Takumi byGMO「Guard」機能、1日のパッケージダウンロード数が2,000万件超を記録

　GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手 康貴　以下、GMO Flatt Security）は、2026年3月に提供を開始したセキュリティAIエージェント「Takumi byGMO（以下、Takumi）」の「Guard」機能において、5月19日に1日あたり2,000万件を超えるパッケージダウンロード数を記録したことをお知らせいたします。4月上旬に1,000万件に達して以降、わずか1ヶ月ほどで倍増しており、「Guard」機能が開発現場における「水際対策」の新たな基盤として急速に導入が進んでいることを示しています。

「Guard」機能とは：悪意あるパッケージをインストール前にブロック

　「Guard」機能は、パッケージレジストリとエンジニアの開発環境の間に介在するプロキシです。パッケージのダウンロード時に悪性の有無をリアルタイムで検証します。悪性と判定されたパッケージは、開発者の端末やCI/CD環境に到達する前に自動でブロックされます。導入はターミナルで特定のコマンドを1行実行するだけで完了し、既存のコードや作業手順への変更は不要です。

　SBOM（*1)管理ツールなどは、すでにインストールされたパッケージを事後的にスキャンする仕組みがほとんどであり、マルウェアの侵入そのものは防げませんでした。しかし、3月に発生した「axios」の侵害事例（*2）では、悪性バージョンがnpm上に公開されていたのはわずか3時間程度だったにもかかわらず、その短時間のうちに通常のインストール操作を行った開発環境が広く被害を受けました。「Guard」機能はインストール時に介入するため、こうした悪性パッケージの侵入そのものを未然に防ぎます。

　現在、npmに加え、PyPI、RubyGemsに対応しており、主要なパッケージエコシステムを横断した防衛が可能で、個人・法人を問わずどなたでも無料でご利用いただけます。また、組織全体の端末への一括導入をご検討の法人様を対象に管理ツールによる一括セットアップ機能（有料）を提供しています。

・「Guard」機能 Webサイト：https://flatt.tech/takumi/features/guard

（*1）Software Bill of Materialsの略語。「ソフトウェア部品表」とも呼ばれ、ソフトウェアに含まれるコンポーネントの構成情報及びその依存関係をリスト化したデータ。

（*2）https://blog.flatt.tech/entry/axios_compromise（axios ソフトウェアサプライチェーン攻撃の概要と対応指針）

導入急増の背景：相次ぐソフトウェアサプライチェーン攻撃による危機意識の高まり

　「Guard」機能の導入が急速に進んだ背景には、2026年に立て続けに発生したソフトウェアサプライチェーン攻撃が大きく関わっていると考えられます。

　2026年3月末、週間ダウンロード数が1億件に及ぶHTTPクライアントライブラリ「axios」が侵害され、間接依存を含む広範囲への影響が発生しました。侵害はたった一人のメンテナへのソーシャルエンジニアリング攻撃に起因するもので、著名パッケージ1つへの侵害が、世界中のシステムにリスクをもたらす、センセーショナルな事例となりました。

　さらに、コーディングエージェントの普及が、攻撃を受けるリスクを拡大させています。AIは責任を負わない一方で自律的にパッケージをインストールできるため、最終的に安全性を検証すべき人間側に負担が及びがちであるという「構造的な問題」が発生しています。特に、自分でコードを書かず、AIへの指示だけで開発を進めるバイブコーディングが普及した結果、開発経験を持たない利用者がAIの提案をそのまま受け入れ、安全性の検証が不十分なパッケージに意図せず依存してしまうケースも増加しています。

　こうした相次ぐ侵害の状況を受け、開発現場におけるソフトウェアサプライチェーン攻撃への対策意識が高まり、「Guard」機能の1日あたりのダウンロード数は2026年4月上旬より継続的に1,000万件を超え、5月19日には2,000万件超に達しました。

　ソフトウェアサプライチェーンへの攻撃は今後も高度化・継続的に発生すると考えられ、引き続き、「水際」での防衛は不可欠です。「Guard」機能をはじめとする「Takumi」の各機能は、こうした危機意識のもと、セキュリティへの意識が高い開発組織を中心に導入が拡大しています。

「日本のソフトウェアサプライチェーンを守る！導入後押しキャンペーン」のご案内

　現在、どの日本企業にも速やかな対応が求められる中、多くのお客様から「年度途中で新たな予算確保に苦慮している」というお悩みの声をいただいてまいりました。これに応え、日本企業のソフトウェアサプライチェーン攻撃対策をさらに加速するため、「Takumi」導入判断の後押しとなるキャンペーンを実施いたします。

■キャンペーン概要

（*3）「内容」に記載の利用枠を超過した利用には、超過分に対応する費用（有料）を頂戴しております。予めご了承ください。

（*4）キャンペーン名をお問い合わせフォームにご記入ください。

今後の展望

　今後は、すでに提供を開始しているnpm、PyPI、RubyGemsに加え、Rust（crates.io）をはじめとする主要パッケージレジストリへの対応を順次拡大してまいります。多様化する開発スタックのすべてを「水際」で保護できる体制を整え、あらゆる開発組織におけるソフトウェアサプライチェーン防衛の標準化を推進します。

GMO Flatt Securityは、コーポレートミッション「エンジニアの背中を預かる」のもと、AI時代のソフトウェアサプライチェーンを守るインフラとして、エンジニアの皆様がより安全に、そして安心して開発に専念できる環境の実現に邁進してまいります。

GMO Flatt Security株式会社について

　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群

・セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」

URL：https://flatt.tech/assessment

・セキュリティ診断・ソフトウェアサプライチェーン攻撃対策特化のAIエージェント「Takumi byGMO」

URL：https://flatt.tech/takumi

・AWS等クラウドの継続的な診断ツール(CSPM)「Shisho Cloud byGMO」

URL：https://shisho.dev/ja

・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」

URL：https://flatt.tech/kenro

※ 記載されている会社名及び製品名は、各社の商標または登録商標です。

---

GMO Flatt Security株式会社（URL：https://flatt.tech）

会社名　　GMO Flatt Security株式会社

所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

代表者　　代表取締役社長　井手　康貴

事業内容　■サイバーセキュリティ関連サービス

資本金　　4億3042万円（資本準備金含む）

GMO インターネットグループ株式会社（URL： https://group.gmo/ ）

会社名　　GMOインターネットグループ株式会社　（東証プライム市場　証券コード：9449）

所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

代表者　　代表取締役グループ代表　熊谷　正寿

事業内容　持株会社（グループ経営機能）

　　　　　■グループの事業

　　　　　インターネットインフラ事業　　　

　　　　　インターネットセキュリティ事業

　　　　　インターネット広告・メディア事業

　　　　　インターネット金融事業　　　　　

　　　　　暗号資産事業

資本金　50億円