動的証拠帰属エンジン（グラフニューラルネットワーク使用）

開発スプリントよりも速く積み上がるセキュリティ質問票の時代において、組織は「適切な証拠」を「適切なタイミングで」見つける賢い方法を必要としています。グラフニューラルネットワーク（GNN）はまさにそれを実現します―コンプライアンス知識グラフ内の隠れた関係性を理解し、最も関連性の高い資産を瞬時に提示できる仕組みです。

1. 痛点：手作業による証拠探索

SOC 2、ISO 27001、GDPR などのセキュリティ質問票は、数十項目にわたる証拠を要求します。従来のアプローチは以下に依存しています。

ドキュメントリポジトリ全体のキーワード検索
人手で作成されたコントロールと証拠のマッピング
静的なルールベースのタグ付け

これらの方法は遅く、エラーが起きやすく、そしてポリシーや規制が変わるたびに 追従が困難 です。証拠の一つでも抜け落ちれば、取引が遅延したり、コンプライアンス違反が発生したり、顧客からの信頼が損なわれます。

2. なぜグラフニューラルネットワークか？

コンプライアンス知識ベースは本質的に グラフ です。

ノード – ポリシー、コントロール、証拠文書、規制条項、ベンダー資産
エッジ – 「カバーする」「由来する」「更新する」「関連する」

GNN は、属性情報（例：文書テキスト）と 構造的文脈（ノードがグラフ全体でどのように繋がっているか）を同時に捉える ノード埋め込み を学習するのが得意です。コントロールを問い合わせると、GNN はキーワードが一致しなくても 意味的・トポロジ的に最も適合する 証拠ノードをランク付けして返します。

主な利点：

価値	GNN がもたらすもの
文脈的関連性	埋め込みは単体テキストではなくグラフ全体を反映
変更への適応性	新しいエッジで再学習するだけでランキングが自動更新
説明可能性	アテンションスコアでどの関係が推薦に影響したか可視化

3. 高レベルアーキテクチャ

以下は、Dynamic Evidence Attribution Engine が既存の Procurize ワークフローにどのように組み込まれるかを示す Mermaid 図です。

  graph LR
    A["Policy Repository"] -->|Parse & Index| B["Knowledge Graph Builder"]
    B --> C["Graph Database (Neo4j)"]
    C --> D["GNN Training Service"]
    D --> E["Node Embedding Store"]
    subgraph Procurize Core
        F["Questionnaire Manager"]
        G["Task Assignment Engine"]
        H["AI Answer Generator"]
    end
    I["User Query: Control ID"] --> H
    H --> J["Embedding Lookup (E)"]
    J --> K["Similarity Search (FAISS)"]
    K --> L["Top‑N Evidence Candidates"]
    L --> G
    G --> F
    style D fill:#f9f,stroke:#333,stroke-width:2px
    style E fill:#ff9,stroke:#333,stroke-width:2px

全てのノードラベルは Mermaid の構文上、二重引用符で囲んであります。

4. データフロー詳細

取り込み
- ポリシー、コントロールライブラリ、証拠 PDF は Procurize のコネクタフレームワーク経由で取り込まれます。
- 各資産は ドキュメントバケット に保存され、メタデータ（タイトル、バージョン、タグ）が抽出されます。
グラフ構築
- 知識グラフビルダー が各資産に対してノードを作成し、以下に基づくエッジを追加します。
  - コントロール ↔︎ 規制マッピング（例：ISO 27001 A.12.1 → GDPR Article 32）
  - 証拠 ↔︎ コントロール引用（PDF から Document AI で抽出）
  - バージョン履歴エッジ（証拠 v2 が証拠 v1 を “更新”）
特徴生成
- 各ノードのテキストは事前学習済み LLM（例：mistral‑7B‑instruct）でエンコードされ、768 次元ベクトルを生成。
- 次に 次数中心性、媒介中心性、エッジ種別 といった構造的特徴を結合します。
GNN 学習
- GraphSAGE アルゴリズムが 3 ホップ近傍情報を伝搬させ、意味とトポロジーの両方を尊重したノード埋め込みを学習。
- 教師データは 過去の帰属ログ です。セキュリティアナリストが手動で証拠とコントロールを結び付けた組合せを正例サンプルとします。
リアルタイムスコアリング
- 質問票項目が開かれると、AI Answer Generator が対象コントロールの埋め込み取得を GNN サービスに依頼。
- FAISS が近似最近傍検索を実行し、証拠埋め込みの上位 N 件を返します。
ヒューマン・イン・ザ・ループ
- アナリストは提案を 受諾・却下・再順位付け でき、これらのフィードバックが学習パイプラインに戻され、継続的学習が実現します。

