IoTプラットフォームKwikの元CEOが率いるスタートアップが、SaaSアプリケーションと人工知能エージェント全体にわたる可視性、ガバナンス、セキュリティを提供するために3,000万ドルを調達した。
Zeev Ventures主導のシリーズB資金調達ラウンドにより、ニューヨーク拠点のRecoはCopilotやChatGPTといった主要なAIオーケストレーターだけでなく、数千のロングテールアプリケーションやAIエージェントを含むSaaSエコシステム全体を保護できるようになると、CEOのOfer Kleinは述べた。同プラットフォームは数百のSaaSアプリと統合でき、アイデンティティ、データ、エージェントの振る舞いを相関させ、セキュリティチームの作業負荷を最大80%削減できるという。
「舞台裏では、あらゆる企業でAIの実装が進んでおり、私たちは基本的にAI、SaaSアプリケーション、AIエージェントに関わるあらゆるものに対して可視性、ガバナンス、セキュリティを提供しています」とKleinはInformation Security Media Groupに語った。
2020年に設立されたRecoは従業員137人を擁し、これまでに8,500万ドルを調達している。直近では2025年4月に、Insight Partners、Zeev Ventures、boldstart ventures、Angular Venturesの支援を受けて2,500万ドルのシリーズA資金調達を完了した。同社は創業以来Kleinが率いており、IoTプラットフォームkwik.meを約8年間率いたほか、Elbit Systemsで約8年間、ディレクターおよびマネージャーを務めた。
シャドーAIエージェントがガバナンスのギャップを生む仕組み
企業全体でのAI導入はもはや実験的でも孤立的でもなく、規模を伴って実装されている。これが新たなセキュリティ、ガバナンス、可視性の課題を生み出しており、Recoはそれに独自の強みで対応できる立場にあるとKleinは述べた。Fortune 10およびFortune 500のグローバル企業からの需要に応えるには、自然成長だけでは追いつかないスピードで営業、サポート、製品能力を拡大する必要があるという。
「複数の投資家から2.5倍のオーバーサブスクリプションがあり、社内の関係者も、銀行口座に資金があるのにもっと投資したがっていました」とKleinは語った。「加速するのに十分な資金を受け取り、次の段階でバリュエーションを大幅に引き上げるつもりです。だから、大きく加速するために必要な分だけを受け取りました。現時点ではそれ以上は必要ありませんでした。」
現在、組織は数千のSaaSアプリケーションと数万のAIエージェントを稼働させているが、自社インフラ内で何がどれほどの規模と範囲で動いているのかを把握できていないことが多いとKleinは述べた。この認識不足がガバナンスのギャップを生み、その対象は生成AIツールに限らず、AI機能を組み込んだ従来型のSaaSアプリや、AI駆動のワークフローに接続するアプリにも及ぶという。
「いまやAIがビジネスを動かしています」とKleinは語った。「CISOとして、数千のアプリと数万のAIエージェントが動き回っている。ビジネスにとって最優先事項なので、もはやブロックすることは許されません。では、どうするのか? 私たちは、彼らの環境に何があるのかを初めて見せたときの瞬間を『Oh s—』モーメントと呼んでいます。」
Recoのナレッジグラフは、アイデンティティ、データ、アプリケーション、エージェント、場所、アクセス経路を単一のコンテキストモデルに相関付けるもので、リスクを理解するうえで極めて重要だとKleinは述べた。アナリストに、切り離された数百のイベントをまたいでインシデントをつなぎ合わせる作業を強いるのではなく、エージェントが活動を一貫した物語として相関付け、是正手順を推奨し、自動化に向けたアクションを準備するという。
「私たちはApp Factoryというツールを作り、実際に特許も取得しました。これにより、新しいアプリに2〜3日で統合できます」とKleinは語った。「現在215のアプリに対応しており、カバレッジは群を抜いて最大です。アイデンティティ、データ、エージェント、場所、IPなど、複数の次元を一つのグラフに取り込んでコンテキストを提供できなければなりません。そうでなければ、誤検知に溺れてしまいます。」
攻撃者が小規模で成熟度の低いSaaSアプリを狙う理由
攻撃者は、基幹システムと深く接続されている一方で堅牢なセキュリティ制御を欠く、小規模で成熟度の低いSaaSアプリケーションをますます標的にしている。これらは機密データや重要なワークフローへの間接的な侵入口として機能することが多いという。AIエージェントが営業、マーケティング、開発、運用ツール全体に組み込まれるにつれ、こうしたロングテールアプリケーションはより機微なシステムへのアクセス権を得るようになるとKleinは述べた。
「これらのロングテールアプリをサポートできなければ、侵害されます」とKleinは語った。「攻撃者が、主要なアプリだけでなく、よりセキュリティの弱いアプリで侵害を積極的に探しているのを私たちは見ています。主要なものは非常によく守られているからです。大規模プラットフォーム上のアプリやエージェントだけを守るだけでは、もはや十分ではありません。」
事前に定義された手順に従う決定論的なシステムとは異なり、AIエージェントはある程度の自律性と予測不能性をもって動作するため、目標達成のために複数の経路を取り得るとKleinは述べた。Recoのアプローチは、この予測不能性に対処するため、個々の行為ではなく関係性、権限、影響に焦点を当てて設計されており、組織がより効果的にリスクを管理できるようにするという。
「最大の課題は、『いや、ブロックする』という発想の家から、ビジネスを前進させる存在へとどう進化するかです」とKleinは語った。「私たちが解決を支援できる最大の課題は、ビジネスのスピードに合わせて運用し、AI活用の時代におけるビジネスの推進役になることです。」
RecoのAIエージェントはイベントを相関付け、攻撃経路を再構築し、生データを実行可能な洞察へと変換する。これにより、インシデントの調査と是正に必要な労力が劇的に減るとKleinは述べた。残る人手は判断と承認に集中し、実務者は情報を手作業でつなぎ合わせるのではなく、アクションを検証して承認するという。
「主な削減は、イベント間を行き来してそれらを物語に相関付けるという退屈な作業の部分です」とKleinは語った。「それはエージェントが今すぐ代わりにできます。規制のある企業では、人間がループに入って評価し、アクションを作ることを望みます。ループに人を入れるというのは、イベント間を走り回る代わりに、推奨されたアクションを承認することなのです。」
翻訳元: https://www.databreachtoday.com/reco-secures-30m-as-enterprises-struggle-governing-ai-a-30722
