Delve – 偽コンプライアンス・アズ・ア・サービス

 (deepdelver.substack.com)
1 ポイント 投稿者 GN⁺ 2026-03-21 | 1件のコメント | WhatsAppで共有
  • Delveプラットフォームが、実際のセキュリティ統制なしに**「準拠しているように見せるシステム」**として運用されていたことが暴露された
  • 内部調査と流出したスプレッドシートの分析の結果、監査報告書・テスト・結論がDelveによって自動生成され、インド拠点の認証機関がそれに形式的に署名していたことが明らかになった
  • 顧客企業は偽の証拠・虚偽の議事録・自動入力されたポリシー文書を採用し、SOC 2・ISO 27001・HIPAA・GDPR認証を取得したかのように表示されていた
  • DelveはAIベースの自動化を掲げているが、実際には手動入力とスクリーンショットのアップロード中心のフォームシステムであり、ほとんどの「統合」機能は動作していない
  • その結果、数百社の企業が虚偽のセキュリティ状態を外部に公表しており、HIPAA・GDPR違反および法的責任のリスクにさらされている

Delveの構造的問題と主要な暴露

  • DelveはSOC 2、ISO 27001、HIPAA、GDPRなどのコンプライアンス自動化プラットフォームとして宣伝されていたが、実際には監査独立性の原則に違反し、自ら監査結論を作成していた
    • 監査報告書のドラフトには、すでにDelveが作成した結論とテスト手順が含まれており、顧客は名前・署名・ダイアグラムだけを埋めればよかった
    • すべての報告書が同じ文構造と誤字を共有しており、575件のうち99%以上が同一テキストを含んでいた
  • 流出したGoogleスプレッドシートには数百社の顧客の監査報告書リンクが含まれており、個人署名・システムダイアグラムなどの機微情報が露出していた
    • DelveのCEOはこれを「AIが生成した虚偽のメール」だと主張したが、実際の文書は公開アーカイブで確認された

監査独立性違反と虚偽の監査体制

  • Delveは監査人の役割を直接担い、AICPA規定に違反していた
    • 監査結論が事前に作成されており、独立した検証が不可能な構造
    • インド拠点の認証機関Accorp, Gradient, BQC, Glocertなどが米国法人のペーパーカンパニーを通じて報告書に署名
    • 一部の報告書には誤った監査人ライセンス番号が含まれており、同一テンプレートの複製を示す状況が確認された
  • 監査担当者として表示されていたJayshree Duttaは米国CPAではなく、インド企業CyberTryZubおよびBQC所属であることが確認された

製品とプロセスの虚偽性

  • Delveの「AI自動化」は実際のAI機能がほとんどない手動フォームベースのシステムだった
    • ほとんどの「統合(integration)」は認証手順なしでスクリーンショットのアップロードだけを要求する
    • ポリシー・リスク評価・セキュリティシミュレーションなどは既定値が埋められたテンプレートで構成され、クリックだけで完了可能
  • PathwaysモジュールはDelveが自社開発したと主張していたが、オープンソースのSimStudioを無断使用していたことが確認された
  • 顧客は偽の議事録・セキュリティテスト結果・ポリシー文書を採用しなければならず、これを拒否すると大半の作業を手動で行う必要があった

虚偽報告書とTrust Pageの操作

  • DelveのTrust Pageは、実際には実装されていないセキュリティ統制を「完了」と表示していた
    • 322社のSOC 2顧客のうち321社が同一の51個の統制項目を使用
    • MDM、侵入検知、バックアップ、データ削除など存在しないセキュリティ対策が自動表示される
  • SOC 2 Type II報告書には**「セキュリティ・可用性・機密性・プライバシー」などすべての基準を満たしたと明記されていたが、実際のテストはセキュリティ項目1つだけ**だった
    • すべての報告書が「例外なし(No exceptions noted)」という文言で同じように締めくくられていた

