スリ・アイヤー、Kovr.aiのCTO兼共同創設者 – インタビュー・シリーズ

スリ・アイヤー、Kovr.aiのCTO兼共同創設者は、人工知能、データ分析、量子コンピューティング、自動化におけるイノベーションを牽引する経験豊富なテクノロジー・リーダーです。Kovr.aiを共同創設する前に、アマゾン、ガイドハウス、PwC、レイセオンでのシニア・ロールを歴任し、公的および私的セクターの両方で次世代ソリューションの開発チームを率いてきました。新興テクノロジーにわたる10年以上の経験と数多くの業界認定を持ち、アイヤーは、組織が複雑なビジネスおよびセキュリティ・チャレンジを解決するために破壊的なツールを活用するのを支援するという評判を築いてきました。

Kovr.aiは、クラウドおよびハイブリッド・エNVIRONMENTS向けに設計されたAIネイティブ・プラットフォームを通じて、サイバー・コンプライアンスを再定義しています。同社は、FedRAMPやCMMCなどの複雑な規制フレームワークをリアルタイムでコード駆動型インテリジェンスを使用して自動化し、企業が15分ほどで運用承認（ATO）を取得できるようにします。伝統的な手動コンサルティングと柔軟性のないコンプライアンス・ツールに代わることで、Kovr.aiは、リスク管理に対するスケーラブルで適応性の高いアプローチを提供し、厳しく規制された組織がセキュアでコンプライアントであり、継続的な変化に備えることを可能にします。

Kovr.aiを共同創設する前に、アマゾン、PwC、様々な連邦政府向けスタートアップでのリーダーシップ・ロールを歴任しました。連邦ITコンプライアンスをより良い方法で取り組む必要性を実感したのは、どのような個人的な経験や職業上の経験でしたか？それが最終的にKovr.aiの立ち上げに繋がりましたか。

私は、国防総省向けの大規模プラットフォームを構築するシステム所有者として、そして後にアマゾンでのクラウドおよびAIイニシアチブのリーダーとして、連邦ITコンプライアンスの課題を両側から経験してきました。あるシステムを構築するのに数年かかったにもかかわらず、コンプライアンスのためにさらに長期間待たされることになったことが、転機となりました。

アマゾンでは、FedRAMPや同等のコンプライアンス・プロセスを経験したサービスをサポートするチームを率いてきました。アマゾンの豊富なリソースを持っていても、新しいリージョンでのサービス承認には最大3年かかることがあります。最も優れた内部ソリューションは、QuipやGoogle Docsのようなツールで、プロセスを追跡および管理するために使用されていました。非効率性は目覚ましく、ほとんどの機関が同じ問題に直面していることを私自身で見てきました。

数年間、私はより良い方法があるはずだと信じていましたが、コードベースやドキュメントにわたる数千のコントロールをマッピングする複雑さは、真の自動化が届かないように感じさせました。しかしそれが変化したのは、AWSでのAI/MLソリューション・アーキテクチャ・チームを率いたときでした。手動ワークフローを変革することができる生成型AIを見ていると、目から鱗が落ちたような気持ちになりました。何が起こるか分からないように思えたコンプライアンス・ワークロードの軽減は、実現可能に思えました。

ある程度の実験と研究の後、私の現在の共同創設者と私は、コンプライアンスを追跡するだけでなく、加速させるプラットフォームを構築できることを実感しました。その洞察は、Kovr.aiの起源でした。AIを活用して、連邦ITコンプライアンスの負担を軽減する方法でした。

多くのテクノロジー・スタートアップは、連邦コンプライアンス要件の複雑さ、コスト、ペースに苦労しています。Kovr.aiが直面した最大の障害は何でしたか？また、それらの課題をどのように乗り越えて、実行可能なソリューションを構築しましたか。

