問をどのように処理するのでしょうか。人間のように読み飛ばしてしまうのでしょうか、それとも間違った回答をしてしまうのでしょうか?規制に関する専門用語を多く含む質問の場合はどうでしょうか?Conveyor はそれらの質問を理解するのでしょうか、それとも誤った回答になってしまうのでしょうか?
Conveyorは、セキュリティ質問への回答に自信がない場合、その回答を人間による確認のためにフラグ付けするとBallew氏は述べた。しかし、Conveyorのプラットフォームがどのようにして信頼性の高い回答と信頼性の低い回答を区別しているのかは明確ではなく、Ballew氏は詳細には触れなかった。
Ballew 氏は、Conveyor の顧客基盤が拡大していること (100 社以上が Conveyor を使用して 20,000 件を超えるセキュリティ アンケートに回答している) は、この技術が期待どおりの成果を上げていることの証左であると主張した。
「他社との差別化要因は、AIの精度と品質です」とバリュー氏は述べた。「出力の精度が向上すれば、修正や編集にかかる時間が短縮されます。…私たちは、精度を向上させ、エラーを排除するために、ガードレールと品質保証機能を備えたモジュール式の技術システムを構築しました。」
Ballew氏は、ベンダーの評価が「レジでスマートフォンをタップして食料品の支払いをするのと同じくらい簡単」になる未来を思い描いている。彼の言葉を借りれば。私自身は、今のLLM(法学修士)ではそうは思えない。しかし、もしかしたら、セキュリティに関するアンケートの範囲と内容はLLMの最悪の傾向を緩和するのに十分なほど限定的かもしれない。それが現実になるかどうかは、今後の動向を見守る必要がある。