規制および法的リスク

  • Delveの虚偽プロセスにより、顧客企業はGDPR・HIPAA違反状態に置かれている
    • HIPAA違反では刑事処罰、GDPR違反では全世界売上高の最大4%の制裁金の可能性
    • 医療・防衛関連データを処理する企業も含まれており、国家安全保障レベルのリスクを招いている
  • Delveの顧客は知らないうちに虚偽の認証報告書を外部に提出しており、契約上・評判上の責任を負う可能性がある

結論および提言

  • Delveは**「偽のコンプライアンス自動化」構造を産業化した事例**であり、顧客を法的リスクにさらしている
  • 既存顧客はDelveとのすべてのコミュニケーションを書面で記録し、監査生成・監査人独立性・データ流出範囲について明確に問い合わせるべきだ
  • Delveが主張する「AIベースの信頼プロセス」は形式的な文書生成システムにすぎず、実質的なセキュリティ検証機能はない
  • この事件はコンプライアンス自動化市場における信頼の崩壊を示しており、独立監査と実質的なセキュリティ統制の重要性をあらためて浮き彫りにした

関連記事

1件のコメント

 
GN⁺ 2026-03-21
Hacker Newsの反応

  • 多くのスタートアップは少人数チームで素早く動くという特性がある
    良い製品を作ると大企業が導入を望むが、認証手続きが必要になる
    チェックリストは有用だが、過度にヨーロッパ式の官僚主義に寄せられている
    「7人しかいない会社のリスクレジスターはどこですか?」のような質問を受け、本業ではなく書類仕事に追われることになる
    実際には誰も読まない文書を作り、存在しないプロセスをでっち上げ、俊敏な会社を巨大企業の言葉へ翻訳するような状況になる
    小規模チームに合った実用的で比例的な標準が必要だ

    • 完全に同意する。だが大企業がこうした標準をより賢く適用すれば、むしろ競争優位を得られるのではないかとも思う
      私の会社は Fortune 500 だが、調達プロセスがあまりに複雑で SaaS を導入しにくい
      一方で競合はより柔軟なプロセスで良いベンダーを素早く確保している。こうした差が最終的には競争力につながる
    • 私はCIS Controls v8.1が現実的で、実際にセキュリティの役に立つと感じている
      Level 1 は基本として良く、Level 2 はビジネスリスクに応じて選択的に適用できる
      CIS Benchmarksも見る価値がある。クラウド、SaaS、OS セキュリティのためのベストプラクティス集だ
    • チームの準備ができていないなら、デューデリジェンスを無理やり通過しようとすべきではない
    • ビジネスの目的は結局のところ利益の創出
      この「企業演劇(corporate theater)」が収益につながるなら、それもビジネスの一部だ
      顧客が求める形で製品を提供できなければ、結局は市場から淘汰される
    • こうした複雑な認証手続きは、一部の勢力が顧客へのアクセスを支配するために設計した仕組みだと思う
      チェックリストを支配する人たちが利益を得る構造だ

  • コンプライアンスは近道を探さず、きちんと時間をかければそれほど難しくない
    AWS は本当の意味での**CaaS(Compliance as a Service)**提供者だと思う
    AWS Artifactを通じて、顧客が複雑な認証プロセスを簡単に通過できるよう支援している
    もちろんソフトウェアやポリシーは依然として利用者の責任だが、物理セキュリティ、ハードウェア管理、災害復旧などは事実上「無料で」提供される

    • こうした恩恵は AWS だけでなく主要なクラウド事業者すべてに当てはまる
      ただし Hetzner のようなシンプルなインフラ提供者と比べると、コストプレミアムはかなり大きい

  • 20代前半の起業家たちがコンプライアンス監査の問題を情熱的に解決しようとする可能性がどれほどあるのか気になる
    あまりに退屈な分野なので、興味を持ちにくいと思う。あるいは単に機会があるから飛び込むのだろうか?

