Delve – フェイクコンプライアンス・アズ・ア・サービス

46日前原文(deepdelver.substack.com)

概要

Delveはコンプライアンス自動化を謳うSaaS企業。
実態は「偽装コンプライアンス」で、証拠や監査報告書が捏造されている。
顧客やパートナー企業が重大な法的リスクに晒されている。
主要経営陣が意図的な不正行為に関与。
SOC 2やISO 27001などの認証プロセスの形骸化が問題の核心。

Delve：偽装コンプライアンスの実態

Delveは、SOC 2やISO 27001、HIPAA、GDPRなどの認証取得支援を行うGRC自動化プラットフォーム。
実際は、AIや自動化をほとんど使わず、テンプレート化された書類を顧客に「採用」させるだけの仕組み。
監査証拠や取締役会議資料、テスト記録などを捏造し、実際には実施されていないプロセスを証明書として発行。
SOC 2やISO 27001監査に必要な独立性要件を無視し、Delve自身が監査人役を担い、形だけの監査報告書を発行。
米国拠点を装うインドの認証業者（Accorp、Gradientなど）を利用。外部からはUSベースに見せかけるが、実態は空箱法人や郵便代理店経由。
一部大手顧客（NASDAQ上場企業など）には本物のUS監査法人（Prescient、Aprio）を使うが、ほとんどの顧客はインド系認証業者経由。

被害範囲と関係者

影響を受けた企業はIncorta、Wisperflow、Bland、Sully、Slash、Hockeystack、Lovable、Duos Edge AI、Knowtex、Cluely、Browser Useなど多数。
- これら企業のパートナーや顧客も、誤ったコンプライアンス報告に基づきリスクを共有。
Delveの経営陣（Karun Kaushik、Selin Kocalar、Charles Nwatu、Taher Lokhandwala、Isaiah de la Fuente、Varun Gurnaney）は、不正行為を認識しつつ主導。
外部認証機関：Accorp、Glocert、DKPC、Accorian、Gradient Certification、Prudence Advisors、BQC Assessmentなど。

問題の発覚と対応

2026年1月、Delveの監査レポートや顧客情報がGoogleスプレッドシート経由で流出。
顧客に対しては「全て事実無根」と否定し、説明責任を回避。
問題を指摘されると「新しい監査法人に切り替えた」「AI機能がもうすぐ追加される」など、先送りとごまかしで対応。
離脱希望者には外部vCISOを紹介し、実質的なコンプライアンス作業を顧客の手作業に丸投げ。

コンプライアンスと法的リスク

Delveのプラットフォームで「取得」したSOC 2やISO 27001証明書は実質的に無効。
HIPAA（米国医療情報保護法）やGDPR（EU一般データ保護規則）違反のリスクが極めて高い。
- HIPAA違反：刑事罰や懲役の可能性。
- GDPR違反：全世界売上高の4%または2,000万ユーロの罰金。
顧客企業は規制当局・取引先・社会的信用の喪失リスクを負う。

Delveの営業・サポート手法

問題を指摘すると「競合他社の中傷だ」と主張し、実質的な説明を避ける。
電話での対応を強要し、有名顧客名や将来の改善を連呼して安心感を演出。
直接的な証拠や質問には一切書面で答えず、口頭でごまかす。
顧客が強く不満を示すと、ドーナツなどの贈り物で機嫌を取る事例も。

SOC 2／ISO 27001認証の基本とDelveの問題点

SOC 2認証：米CPA（公認会計士）による独立監査が必須。証拠の提出・検証・報告が必要。
ISO 27001：欧州で主流の情報セキュリティ認証。やはり独立した第三者認証が前提。
Delveは監査人の独立性を無視し、自社で監査・証明書発行を完結。
顧客は「自動化」「AI活用」と信じているが、実態はテンプレートの流用と証拠の捏造。

今後の対応・アドバイス

Delveに関する疑問や証拠の要求は必ず書面で行うこと。
電話や口頭説明は避ける。証拠の残るやりとりを徹底。
Delveの「改善」「新機能」などの先送り発言には注意。
コンプライアンス証明の実効性・監査人の独立性を必ず確認。

まとめ

Delveはコンプライアンス自動化の名を借りた偽装サービスを展開。
顧客企業やそのパートナーが重大な法的・規制リスクを負う構造。
本物の認証取得・法令順守には独立した第三者監査と実態の伴う運用が不可欠。

