GMO Flatt Security、セキュリティ診断AIエージェント
「Takumi」リリース
自律的に脆弱性を発見・トリアージ。既に0-day脆弱性も発見

　GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手 康貴　以下、GMO Flatt Security）は、2025年3月24日より、セキュリティ診断AIエージェント 「Takumi（読み：タクミ　URL：https://flatt.tech/takumi）」 をリリースするとともに、2025年4月7日以降利用開始枠の公開事前登録の受付を開始いたします。
　「Takumi」は実証実験においてすでにVim等の著名OSSに0-day脆弱性を報告するなどその性能が示されています。GMO Flatt Securityが長年取り組んできた脆弱性診断やリサーチのあり方を根本的に変化させ、これまで以上に世界の安全に資することを目指します。

「Takumi」紹介動画：https://youtu.be/mDt-kx_ZNlg

　「Takumi」は国産脆弱性診断ツール「Shisho Cloud byGMO」（URL：https://shisho.dev/ja）の新機能として提供されますが、既存の料金体系からは独立しており「Takumi」単体の利用も可能です。

【セキュリティ診断AIエージェント「Takumi」とは】

　「Takumi」はGMO Flatt Securityが開発した、セキュリティ診断AIエージェントです。昨今世界中で爆発的に利用が増えているソフトウェア開発AIエージェントと異なる点は、「Takumi」は脆弱性診断をはじめとする開発中のセキュリティ業務に特化したAIエージェントである点です。
　ユーザーは、「Takumi」をSlackワークスペースに追加すると、同僚のセキュリティエンジニアに仕事を依頼するように、ソフトウェア実装や設計のセキュリティレビュー等を依頼できます。その際、細かな問答は必要なく、数分から数十分の試行錯誤を自律的に実行します。

セキュリティ診断AIエージェント「Takumi」の使用イメージ

　「Takumi」はスポットでの指示によりその時必要なセキュリティ評価を実施させられる他、特定のイベントの発生時に自動的に稼働させることも可能です。それにより、ソフトウェアの開発ライフサイクルで必要となる定型的なセキュリティ業務の、柔軟な自動化が可能となります。
　GMO Flatt Securityでは、既にOSSの脆弱性調査、及び脆弱性診断^(*1)において「Takumi」をアシスタントとして活用しています。その結果、「Takumi」を活用して発見・報告したVimの脆弱性が公開されている他^(*2)、10日間の実証実験期間で10件の0-day脆弱性を既に発見しています。

（*1） 利用に関して、試用ユーザー様との合意が得られた場合に限ります。
（*2） Vim < v9.1.1198に存在する特定のZIPファイル処理時のデータ損失脆弱性（https://github.com/vim/vim/security/advisories/GHSA-693p-m996-3rmf）

■利用料金
　「Takumi」は、月額70,000円(税抜)で利用可能です。1ヶ月の利用量には上限がありますが、追加費用により上限を超える利用も可能です。「Shisho Cloud byGMO」の既存の料金体系とは独立したものになり、「Takumi」単独での利用も可能です。

【「Takumi」の開発背景】

1. AIにより加速するソフトウェア開発に、セキュリティは追いつく必要がある
　AI技術の進化はソフトウェア開発のサイクルをかつてないほどに加速させています。GitHubの調査によれば、GitHub Copilot利用者は課題解決までの時間を平均1時間11分に短縮し、非利用者の2時間41分と比較して大幅な効率化を実現しています^(*3)Google社内におけるAIコード補助の実験でも、開発者の作業時間が約21%短縮されることが示されました^(*4)。開発者の生産性を高める上で強力なツールとなり得ることを明確に示しています。一方で、これはソフトウェアのセキュリティに関する業務も同様のAIによる加速を必要としていることを意味しています。
（*3） https://github.blog/news-insights/research/research-quantifying-github-copilots-impact-on-developer-productivity-and-happiness/#:~:text=,89（GitHub Copilot導入による開発者の生産性およびエンゲージメントへの定量的影響評価）
（*4） https://arxiv.org/html/2410.12944v2#:~:text=Our%20study%20shows%20that%20developers,Finally%2C%20we（AI開発支援が開発速度に与える影響：エンタープライズ環境におけるランダム化比較試験）

2. 攻撃者もAIという武器を得ている
　AIの普及は、世界中のハッカーが攻撃を行うハードルが下がっていることも意味します。GMO Flatt Security内で実施された「Takumi」の実証実験では「Takumi」に「〇〇の範囲で脆弱性を探してください」といった簡単な指示を出し、45分後にはすでに0-day脆弱性が発見されているといったことも起きました。
　裏を返せば、悪意を持った攻撃者も同様の速度で攻撃が可能であることを意味しています。サービス提供者もAIを用いて守りを強化する必要があります。