Kovr.aiは、テクノロジー・スタートアップにおける連邦コンプライアンスに直面する際に、以下の主要な障害に遭遇しました。

• 複雑さと手動プロセス: スタートアップは、コントロールの数（例：NIST 800-53には1200以上のコントロール）と、通常使用されるスプレッドシート駆動型プロセスにより、連邦コンプライアンスを圧倒的に感じることが多かった。これにより、コンプライアンスは遅く、エラーが発生し、リソースが集中することになりました。
• 遅いフィードバックとイテレーション: 伝統的なコンプライアンス・プロセスでは、チームとコンサルタントの間で長いサイクルのやり取りが必要で、進捗を遅らせ、スタートアップがどこに立って何を修正するべきかを知るのが難しくなりました。
• 高コストとリソースの負担: リソースが限られているスタートアップは、コア製品のロードマップよりもコンプライアンスを優先するのが難しくなり、政府業務を数年間遅らせることになりました。

これらの障害を克服するために、自動化、柔軟な入力、迅速なイテレーション、および深いワークフロー統合を使用して、スタートアップにとってコンプライアンスをよりアクセスしやすくしました。プラットフォームは、ドキュメント、コード、クラウド環境を自動的にスキャンして、それらをコンプライアンス・コントロールにマッピングし、瞬時にギャップ評価を提供します。アーティファクトは任意の形式でサポートされ、エントリの障壁を減らし、ユーザーのフィードバックを強調してリアルな関連性を確保します。コンプライアンス・チェックを開発パイプラインに組み込むことで、Kovr.aiは、主要な中断なしにコンプライアンスをシームレスに統合することをチームに支援します。

OSCAL（Open Security Controls Assessment Language）などのマシンリーダブル・コンプライアンス形式への移行は、ベンダーと機関がセキュリティに取り組む方法をどのように変えましたか。

OSCALは、コンプライアンスをより自動化し、効率化できる可能性がありますが、その影響は、ベンダーと機関の両方での採用のペースによって制限されています。OSCALを使用する当事者が増えるにつれて、コンプライアンス・プロセスの自動化と標準化の利点が増大することが予想されます。Kovr.aiは、OSCALにネイティブで構築されており、この形式でコンプライアンス情報を送信および処理できるように設計されていますが、より広範な利点は、より多くの利害関係者がOSCALベースのワークフローを採用することで実現されます。

あなたは、Kovr.aiを「コンプライアンス・コパイロット」と表現しています。ドキュメントから監査準備まで、実践ではどのように見えますか。プロセスをより迅速または簡単にするために、裏で何が起こっていますか。

裏では、Kovr.aiは、手動ワークを排除し、瞬時のフィードバックを提供し、コンプライアンス・ドキュメントを最新の状態に保つために、AIと自動化を活用しています。これにより、ドキュメントから監査準備までのプロセスが、ユーザーにとってはるかに迅速で簡単になります。

ユーザーは、すでに持っているコンプライアンス・アーティファクトを、任意の形式で取り込むことができます。ドキュメント、コード、クラウド環境データ、アーキテクチャ図などです。その後、Kovr.aiは、すべてのドキュメント、コードベース、環境の各行を自動的にスキャンし、これらの情報を関連するセキュリティ・コントロール（NIST 800-53のものなど）にマッピングします。これは、ユーザーのコンプライアンス・ランドスケープの包括的なナレッジ・グラフを構築するAIモデルを使用して実行されます。

次に、システムは各コントロールを評価し、ギャップを特定し、是正のための実行可能な推奨事項を生成します。ユーザーは、環境またはドキュメントを更新してKovr.aiに再度アップロードすることで、これらのギャップに対処できます。Kovr.aiは、問題が解決されたかどうかについて瞬時のフィードバックを提供します。このプロセスは、迅速な自動フィードバックを繰り返し使用して、従来のチームとコンサルタントの間の遅いやり取りを排除することで、コンプライアンス・ポストゥアを繰り返し改善できるようにします。

Kovr.aiは、FedRAMP SSPなどの政府テンプレートを含む、必要なコンプライアンス・ドキュメントをすべて生成できます。ナレッジ・グラフ内の情報を使用して、