5. Procurize との統合ポイント

Procurize コンポーネント	連携内容
Document AI Connector	PDF から構造化テキストを抽出し、グラフビルダーへ供給
Task Assignment Engine	上位 N 件の証拠候補に対して自動レビュータスクを作成
Commenting & Versioning	アナリストのフィードバックをエッジ属性（“review‑score”）として保存
API Layer	UI から利用する `/evidence/attribution?control_id=XYZ` エンドポイントを公開
Audit Log Service	すべての帰属決定を記録し、コンプライアンス証跡として保持

6. セキュリティ・プライバシー・ガバナンス

Zero‑Knowledge Proof (ZKP) を用いた証拠取得 – 敏感な証拠は暗号化ストレージに留まり、GNN が扱えるのはハッシュ化された埋め込みのみです。
Differential Privacy – 学習時に勾配にノイズを付加し、個別証拠の逆算を防止します。
Role‑Based Access Control (RBAC) – 「証拠アナリスト」ロールを持つユーザーだけが生文書を閲覧可能。UI では GNN が選択した抜粋のみを表示。
Explainability Dashboard – ヒートマップでどのエッジ（“covers”, “updates” 等）が推薦に寄与したか可視化し、監査要件を満たします。

7. ステップバイステップ実装ガイド

グラフデータベースのセットアップ

docker run -d -p 7474:7474 -p 7687:7687 \
  --name neo4j \
  -e NEO4J_AUTH=neo4j/securepwd \
  neo4j:5.15

Knowledge‑Graph Builder のインストール（Python パッケージ procurize-kg）
```
pip install procurize-kg[neo4j,docai]
```

取り込みパイプラインの実行

kg_builder --source ./policy_repo \
           --docai-token $DOCAI_TOKEN \
           --neo4j-uri bolt://localhost:7687 \
           --neo4j-auth neo4j/securepwd

GNN トレーニングサービスの起動（docker‑compose）

version: "3.8"
services:
  gnn-trainer:
    image: procurize/gnn-trainer:latest
    environment:
      - NE04J_URI=bolt://neo4j:7687
      - NE04J_AUTH=neo4j/securepwd
      - TRAIN_EPOCHS=30
    ports:
      - "5000:5000"

帰属 API の公開

from fastapi import FastAPI, Query
from gnns import EmbeddingService, SimilaritySearch

app = FastAPI()
emb_service = EmbeddingService()
sim_search = SimilaritySearch()

@app.get("/evidence/attribution")
async def attribute(control_id: str = Query(...)):
    control_emb = await emb_service.get_embedding(control_id)
    candidates = await sim_search.top_k(control_emb, k=5)
    return {"candidates": candidates}

Procurize UI への接続
- コントロールカードが開かれたときに /evidence/attribution を呼び出す新しいパネルウィジェットを追加。
- 結果を受諾ボタン付きで表示し、選択された証拠に対して POST /tasks/create を実行してタスクを生成。

8. 定量的効果

指標	GNN 導入前	GNN 導入後（30 日間パイロット）
証拠検索平均時間	4.2 分	18 秒
手作業での帰属工数（人時）	120 h / 月	32 h / 月
アナリストが評価した提案精度	68 %	92 %
受注リードタイム改善	-	平均 14 日短縮

このパイロット結果は、手作業工数が 75 %以上削減 され、コンプライアンスレビュアの信頼性が大幅に向上したことを示しています。

9. 今後のロードマップ

クロステナント知識グラフ – データプライバシーを保ちつつ複数組織間でフェデレーテッド学習を実施。
マルチモーダル証拠 – テキスト PDF に加え、コードスニペットや構成ファイルを マルチモーダルトランスフォーマー で統合。
適応型プロンプトマーケットプレイス – GNN が導出した証拠を元に LLM プロンプトを自動生成し、閉ループの回答生成パイプラインを構築。
セルフヒーリンググラフ – 孤立した証拠ノードを検知し、自動的にアーカイブまたは再リンクを提案。

10. 結論

動的証拠帰属エンジン は、面倒な「検索‑貼り付け」作業をデータ駆動かつ AI 補強された体験へと変革します。グラフニューラルネットワークを活用することで、組織は

質問票の完了時間を数分から数秒へ 短縮
証拠推薦の精度を向上 させ、監査指摘を減少
完全な監査証跡と説明可能性 を確保し、規制当局の要求を満たす

Procurize の既存のコラボレーション・ワークフローとシームレスに統合すれば、コンプライアンス証拠の 単一真実の源 が実現し、セキュリティ、法務、プロダクトチームは紙作業から戦略業務へシフトできるようになります。

参照情報

ISO 27001:2022 – コントロールと証拠管理ベストプラクティス