3. 脆弱性リサーチのスペシャリストだからこそ、最強のAIエージェントの開発が可能
　GMO Flatt Securityは脆弱性診断・ペネトレーションテストサービスの提供に加えて、脆弱性リサーチ活動を通じて世界の著名なソフトウェアに重大な脆弱性を報告してきました^(*5)。GMO Flatt Securityのエンジニアによる脆弱性報告で採番されたCVEの個数も100を超えています^(*6)。「Takumi」のようなセキュリティ診断AIエージェントの性能を高めていくには、脆弱性調査のプロフェッショナルのノウハウをAIに伝承し、チューニングしていく必要があります。
　「Takumi」は、セキュリティの最前線を走り続けてきたGMO Flatt Securityならではの、他では追随できない革新的なセキュリティ診断AIエージェントです。
（*5-1）https://flatt.tech/research/posts/clone2leak-your-git-credentials-belong-to-us/（GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告）
（*5-2）https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/（セキュリティリサーチャー・RyotaKがWindowsにおいてコマンドインジェクションを引き起こすことができる脆弱性をJava・PHP・Ruby・Goなど8の言語に対して報告。）
（*5-3）https://flatt.tech/research/posts/clone2leak-your-git-credentials-belong-to-us/（GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告）
（*6）CVE（Common Vulnerabilities and Exposures）とは、公開されている脆弱性を識別するための識別子です。脆弱性を発見・報告したリサーチャーや組織の実績として言及されることも珍しくありません。GMO Flatt Security CVEページ：https://flatt.tech/cve/

【「Takumi」ができること】

1. 能動的にリスクを分析、レポート
　GitHubやShisho Cloud byGMO上で起きた変化など、各種イベントの内容を理解し、リスク判断を行います。判断の上でもしリスクがあればSlack上で報告します。「Takumi」に何かを依頼するまでもなく、継続的なリスク対処が可能です。

「Takumi」に依頼しなくとも、能動的にリスクに関する指摘が行われるイメージ

2. 柔軟なコミュニケーションで指示を理解し、タスクを実行
　Slackの会話を通じてまるで同僚に頼むように脆弱性診断の依頼が可能です。ソースコードの差分に注目させたり、画像を読み込ませたりする指示も可能です。AIのために人間が余分な労力を割くことはなく、業務をまるごと任せて人間が遂行すべき業務に集中することができます。

3. ソースコードを元にした高度な脆弱性診断
　「Takumi」はソースコードを解析して脆弱性診断を行いますが、その性能はパターンマッチによる脆弱なスニペット検知を基本とする旧来の静的解析ツールとは一線を画します。アプリケーションの仕様やビジネスロジックを理解し、その実装ならではのリスクを検知することができます。また、「〇〇を実装するコードはどこにありますか？」「△△の画面で呼ばれているAPIエンドポイントの一覧を教えて」といった、セキュリティ業務を遂行するために必要な情報の収集も強力にサポートします。

【試用ユーザーの皆様の声】

　試用版（無料）をご利用いただいたエンジニアの皆様より「Takumi」への感想・期待のコメントをいただきました。

■株式会社LayerX
　部門執行役員 VP of Enabling 名村 卓様　
　セキュリティエンジニアの採用はどの会社も順調でないし、特に立ち上げ期はセキュリティはなかなか優先度が上げづらいものです。そこでTakumiのようなAIエージェントに依頼するだけで継続的なセキュリティ診断を実施することができるのは、かなり大きな変革になると思います。開発プロセスの中で"お節介セキュリティエンジニア"みたいな人が張り付いてくれるのは嬉しいですよね。knowledgeの設計など、エージェントの作り方次第で他社が真似できないものになると思います。

株式会社Preferred Networks
Engineer Manager 太田 佳敬様
　Preferred Networksでは、お客様の大切なデータを守るためにアプリケーションの安全を維持することはとても重要なことだと考えています。一方、チームや開発規模が大きくなるにつれて防ぐべき箇所も増えるため、安全維持の難易度は上がります。Takumiは、いつでもセキュリティエンジニアのレビューのように柔軟な分析を行ってくれるため、お客様に新しい価値を提供しつつ安全を維持するという難しい課題に対して強力な味方となってくれると確信しています。

■株式会社PKSHA Communication
　CS事業本部 Chatbot事業部長 中川 岳様
　親切なセキュリティの専門家が常に社内に居てくれるようで、大変心強いサービスだと感じました。簡単な指示を与えるだけで、数十万行を超えるコードベースのチェックを20分程度で完了できるのは革新的です。利用開始のハードルが低く、既存プロジェクトへの導入も手軽に始められそうです。TakumiはWebサービスをセキュアに、そしてスピーディに成長させるための強力な武器になると確信しています。

【利用方法】

　試用版をご利用いただいた方以外に向けた公開事前登録を本日より開始します。事前登録者の皆様に順次利用のご案内をさせていただきます（先着順・審査有）。利用開始は4月7日（月）以降を予定しております。
・事前登録ページURL：https://flatt.tech/takumi

　同日4月7日（月）には、ファインディ株式会社と共催のイベントもございます。ご興味がある方はご参加ください。
・イベント登録ページ：https://flatt.connpass.com/event/349518

【GMO Flatt Security株式会社について】

　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群
・Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」
　URL： https://shisho.dev/ja
・セキュリティエンジニアによる手動脆弱性調査・分析サービス「脆弱性診断」
　URL：https://flatt.tech/assessment
・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
　URL： https://flatt.tech/kenro