サイバーセキュリティ評価を手がけるFortreumは、AIネイティブなコンプライアンスプラットフォームを提供するKovr.AIを買収した。実務者主導の監査で強みを持つFortreumと、規制対応を自動化するKovr.AIの技術を統合することで、サイバーセキュリティコンプライアンスの新たなモデル構築を目指す。

近年、企業はFedRAMPやCMMC 2.0、NISTなど複数のフレームワークへの対応を迫られており、重複作業やツールの分断、長期化する対応プロセスが課題となっている。こうした状況を背景に、証拠管理の一元化や文書生成の自動化、監査対応までを一体化する仕組みへのニーズが高まっている。

今回の統合により、これまで分断されがちだった「準備」「評価」「継続的監視」といったコンプライアンスプロセスを単一のライフサイクルとして管理できるようになる。Kovr.AIのプラットフォームは、コントロール定義と証拠の再利用を軸に複数フレームワークを横断的に整理し、並行的なコンプライアンス対応を可能にする点が特徴だ。一方、Fortreumは独立評価機関として、生成された成果物が各規制要件を満たしているかを検証する役割を担う。

Kovr.AIの技術は、クラウド環境やセキュリティツールと連携し、コンプライアンスデータを継続的に収集・整理するAIネイティブ設計を採用している。これにより、コントロールマッピング、セキュリティ計画書の作成、証拠の集約、継続的モニタリングといった従来は手作業中心だった業務を自動化し、静的なテンプレートや定期更新への依存を低減する。

また、同プラットフォームの中核には、エージェント型AI「Artemis」が搭載されている。ユーザーは複数ツールを横断することなく、統合されたインターフェース上でコンプライアンス状況を動的に把握・分析できる。AIによる出力については、人間による検証プロセスを組み込むことで信頼性を担保している。

Fortreumは引き続き、実務者による判断を重視した評価モデルを維持する。規制産業では、データだけでなく評価者の専門的判断がコンプライアンスの信頼性を左右するため、AIによる自動化と独立した人間の検証を組み合わせたアプローチが重要とされる。

なお、Kovr.AIはすでに政府機関や防衛関連組織など高セキュリティ環境で導入実績を持ち、FedRAMP Moderate認証を取得している。これにより、厳格な規制要件に準拠した環境での活用が可能となっている。

今回の買収は、チェックリスト中心の従来型コンプライアンスから、継続的監視とデータ統合、自動化を基盤とする次世代型への移行を象徴するものだ。AIによる効率化と実務者による検証を組み合わせたハイブリッドモデルが、今後の主流となる可能性がある。

引用元記事：https://www.unite.ai/ja/fortreum-acquires-kovr-ai-to-redefine-ai-driven-cybersecurity-compliance/