侵入テストのスタートアップNovee、5,150万ドルを調達してステルスを解除

Orca Securityの元プロダクト担当バイスプレジデントが率いるイスラエルのスタートアップが、AIファーストの攻撃的セキュリティプラットフォームを拡大するために5,150万ドルを調達し、ステルス状態から姿を現した。

シリーズAの資金調達により、テルアビブ拠点のNoveeは一流のAIおよびサイバーセキュリティ人材を採用し、独自のAIモデルを訓練できるようになると、共同創業者兼CEOのイド・ゲフェン氏は述べた。Noveeのアーキテクチャは、専門の侵入テスターがどのように訓練されるかを（ツール、手法、実世界の事例を組み合わせて）シミュレートするよう設計されており、AIエージェントが自律的に脆弱性を発見し、修正まで行えるようにするという。

「ステルス下にあっても、数十社の顧客を獲得できました」とゲフェン氏はInformation Security Media Groupに語った。「私たちは構築した技術に非常に自信を持っていますが、これを本当にスケールさせるには、表に出て、これまでよりはるかに速いペースで、より多くの顧客を惹きつけられる状態になる必要があります。」

2025年4月に設立されたNoveeは、YL Ventures、Canaan Partners、そしてZeev Venturesのオレン・ジーブ氏からシードおよびシリーズAの資金を調達した。同社は創業以来ゲフェン氏が率いており、Orca Securityで3年間プロダクトを統括し、Oasis Securityで15カ月間プロダクトとカスタマーサクセスを統括、CyberMDXで4年間プロダクトとカスタマーサクセスを率いた（参照: Universal Health Services Network Outage: Lessons to Learn）。

NoveeのAIエージェントが人間の侵入テスターを模倣する仕組み

サイバーセキュリティ向けに特化した目的別AIモデルを作るには多大なリソースが必要であり、AIモデル開発の経験を持つ博士号取得者やエンジニアの採用は高額だとゲフェン氏は述べた。カスタムモデルの訓練と、それを大規模に実施するために必要なインフラの維持にはさらにコストがかかり、同社が技術的優位性を保っている間に競合を上回る必要があるという。

「私たちは自社のモデルを訓練しています」とゲフェン氏は述べた。「つまり、ChatGPTの上に載せただけのラッパーではありません。サイバーに特化した目的別AIモデルを自分たちで訓練しています。だから、AIでモデルを構築することに本当に精通した博士号取得者や人材を惹きつけるのは安くありません。」

新規のソフトウェア脆弱性を検出する同社のAIベースのプラットフォームは、確信を持ってスケールできる成熟度に達しており、Noveeは実証済みの顧客満足、スケーラブルなプロダクトエンジン、差別化された提供価値を備えた強固な基盤を構築したとゲフェン氏は述べた。AIで強化された開発ワークフローによって生まれる脆弱性を検出したいという企業側の切迫感も感じているという。

「顧客は、開発者向けのAIツールによって、より多くのコード、より多くのアプリケーションを生成しています」とゲフェン氏は述べた。「そして攻撃者は、24時間365日、より速く、より高度な攻撃を行うためにAIを本格的に活用し始めています。私たちは顧客からこの痛みを強く感じています。悪者が見つける前に問題を見つける以外に、自分たちを守る方法がないのです。」

Noveeの中核的な革新の一つは、人間の侵入テスターがどのように訓練され、どのように業務を行うかを模倣するAIアーキテクチャだとゲフェン氏は述べた。その上に、厳選されたツール、人間由来のワークフロー、そして実世界の悪用事例からなる膨大な知識ベースを重ねることで、モデルに実践的な能力を与える。これは、知能を効果的に使う方法を知っている熟練の人間テスターのようなものだという。

「問題を検出すると同時に、環境に関する多くのコンテキストも収集します」とゲフェン氏は述べた。「どのWebアプリケーションファイアウォールを使っているか、どのEDRソリューションかを把握し、私たちが提示する緩和策や修正手順は、彼らの特定の技術スタックに合わせて非常にパーソナライズされたものになります。」

Noveeが依然として人間の実務者を必要とする理由

NoveeのAIエージェントはアプリケーションを自律的にマッピングし脆弱性を特定する一方で、コンテキストと優先順位付けについては依然として人間の実務者に依存しているとゲフェン氏は述べた。アプリケーションのどの部分に機密データや事業上重要な機能があるかを判断できるのは人間だけであり、実務者はエージェントをこれらの優先度の高いターゲットへ導き、どの問題を緊急に修正すべきかについてフィードバックを提供する。

「ここでは、AI侵入テストエージェントと実務者の間に非常に大きな相乗効果が生まれています」とゲフェン氏は述べた。「エージェントはアプリケーション全体をマッピングし、非常に広いカバレッジを提供します。ここで実務者が介入して、エージェントに『何が王冠の宝石（最重要資産）で、ビジネスにとって何が意味を持つのか』を伝えられるのです。」

ハードコードされた指示を出すのではなく、Noveeの研究者は、熟練の侵入テスターが用いる戦術、ワークフロー、ロジックを伝える記述的なプロンプトを作成するとゲフェン氏は述べた。人間がAIエージェントの見落とした脆弱性を見つけた場合、研究者はその状況をAIに繰り返し経験させるためのシミュレーションシナリオを作成し、人間の性能に一致するまでプロンプト、手法、ツールを洗練させる。

「私たちはエージェントを走らせ、同じアプリケーションを調査するために自社の研究者にも渡します」とゲフェン氏は述べた。「そして、人間が何かを見つけたのにエージェントが見つけられなかったという状況に遭遇したら、『よし、エージェントの思考の連鎖のどこが欠けていたのか？』を理解しようとします。そして、エージェントが同じ問題を解けるようになるまで、さらにプロンプトを言語化していきます。」

従来の脆弱性スキャナーは、パターンマッチング、CVEデータベース、既知のエクスプロイトに依存しており、直感がなく、ゼロデイや新しい攻撃パターンを特定できないとゲフェン氏は述べた。Noveeは手動のペネトレーションテストだけでなく、動的アプリケーションセキュリティテスト、外部露出ツールなどを含む複数カテゴリのスキャンツールも置き換えられるという。

「これまで起きていたのは、既存または従来のセキュリティスキャナーには本当の直感がなかったため、すでに知られているものについて非常に浅い洞察しか得られなかったということです」とゲフェン氏は述べた。「今日、組織の関心は、はるかに高度なタイプの攻撃から自分たちを守ることにあります。そしてそれは、本質的にAIで動作するツールでしか、今日実現できません。」