理想的な世界では、企業は利用する第三者のベンダーのセキュリティとコンプライアンスを検証するでしょう。販売は、これらのレビューが完了するまで行われません。しかし、セキュリティのレビューには大きな時間や労力の投資が必要です。
ベンダーを検証する主な手段であるアンケートには、プライバシーポリシーから物理的なデータセンターのセキュリティまで、何百もの質問が含まれています。そして、ベンダーが回答を完成させるのには数日から数週間かかることがあります。
プロセスを効率化しようと試みる中、Chas Ballew氏はConveyorを設立しました。Conveyorは、OpenAIのChatGPTのような大規模言語モデル(LLM)を使用して、元のアンケート形式のセキュリティ質問に対する回答を生成するプラットフォームを構築するスタートアップです。
Conveyorは、Cervin VenturesをリードとするシリーズAの資金調達ラウンドで1250万ドルを調達し、これにより総資金調達額は1900万ドルになりました。調達資金は、Conveyorの営業およびマーケティング活動の拡大、研究開発、15人の従業員に投入される予定です。
「セキュリティのレビューはまだ旧式なプロセスです」とBallew氏はTechCrunchのインタビューで語りました。「ほとんどの企業はこれらの質問に回答するために手作業を行っており、過去の回答をスプレッドシートや提案依頼にマッチさせる初代のSaaS製品も存在します。それらは依然として多くの手作業を必要とします。Conveyorはセキュリティレビューの応答プロセスを自動化します。」
Ballew氏は2回目の創業者であり、2013年にセキュリティコンプライアンスを自動化するプラットフォームであるAptibleを共同設立しました。Conveyorは当初、Aptible内で実験的な製品として始まりました。しかし、Ballew氏はConveyorを独自のビジネスに育てる機会があると見て、2021年に取り組み始めました。
Conveyorは2つの補完的な製品を提供しています。1つ目はセルフサービスポータルであり、企業はセキュリティドキュメントやコンプライアンスFAQを販売見込み客やクライアントと共有できます。2つ目は質問応答AIであり、OpenAIやその他のLLMからの機能があり、セキュリティのアンケートの構造(スプレッドシートやオンラインポータルのアンケートを含む)を理解し、自動的に回答します。
Conveyorは、ベンダー固有の知識データベースを活用して、セキュリティの質問応答に「人間のような」回答を提供します。「従業員はデータ保護とセキュリティの強制的なトレーニングを受けますか?」や「顧客データはどこに保存され、どのように分離されていますか?」など、自然言語の質問の質問票に対する回答を提供します。顧客は質問票をアップロードし、完成したバージョンを元のファイル形式でエクスポートすることができます。オプションで、顧客のエンゲージメントデータをSalesforceと同期させることもできます。
「たとえば、顧客が『バグ報奨プログラムを持っていますか?』と尋ねた場合、企業は持っていないかもしれませんが、定期的な侵入テストやコードレビューなどのセキュリティテストを実施することがあります。その場合、良い回答は『いいえ、しかし、定期的な侵入テストやコードレビューなどを実施しています』となります」とBallew氏は述べています。「それはAIで簡単に再現できるものではありませんが、Conveyorのソフトウェアは優れています。」
Conveyorは、LLMを利用してセキュリティレビューを自動化しようとするいくつかの企業の一つです。
別の企業であるVendictは、内部および第三者のLLMを組み合わせて、企業の代わりにセキュリティの質問票を記入します。サイバーセキュリティベンダーのPurilockもChatGPTを使用して質問票に回答する実験を行っています。また、最近、セキュリティの質問応答を生成するツールであるKaiをリリースしたScrutや、Y Combinatorの支援を受けたInventiveなども存在します。
この記者は、Conveyorを含む新しいAIによる回答マシンがセキュリティレビューの趣旨に違反していないか疑問に思います(少なくとも理論上は)。セキュリティの質問票をConveyorが作成したり、ChatGPTが作成したカバーレターのように、適切なポイントを押さえ、必要な全ての要点に触れることができるのでしょうか?それが可能でしょうか?
Conveyorがセキュリティの質問に対して自信を持てない場合、Ballew氏によれば、回答は人間のレビューのためにフラグが立てられます。ただし、Conveyorのプラットフォームが高信頼度の回答と低信頼度の回答をどのように区別するのかははっきりしていません。Ballew氏は詳細には触れませんでした。
Ballew氏は、Conveyorを利用して20000枚以上のセキュリティ質問票を記入した100以上の企業の成長をもとに、この技術が期待に応えていることを証明しようとしました。
「私たちが他の誰とは異なるのは、AIの精度と品質です」とBallew氏は述べています。「より正確な出力は、修正と編集にかかる時間を減らします…私たちは、精度を向上させ、エラーを排除するためのガードレールと品質保証を備えたモジュラーシステムを構築しました。」
Ballew氏は、ベンダーを評価することが「今日スマートフォンで食料品をチェックアウトするのと同じくらい簡単になる」との展望を描いています。しかし、私は(今日のLLMを考えると)そうは思いません。ただし、セキュリティの質問票は、範囲と内容が狭いため、LLMの傾向の最悪を和らげる可能性があるかもしれません。それが実際にどうかを見守る必要があります。
元記事はこちら