    • 退屈な問題を解くことこそ、むしろスタートアップの王道
      平凡に見える問題ほど金になる、という話もある
      Joel Spolsky の記事 “Where there’s muck, there’s brass”のようなものだ
    • 私は規制業界向けのカスタムソフトウェアを作る会社で働いている
      20代の優秀なエンジニアたちがCompliance Management System のモニタリングを開発中だ
      AI を活用して長年のビジネス課題を解決している。米国東部では銀行、電力、ヘルスケアなどで大きな市場がある
    • 情熱というより、お金を稼ぎたい欲求の強い20代が多いのだと思う
    • 私もこの業界にいるが、ドメイン自体は本当に乾いていて面白くない
      幸い、技術的な部分は興味深い
      顧客の立場ではコンプライアンスがあまりにも苦痛なので、少しでも自動化されれば大きな価値がある
    • これは一種の新しいコンサルティングモデルのように見える
      頭の良い20代を集めて「業界を変革する」と称して投資を受ける構図だ
      McKinsey のコンサルタントが仕事そのものよりもブランドネームで影響力を得るのと似ている
      YC もそういう役割を果たしているように思う

  • たとえこの記事が競合の攻撃だとしても、示された証拠は非常に強力
    もし虚偽なら名誉毀損の損害額は数千万ドルに達するはずだ
    こうした暴露を引き受けた勇気に敬意を表する

  • 筆者とそのネットワークが、自分たちの認証が無効だと判明した後になって初めて問題提起しているのが興味深い
    今になって自分たちを「Delve を告発した正義の人々」であるかのように見せている

  • 私はこの過程を直接経験した
    認証機関が検証もせず金だけ受け取って証明書を発行したことこそ根本的な失敗だと思う
    Delve のような仲介業者は、その失敗を増幅させた存在にすぎない
    業界関係者なら、これが単なる**セキュリティ演劇(security theater)**であることを皆知っていた

  • 記事の深さには感心した
    私たちも最近 Drata を検討していたが、最初はかなり良さそうに見えた
    だがこういう事件が起きるたびに、まだ明るみに出ていない詐欺がどれだけ多いのか気になってくる

  • テストの唯一の目的は失敗を見つけること
    皆がただ追随している空気の中で、こうした問題を公に指摘するのは新鮮だ

  • この記事を LinkedIn で見たが、本当に興味深かった
    これだけ深く掘り下げた記事なら、今ごろ HN の上位に来ていていいはずだと思う

    • おそらく意図的に露出が抑えられているのだろう
      ここが Y Combinator のサイトだと考えればあり得る
      私の知る何社かは Delve を通じて5日で SOC 2 Type 2 レポートを受け取ったという
      「SOC 2 in days」というマーケティング文句もそのまま使っている。信じがたい

  • コンプライアンスは誰も望まないが、誰もが必要とするものだ
    結局は責任転嫁のためのサービスと見なされている
    規制当局に問われたら Delve のような会社の証明書を見せて終わり、という構図だ

    • 私はそんな場所では働きたくない
      SaaS 提供者は顧客データを守る責任感を持つべきだ
      コンプライアンスフレームワークは、その努力を助けるための道具だ
      ギャップを見つけ、リスクを把握し、改善を進め、パートナーに自分たちの水準を説明するための手段だ
      Medium の記事で描かれている行為は単なる詐欺
      私は創業者として、顧客に最高水準の信頼を提供したい
    • 誰も税金を払ったり洗濯したりしたくはないが、やらなければならないこと
      コンプライアンスも同じだ
    • 私がサイバーセキュリティ業界にいたときも似たようなものだった
      大半はセキュリティ向上よりも保険要件を満たすために私たちを雇っていた
      結局は責任を転嫁しようとする構造だった
    • B2B 業界を知らない発言のように思える
      実際、多くの創業者は「私たちはあなたの製品を買いたいが、認証がないので買えない」と何度も言われる
      だから朝起きると「今日は XYZ-123 認証を取らなければ」と考える
      コンプライアンスは責任の押し付けではなく、顧客に信頼を証明するための最低条件
      価値のあるゲームにはどれも**参加料(table stakes)**がある
    • 誰も自発的にコンプライアンスをやりたがらないが、
      法的・道徳的義務を負う会社を立ち上げたなら、それは自分で引き受けるべき責任
      それを他社に押し付けるのは無責任な行動だ