AWSと情報共有があれば1人でもサービスを立ち上げられる
AIで契約書のトラブルを未然に防ぐ「AI-CON」を支える開発・運用体制
第4回となるX-Tech JAWSのLegalTech枠で登壇したのは、AIを活用して契約書のリスクを判定する「AI-CON」を手がけるGVA TECHの本田勝寛さん。リソースの限られたスタートアップでありながら、セキュリティとスピード・イノベーションを両立するにはどうしたらよいか、AWS活用も踏まえて解説した。
契約書トラブルを事前に防げるAI-CON
GVA TECHはクラウドとAIを活用した契約書のリスク判定サービス「AI-CON」を展開しているスタートアップ。先日、約1.8億円の資金調達を発表したばかりで、契約書自動生成サービス「AI-CONドラフト」(β版)もリリースしている。今回登壇した本田勝寛さんはフリーランスのエンジニアから2017年9月からGVA TECHに入社し、CTOとして技術選定やサービス開発。CI/CD、採用、お金の管理まで幅広く手がけているという。
「クラウドとAIを活用した契約リスク判定サービス」を謳うAI-CONは、締結前の契約書をクラウド上に登録すると、契約書の内容が不利か有利かをAIが判定してくれるというもの。契約書の該当箇所には5段階のリスク判定が行なわれ、修正案まで提示してくれる。「たとえば、スタートアップと大企業との契約で、多少不利でも契約したいという場面があります。そんなときでも、どの程度譲歩しているのか、修正例を出してくれます」(本田さん)。
なぜこんなサービスを思いついたのか? 契約書にはトラブルがつきもので、「軽微な契約違反にもかかわらず多額の違約金を負担するはめになる」「エンジニアに外注したが、著作権の記載がなく、会社に著作権が帰属していなかった」「NDAに競合関連の情報が入っていて、同業他社との取引が禁止された」などの事例が散見されるという。とはいえ、素人がいきなり契約書をあら探ししても、どうすればよいか判断するのが難しいし、弁護士にお願いすると相応のコストと時間がかかる。
それに対してAI-CONを使えば、スポットだと1通5000円、月額利用だと月5通1万円でリスク判定が可能になる。フィードバックも営業日1日なので、弁護士よりも早い。AIでのリスク判定に加え、最終チェックは弁護士がやっているため、精度も高いという。「AIの精度が高くなれば、最終チェックのコストも抑えられる。最終的には完全に自動化して提供していきたい」と本田さんはサービスの将来イメージについて語る。
シングルVPCの構成から1年経たずに大きく進化
後半はAWSの話。2017年11月に本田さんがGVA TECHにジョインした当時はクローズでのサービス運用だったが、EC2にS3とRDSをアタッチしてVPCに収めた鉄板構成だった。しかし、2018年7月の時点ではレビュー、AI、分析基盤用の3つのVPCに分けられ、SQSやDynmoDBも導入。運用ではMackerel、開発ではCircle CIなどが入っており、だいぶ洗練された印象だ。
このうちレビューと分析のVPCに関してはサードパーティのWAFやWorkerサーバーを導入し、疎結合なシステムに。DyanmoDBをキュー管理、検索体験の向上のためにElasticsearchを入れたという。また、AI処理のVPCに関しては、「まずは契約書をいい感じに分割し、それらをいい感じに分類するという処理が走る。これを弁護士さんがチェックするという流れ」(本田さん)と説明。その上で学習データを生成するため、契約書を匿名化したり、不要なデータを取り除いたりといった処理を別途で行なっているとのことだ。
一方、運用とCIに関しては、CloudTrailを使ったアカウンタビリティの確保、TrustedAdviserによる運用チェック、GuardDutyを使った怪しいアクセスの処理などを行なっている。
セキュリティ指針は「Well-Archited Framework」を採用
こうしたAI-CONシステムのビジネス要件としては、機密性の高い契約書を扱うという観点でなによりセキュリティ。そしてスタートアップで必須になるスピードとイノベーションを挙げる。少ない人数でこれらを両立するために、セキュリティに関してはとにかくシンプルにし、スピードとイノベーションに関しては運用負荷を軽減し、恐れずに新しい技術・デザインを導入するという方針を掲げている。
セキュリティ面の要件を実現するため、GVA TECHで採用しているのがAWSの「Well-Archited Framework」になる。Well-Archited Frameworkは、運用、セキュリティ、信頼性、パフォーマンス、コストという観点でのベストプラクティスと質問集をまとめたもの。「たとえばログはどうやって分析している?とか、ネットワークとホストの境界をどのように保護している?といった内容で、これに関してのAWSのサービスとホワイトペーパーがまとめられている」と本田さんは説明する。
GVA TECHではこうしたWell-Archited Frameworkを採用しつつ、AWSのSA(ソリューションアーキテクト)によるレビューを受けながら、会社の方針に応じてシステムの検討や構築を進めているという。「たとえば、ユーザーのアクセス管理という観点では、本番のアカウントと開発のアカウントを完全に分離していて、IAMで管理しないようにしている。本番にアクセスできる人は限られているし、逆に開発側はある程度自由にシステムを使えるようにしている」と本田さんは説明する。
新人エンジニアでもサービスを企画し、立ち上げられる体制
スピードとイノベーションに関しては、構築・運用の負荷を初期段階から下げるように注力している。たとえば、サードパーティ製品を積極的に導入したり、障害対応や運用のTIPSを積極的に共有したり、CloudWatchとLambdaによって必要なログのみSlack通知するといった施策を実施。また、開発においても、Circle CIによるテスト、CodeDeployによるデプロイなど、自動化を推進している。
こうしてメンバーの運用負荷を下げた結果、GVA TECHでは新人でも新サービスを立ち上げられるようになった。本田さんが紹介した「ほぼ新卒エンジニアがすべて1人でサービスを立ち上げてしまった話」というブログは、AWS未経験の新人がサービス開発・企画、弁護士との折衝、インフラ構築、開発まで1人でリリースしたという内容。これが冒頭にも紹介した契約書の契約書自動生成サービス「AI-CONドラフト」になる。「知識やノウハウを積極的に共有しているので、初めてでもできるようにしています」(本田さん)。
そして運用負荷を下げた余力は、新規開発に振り分けている。たとえば契約書のフィードバック画面に関しては、2017年11月からすでに5回のリニューアルを実施。また、開発アカウントは業務委託にゆるく解放しており、イケてるものは本番導入しているという。ユーザー体験の向上や機械学習なども積極的にチャレンジするほか、新規サービスも開発を進めている。
最後、本田さんは「セキュリティとイノベーション・スピードの両立」という方針の下にこれまでやってきた施策をまとめ、「技術とデザインの力で、リーガルのレガシーな部分を変えていきたいと思います」と会場にアピールして、セッションを終えた。
週刊アスキーの最新情報を購読しよう