参考資料・リーク情報

リークされたスプレッドシート: https://archive.ph/6ZSzX
リークされた監査レポート: https://mega.nz/folder/3ZNi3DqZ#ZH-M2Au1zErISCPD5Hgegg
記事全文アーカイブ: https://archive.is/HokPb, https://archive.ph/YTsgc, https://web.archive.org/web/20260319020740/https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service

注意事項

本記事の内容は2026年1月時点の情報に基づく。
すべての事実は公開情報やDelveプラットフォームへのアクセスで検証可能。
コンプライアンスの信頼性確保には独立性・透明性・実質的な運用が不可欠。

Hackerたちの意見

Forbesの30u30パイプラインは無敵だね。どうしてこれがデューデリジェンスの時に出てこなかったんだろう？まるで「良すぎて信じられない」って感じだ。

└

信じて、YCを通ってトップ大学を中退すれば、嘘をついてもバレないよ。これを指摘したらGarry TanにXでブロックされた。大きなクラブがあって、君はその中にいない！でも、古き良きYCの精神がHNではまだ生きてるみたいだね。

└

最初からそうだったの？最初にちゃんとやっておけば、後でこの詐欺プロセスに移行する必要もなかったのに。

└

> どうしてこれがデューデリジェンスの時に出てこなかったんだろう？記事にはこう書いてあるよ。「私たちは、これらのポリシーをレビューのために送る相手に対して、技術的にはセキュリティについて嘘をつくことになると知っていたけれど…手動で全部書き直す余裕がなかったので、これらのポリシーを採用することに決めました。」

└

次はこれだよ… https://x.com/HotAisle/status/2035024494663016532

└

不誠実さはVCにとって高いシグナルだよね。誰もそんな風には言わないけど、大学の友達を雇って自分の従業員のふりをさせる話をするビジネスなんだ。クライアントがあなたの「オフィス」に来て、あなたが正当なビジネスだと思わせるためにね。そして、ビジネスを得るためにそんなに軽々しく嘘をつくことに恐怖を感じる代わりに、むしろそれが粘り強くて whimsical に見えるんだ。

すごく興味深い記事だったけど、LinkedIn経由でこのリンクを見つけたよ。この記事が深く掘り下げてるし、証拠も信頼できるから、今頃はトップにあってもおかしくないと思ってた。

└

これ、（意図的に？）ホームページから抑えられてるかもしれないね。YCombinatorのサイトだから、そういうこともあり得る。いずれにしても、これはずっと問題になってる。関わってる会社を何社か知ってるけど、Delveを通してSOC 2タイプ2レポートを取得するのに基本的に5日かかるんだ。もちろん、彼らはこういう風にマーケティングしてるしね：「数日でSOC 2」。信じられないよ。

彼らとの営業電話を思い出すけど、雰囲気は「安くて早い」って感じだったよ…コンプライアンスにとってはまさに理想的だね。

Delveはレポートをうまく偽造することすらしなかった。AIツールを使って、ある程度信じられる経営者の主張を書けたはずなのに、ただ明らかなフォーム提出をそのままレポートに入れただけ。Cluelyの例を見てみて：> 「Cluely, Inc.のシステムに関する説明を用意しました。タイトルは『Cluelyはリアルタイムで必要な答えを提供するデスクトップAIアシスタントです。』2025年6月27日から2025年9月27日までの期間に基づいて、説明基準DCセクション200 2018のサービス組織のシステムに関する説明基準に従って。」> 「この説明は、Cluely, Inc.のシステムとのやり取りから生じるリスクを評価する際に役立つ情報をユーザーに提供することを目的としています。特に、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する基準を満たすためのCluely, Inc.のコントロールの設計と運用の有効性についての情報です。」この文をもう一度読んでみて：> 「この説明は、Cluelyはリアルタイムで必要な答えを提供するデスクトップAIアシスタントです。」に関する情報をユーザーに提供することを目的としています。全く意味がわからないよ。誰かがこのレポートを自動化するコードを実装したけど、LLMでスムーズにすることすら考えなかったんだ！ここには明らかな意図があった。監査人がこれを一貫した作品としてレビューして承認したなんて信じられないよ。

このプロセスを経験したことがあるけど、これってお金を取って認証を配ってる機関の失敗じゃない？デリヴみたいな仲介業者がこの失敗をさらに大きくしてる。業界に関わってる人なら誰でも分かるけど、これはただのセキュリティ・シアターで、実際には何も裏付けがないんだよね。

