世界を動かす技術を、日本語で。

Delve – フェイクコンプライアンス・アズ・ア・サービス

概要

  • Delve はコンプライアンス自動化を謳うSaaS企業。
  • 実態は「偽装コンプライアンス」で、証拠や監査報告書が 捏造 されている。
  • 顧客やパートナー企業が 重大な法的リスク に晒されている。
  • 主要経営陣が 意図的な不正行為 に関与。
  • SOC 2やISO 27001などの 認証プロセスの形骸化 が問題の核心。

Delve:偽装コンプライアンスの実態

  • Delve は、SOC 2やISO 27001、HIPAA、GDPRなどの認証取得支援を行うGRC自動化プラットフォーム。
  • 実際は、AIや自動化をほとんど使わず、 テンプレート化された書類 を顧客に「採用」させるだけの仕組み。
  • 監査証拠や取締役会議資料、テスト記録などを 捏造 し、実際には実施されていないプロセスを証明書として発行。
  • SOC 2やISO 27001監査に必要な 独立性要件 を無視し、Delve自身が監査人役を担い、形だけの監査報告書を発行。
  • 米国拠点を装う インドの認証業者(Accorp、Gradientなど)を利用。外部からはUSベースに見せかけるが、実態は空箱法人や郵便代理店経由。
  • 一部大手顧客(NASDAQ上場企業など)には本物のUS監査法人(Prescient、Aprio)を使うが、ほとんどの顧客はインド系認証業者経由。

被害範囲と関係者

  • 影響を受けた企業は Incorta、Wisperflow、Bland、Sully、Slash、Hockeystack、Lovable、Duos Edge AI、Knowtex、Cluely、Browser Use など多数。
    • これら企業のパートナーや顧客も、 誤ったコンプライアンス報告 に基づきリスクを共有。
  • Delveの経営陣( Karun Kaushik、Selin Kocalar、Charles Nwatu、Taher Lokhandwala、Isaiah de la Fuente、Varun Gurnaney)は、不正行為を 認識しつつ主導
  • 外部認証機関:Accorp、Glocert、DKPC、Accorian、Gradient Certification、Prudence Advisors、BQC Assessmentなど。

問題の発覚と対応

  • 2026年1月、Delveの 監査レポートや顧客情報がGoogleスプレッドシート経由で流出
  • 顧客に対しては「全て事実無根」と否定し、 説明責任を回避
  • 問題を指摘されると「新しい監査法人に切り替えた」「AI機能がもうすぐ追加される」など、 先送りとごまかし で対応。
  • 離脱希望者には外部vCISOを紹介し、実質的なコンプライアンス作業を 顧客の手作業に丸投げ

コンプライアンスと法的リスク

  • Delveのプラットフォームで「取得」したSOC 2やISO 27001証明書は 実質的に無効
  • HIPAA(米国医療情報保護法)やGDPR(EU一般データ保護規則)違反のリスクが極めて高い。
    • HIPAA違反: 刑事罰や懲役 の可能性。
    • GDPR違反: 全世界売上高の4%または2,000万ユーロの罰金
  • 顧客企業は 規制当局・取引先・社会的信用の喪失 リスクを負う。

Delveの営業・サポート手法

  • 問題を指摘すると「競合他社の中傷だ」と主張し、 実質的な説明を避ける
  • 電話での対応を強要し、 有名顧客名や将来の改善を連呼 して安心感を演出。
  • 直接的な証拠や質問には 一切書面で答えず、口頭でごまかす
  • 顧客が強く不満を示すと、 ドーナツなどの贈り物 で機嫌を取る事例も。

SOC 2/ISO 27001認証の基本とDelveの問題点

  • SOC 2認証: 米CPA(公認会計士)による独立監査 が必須。証拠の提出・検証・報告が必要。
  • ISO 27001: 欧州で主流の情報セキュリティ認証。やはり独立した第三者認証が前提。
  • Delveは 監査人の独立性を無視 し、自社で監査・証明書発行を完結。
  • 顧客は「自動化」「AI活用」と信じているが、 実態はテンプレートの流用と証拠の捏造

今後の対応・アドバイス

  • Delveに関する疑問や証拠の要求は 必ず書面で行う こと。
  • 電話や口頭説明は 避ける。証拠の残るやりとりを徹底。
  • Delveの「改善」「新機能」などの 先送り発言には注意
  • コンプライアンス証明の 実効性・監査人の独立性 を必ず確認。

まとめ

  • Delveは コンプライアンス自動化の名を借りた偽装サービス を展開。
  • 顧客企業やそのパートナーが 重大な法的・規制リスク を負う構造。
  • 本物の認証取得・法令順守には 独立した第三者監査と実態の伴う運用 が不可欠。

