「Takumi byGMO」、脆弱性パッチを支える新機能「Takumi Images」を提供開始

フロンティアAIで発見が加速する脆弱性と、サプライチェーン攻撃から、コンテナ環境をまとめて保護

GMO Flatt Security株式会社

 GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)は、ソフトウェア開発を守るプラットフォーム「Takumi byGMO(以下、Takumi)」にて、コンテナ環境の脆弱性パッチを支える新機能「Takumi Images」を2026年7月8日(水)に提供開始したことをお知らせします。

 本機能で提供されるコンテナイメージを利用することで、システム内の既知脆弱性に対するパッチを、ごく小さな労力で適用できます。また、イメージは既知パッケージマルウェアの含有検査後に提供されているため、今年急増中のソフトウェアサプライチェーン攻撃への対策としてもご活用いただけます。

新機能「Takumi Images」提供開始の背景

1. フロンティアAI登場で、脆弱性対応(ソフトウェア更新)がより重要に

 公開される脆弱性(CVE)の件数は年々増加を続けており、2024年には年間4万件を突破、2025年も過去最多を更新しました(*1)。この増加を加速させているのがClaude Mythos等「フロンティアAI」の登場です。AIによるコード解析・脆弱性調査の自動化は、防御側の検査を効率化する一方で、攻撃者による脆弱性の発見そのもの、また攻撃から悪用までの期間(Time-to-Exploit)を大幅に短縮しつつあります。

 その結果、現在の開発組織に対しては、より継続的・大量・高頻度なパッチ適用が求められています。実際フロンティアAIへの対応策として、金融庁および日本銀行は、連名でパッチ適用に係る人的リソースの追加を含む数点を金融機関等に対して要請しました。(※2)

 しかし実際の開発現場にとって、ベースイメージやその内部のOSパッケージ・ライブラリ群に対するパッチ適用は、依存関係の調査・ビルドの再構成・動作確認といった作業を伴う負担の大きい仕事であり、対応が後回しにされる傾向にあります。パッチ適用の省力化・高速化は、フロンティアAI以後の重要なトピックであるといえます。

(※1)米国国立標準技術研究所(NIST)が提供するNational Vulnerability Database(NVD)等から算出

(※2)https://www.fsa.go.jp/news/r7/sonota/20260522-5/20260522.html(「『フロンティア AI による脅威変化を踏まえた金融機関等の短期的な対応』に係る要請について」)

2. 並行して発生する、ソフトウェア更新を狙ったサプライチェーン攻撃

 脆弱性対応のために高頻度なソフトウェア更新が求められる中、逆に更新作業中を狙う「ソフトウェアサプライチェーン攻撃」が直近多発しています。

 例えば2026年3月には、週間1億回ダウンロードされているソフトウェア「axios」が改ざんされ、利用者がライブラリを更新しただけで侵害される事態が発生しました。2026年3月以降、同種の攻撃は多発しており、ソフトウェアの更新作業自体が大きなリスクを持つ時代となっています。

 現在の開発現場には、高頻度なソフトウェア更新と同時に、ソフトウェア更新時のリスク低減が求められているといえます。

新機能「Takumi Images」とは

1. 機能概要

 「Takumi Images」は、含まれる既知脆弱性が最小化されたコンテナイメージ群を提供する機能です。Node.js・Python・Go・curlをはじめとする主要な言語ランタイムやツール群のイメージを、amd64/arm64の両アーキテクチャで提供します。

 各イメージは、シェルやパッケージマネージャを含まない最小構成で構築されており、脆弱性を含有しうるコンポーネントの母数そのものを大幅に削減しています。さらに、収録パッケージは常に上流(アップストリーム)の最新バージョンへ継続的に追従し、脆弱性パッチを取り込み続けています。

 修正パッチが存在しない脆弱性・影響を受けないと判断した脆弱性についても、根拠を明示したVEX(Vulnerability Exploitability eXchange)として公開し、透明性のある形でトリアージ結果を提供します。

2. ベースイメージの切り替えのみで、既知脆弱性にいつでも対応可能に

 「Takumi Images」の利用に、ビルドパイプラインや開発フローの大きな変更は必要ありません。Dockerfileの「FROM」行を1行書き換えるだけで、含まれる既知脆弱性が最小化されたべースイメージへ移行できます。

 以降は新たな脆弱性が公開された場合も、最新のイメージをベースに再ビルドするだけでパッチ適用が完了します。依存パッケージの調査や修正版の選定といった従来の対応作業は不要です。

3. コンテナイメージ更新時のマルウェア混入にも、配布前事前検証にて対策

 「Takumi Images」は、公開前にすべてのイメージに対して既知パッケージマルウェアの含有検査を実施し、検査を通過したもののみを提供します。さらに、イメージの構築においても、サプライチェーン攻撃への構造的な防御を施しています。

 結果として、「Takumi Images」を利用してパッチ対応を進める限りにおいては、パッチ時のマルウェアの混入・ソフトウェアサプライチェーン攻撃に対しても自然に対策が行えます。

・「Takumi Images」Webサイト:http://flatt.tech/takumi/features/images

今後の展望

 今後は、提供するコンテナイメージの種類をデータベース・言語ランタイム・ミドルウェアを中心にさらに拡充してまいります。また、CVE ID未採番の脆弱性情報の検出、国際的なコンプライアンス要件への対応等を予定しています。

GMO Flatt Security株式会社について

 GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群

・セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」

URL:https://flatt.tech/assessment

・セキュリティ診断・ソフトウェアサプライチェーン攻撃対策特化のAIエージェント「Takumi byGMO」

URL:https://flatt.tech/takumi

・AWS等クラウドの継続的な診断ツール(CSPM)「Shisho Cloud byGMO」

URL:https://shisho.dev/ja

・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」

URL:https://flatt.tech/kenro

※ 記載されている会社名及び製品名は、各社の商標または登録商標です。


GMO Flatt Security株式会社(URL:https://flatt.tech

会社名  GMO Flatt Security株式会社

所在地  東京都渋谷区桜丘町26番1号 セルリアンタワー

代表者  代表取締役社長 井手 康貴

事業内容 ■サイバーセキュリティ関連サービス

資本金  4億3042万円(資本準備金含む)

GMO インターネットグループ株式会社(URL: https://group.gmo/ )

会社名  GMOインターネットグループ株式会社 (東証プライム市場 証券コード:9449)

所在地  東京都渋谷区桜丘町26番1号 セルリアンタワー

代表者  代表取締役グループ代表 熊谷 正寿

事業内容 持株会社(グループ経営機能)

     ■グループの事業

     インターネットインフラ事業   

     インターネットセキュリティ事業

     インターネット広告・メディア事業

     インターネット金融事業     

     暗号資産事業

資本金 50億円

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

GMO Flatt Security株式会社

21フォロワー

RSS
URL
https://flatt.tech
業種
情報通信
本社所在地
東京都渋谷区桜丘町26-1 セルリアンタワー6階
電話番号
-
代表者名
井手康貴
上場
未上場
資本金
1億円
設立
2017年05月