最後に、プラットフォームはすべてのコンプライアンス情報を最新の状態に保ち、監査官向けにパッケージ化できます。監査官は、コンプライアンス・データを直接確認および照会できるようになり、監査プロセスが合理化されます。

スタートアップは、速く進むか、コンプライアンスを遅くするかの難しいトレードオフに直面することがよくあります。Kovr.aiを構築する際に、このトレードオフにどのように取り組みましたか。また、規制市場に拡大しようとする他のイノベーターにどのようなアドバイスを与えますか。

Kovr.aiは、コンプライアンスとセキュリティを念頭に置いて構築され、エアギャップ・システム、強力な認証、暗号化などの機能を規制環境をサポートするために組み込んでいます。また、自動コンプライアンス・チェックをDevOpsパイプラインに統合して、早期の問題検出を可能にし、大幅なレビューを回避しました。迅速なプロトタイピングと統合に焦点を当て、ユーザーのフィードバックに基づいて、製品がユーザーのニーズを満たしながらコンプライアントであることを保証しました。自動化により、手動オーバーヘッドが削減され、スケーラブルでセキュアな開発が可能になりました。

イノベーターにとって、特に規制市場の場合、製品にコンプライアンスとセキュリティを最初から組み込むことが重要です。DevOpsパイプラインに自動コンプライアンス・チェックを統合して、早期に問題を検出します。必要に応じて人間のコンプライアンス・エキスパートを呼び込みます。コンプライアンスは機能開発を遅くするかもしれませんが、最終的にはコストのかかる再作業を避けることで時間を節約します。

あなたは、連邦調達を近代化する必要性について話しています。現在のシステムで最も古いと思われる部分は何ですか。また、初期段階の企業が競争するのを容易にするために、どのような実際的な変更が必要ですか。

連邦調達システムは、遅い調達サイクル、運用よりもイノベーションを優先しない資金、スタートアップが参入しにくい複雑な購入メカニズムなど、古いと思われる部分があります。初期段階の企業を支援するには、より柔軟でイノベーションに焦点を当てた資金を割り当て、より迅速な小規模な購入のための調達しきい値を下げ、DODのTradewindsのような調達車両へのアクセスを拡大し、新しいテクノロジーを機関が発見して購入する方法を簡素化する「アプリストア」のようなプラットフォームを作成することが実用的です。

振り返ってみると、Kovr.aiを現在の位置に導いた最も重要な基盤となる決定は何でしたか。アーキテクチャ、市場戦略、採用についてはどうでしたか。

Kovr.aiにとって最も重要な基盤となる決定は、迅速なプロトタイピングとイテレーション、ユーザー主導の製品ビジョン、柔軟な生産戦略、フィードバック・コミュニティの構築、および顧客ニーズへの強い焦点を維持することでした。これらの選択により、連邦コンプライアンスの課題に対処する真正なソリューションを構築することができました。

CTOとして、迅速なイノベーションと厳格なコンプライアンスのバランスをどのようにとっていますか。どのようなフレームワークや内部慣行を採用していますか。これら2つの優先事項を両方ともトラックに保ちますか。

私は、開発の各段階にコンプライアンスを組み込み、自動化を活用し、柔軟な生産環境を維持し、ユーザーのニーズと専門家の指導に密接に接続することで、イノベーションとコンプライアンスのバランスをとっています。これらの慣行により、迅速なイノベーションと厳格なコンプライアンスの両方の優先事項が一貫して満たされることを保証します。

今後、Kovr.aiは、州および地方政府、金融やエネルギーなどの他の規制業界、または国際市場への拡大を目指していますか。

チームは、連続した自動コンプライアンス管理のためのKovr.aiテクノロジーを進化させ続ける予定です。これは、現在の連邦政府コンプライアンスへの焦点を超えて、複数の方向に拡大することを意味します。州および地方政府、金融、エネルギー、ヘルスケアなどの他の規制業界、および国際市場への拡大が含まれます。

素晴らしいインタビュー、詳細を知りたい読者は、Kovr.aiを訪問してください。