この投稿の深さが好きだな。最近、うちもこれを見てたところ（Drataを使ってる）。「お、これが次のステップになるのか」と思ったよ。主張はそんなに突飛な感じじゃなかったし。こういう問題が出るたびに、他にどれだけの未発見の詐欺があるのか考えちゃう。

コンプライアンスって、誰も望んでないし、みんな嫌ってるよね。朝起きて「自分の会社をXYZ-123に準拠させたい！」なんて考える創業者はいない。だから、コンプライアンスを提供するってのは、結局誰かに責任を押し付けるためにお金を払ってるだけなんだよね。規制当局は「準拠してる？」って聞いてくるけど、デリヴや他のところから証明書を見せればそれで終わり。

└

サイバーセキュリティで働いてた時に、似たような気づきを得たよ。誰もセキュリティの姿勢なんて気にしてなかった。みんな保険のポリシーにしか興味がなかった。人々はセキュリティの姿勢を改善するんじゃなくて、責任を押し付けるために私たちを雇ったんだ。これってあんまり変わらないよね。

└

誰も朝起きて「税金払いたいな」とか「家賃払いたいな」とか「洗濯しなきゃ」なんて思わないよね。ずっとマリファナ吸ってゲームして、デリバリー頼んでるだけでいいのに。やらなきゃいけないことは、どうしてもあるんだよね。

└

誰もコンプライアンスのことを考えながら目覚めるわけじゃないけど、もし法律や道徳的な義務がある会社を見つけたら、それに関わることになるよね。他の会社に責任を押し付けるなんて、単純に無責任だと思う。

└

あなたがやってることをどこでやりたくない。サービスとしてのソフトウェアは、サービスを提供するってことだから、お客さんのデータを守る責任を真剣に受け止めるべきだよ。コンプライアンスフレームワークは、その努力をサポートするための一つの有用なツールだ。ギャップを特定したり、リスクを見つけたり、改善を進めたりするのに役立つし、パートナーに自分たちのやっていることを伝える手段にもなる。ミディアムの記事に書かれている行動は、単純に詐欺だよ。私は創業者で、顧客のために最高の基準を満たすことが私の野望の一部なんだ。

ここにはかなりの深刻な告発があるね。でも、これらの苦情のいくつかはほとんどのSOC 2コンプライアンスサービスに当てはまる。例えば、デリヴが事前に記入された書類を提供して、それをそのまま受け入れるように促しているって指摘してる。私の経験では、これは典型的なことだよ。ITプロセスを正確に反映していない事前作成された書類に、ただハンコを押す会社を見てきた。プロジェクトを進めていたMBAがITを巻き込むのを嫌がって、何も理解してなかったからね。[1] MBAに対して悪気はないけど、ITのバックグラウンドがないビジネス関係者の代わりに使ってるだけ。

└

テンプレートのデバイス管理ポリシーを提供するのは一つのことだけど、取締役会の会議を開かなくてもいいって言って、偽の議事録を作るのは全く別の話だよね。

テストの役割は失敗することだけだから、ページが赤くならないなら何も機能してないってことだよね。みんながやってるからって流されるんじゃなくて、こういうことが指摘されるのは新鮮だな。

質問：20歳の若者がコンプライアンス監査の問題を解決する情熱を持っている可能性はどれくらい？正直、そんな分野に興味を持つなんて想像できないよ。単純に…つまらなすぎる。もしかしたら、アルファタイプの成功者たちはその分野には興味がなくて、チャンスにしか目がないのかも。

└

退屈な問題を解決することは、長い間スタートアップの常識だったよね。「平凡な」スタートアップは、金融や法律、コンサルティングのような伝統的な高給職よりも面白いかもしれない。

└

私は規制のある業界でカスタムソフトウェアを開発する会社で働いていて、20代の優秀なソフトウェアエンジニアやデータエンジニアがコンプライアンス監査、特に「コンプライアンス管理システムの健康監視」に取り組んでいるよ。この分野での長年のビジネス課題を解決するために、AI支援のエンジニアリングやAIをソフトウェアに活用できているんだ。あなたのいる場所については推測しないけど、アメリカの東海岸では銀行や公共事業、医療などの間で大きなビジネスになっているよ。

ハクソク