参考資料・リーク情報

  • リークされたスプレッドシート: https://archive.ph/6ZSzX
  • リークされた監査レポート: https://mega.nz/folder/3ZNi3DqZ#ZH-M2Au1zErISCPD5Hgegg
  • 記事全文アーカイブ: https://archive.is/HokPb, https://archive.ph/YTsgc, https://web.archive.org/web/20260319020740/https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service

関連プレイヤー(CompAI等)について

  • 他にも CompAI など、同様の問題を抱える競合サービスが存在。
  • 今後、 業界全体での監査・認証の信頼性 が問われる可能性。

注意事項

  • 本記事の内容は 2026年1月時点 の情報に基づく。
  • すべての事実は 公開情報やDelveプラットフォームへのアクセス で検証可能。
  • コンプライアンスの信頼性確保には 独立性・透明性・実質的な運用 が不可欠。

Hackerたちの意見

Forbesの30u30パイプラインは無敵だね。どうしてこれがデューデリジェンスの時に出てこなかったんだろう?まるで「良すぎて信じられない」って感じだ。

信じて、YCを通ってトップ大学を中退すれば、嘘をついてもバレないよ。これを指摘したらGarry TanにXでブロックされた。大きなクラブがあって、君はその中にいない!でも、古き良きYCの精神がHNではまだ生きてるみたいだね。

最初からそうだったの?最初にちゃんとやっておけば、後でこの詐欺プロセスに移行する必要もなかったのに。

どうしてこれがデューデリジェンスの時に出てこなかったんだろう?記事にはこう書いてあるよ。「私たちは、これらのポリシーをレビューのために送る相手に対して、技術的にはセキュリティについて嘘をつくことになると知っていたけれど…手動で全部書き直す余裕がなかったので、これらのポリシーを採用することに決めました。」

次はこれだよ… https://x.com/HotAisle/status/2035024494663016532

不誠実さはVCにとって高いシグナルだよね。誰もそんな風には言わないけど、大学の友達を雇って自分の従業員のふりをさせる話をするビジネスなんだ。クライアントがあなたの「オフィス」に来て、あなたが正当なビジネスだと思わせるためにね。そして、ビジネスを得るためにそんなに軽々しく嘘をつくことに恐怖を感じる代わりに、むしろそれが粘り強くて whimsical に見えるんだ。

すごく興味深い記事だったけど、LinkedIn経由でこのリンクを見つけたよ。この記事が深く掘り下げてるし、証拠も信頼できるから、今頃はトップにあってもおかしくないと思ってた。

これ、(意図的に?)ホームページから抑えられてるかもしれないね。YCombinatorのサイトだから、そういうこともあり得る。いずれにしても、これはずっと問題になってる。関わってる会社を何社か知ってるけど、Delveを通してSOC 2タイプ2レポートを取得するのに基本的に5日かかるんだ。もちろん、彼らはこういう風にマーケティングしてるしね:「数日でSOC 2」。信じられないよ。

彼らとの営業電話を思い出すけど、雰囲気は「安くて早い」って感じだったよ…コンプライアンスにとってはまさに理想的だね。

Delveはレポートをうまく偽造することすらしなかった。AIツールを使って、ある程度信じられる経営者の主張を書けたはずなのに、ただ明らかなフォーム提出をそのままレポートに入れただけ。Cluelyの例を見てみて:> 「Cluely, Inc.のシステムに関する説明を用意しました。タイトルは『Cluelyはリアルタイムで必要な答えを提供するデスクトップAIアシスタントです。』2025年6月27日から2025年9月27日までの期間に基づいて、説明基準DCセクション200 2018のサービス組織のシステムに関する説明基準に従って。」> 「この説明は、Cluely, Inc.のシステムとのやり取りから生じるリスクを評価する際に役立つ情報をユーザーに提供することを目的としています。特に、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する基準を満たすためのCluely, Inc.のコントロールの設計と運用の有効性についての情報です。」この文をもう一度読んでみて:> 「この説明は、Cluelyはリアルタイムで必要な答えを提供するデスクトップAIアシスタントです。」に関する情報をユーザーに提供することを目的としています。全く意味がわからないよ。誰かがこのレポートを自動化するコードを実装したけど、LLMでスムーズにすることすら考えなかったんだ!ここには明らかな意図があった。監査人がこれを一貫した作品としてレビューして承認したなんて信じられないよ。

このプロセスを経験したことがあるけど、これってお金を取って認証を配ってる機関の失敗じゃない?デリヴみたいな仲介業者がこの失敗をさらに大きくしてる。業界に関わってる人なら誰でも分かるけど、これはただのセキュリティ・シアターで、実際には何も裏付けがないんだよね。

この投稿の深さが好きだな。最近、うちもこれを見てたところ(Drataを使ってる)。「お、これが次のステップになるのか」と思ったよ。主張はそんなに突飛な感じじゃなかったし。こういう問題が出るたびに、他にどれだけの未発見の詐欺があるのか考えちゃう。

Hacker Newsで議論の続きを見る