• ホーム
  • 企業動向
  • GMO Flatt Security、ソフトウェアサプライチェーン診断と攻撃演習を開始 – 開発組織のセキュリティ強化へ
企業動向

GMO Flatt Security、ソフトウェアサプライチェーン診断と攻撃演習を開始 – 開発組織のセキュリティ強化へ

GMO Flatt Securityは、開発組織向けに「ソフトウェアサプライチェーン診断」と「ソフトウェアサプライチェーン攻撃演習」の提供を開始しました。これにより、依存パッケージ侵害からCI/CD環境、権限設計、ソースコード漏洩時のリスクまでを横断的に評価し、インシデント発生時の対応体制構築を支援します。相次ぐソフトウェアサプライチェーン攻撃への対策を強化する狙いです。

GMO Flatt Security、ソフトウェアサプライチェーン診断と攻撃演習を開始 – 開発組織のセキュリティ強化へ

GMO Flatt Security株式会社は、2026年5月26日より、開発組織向けの新たなセキュリティサービス「ソフトウェアサプライチェーン診断」および「ソフトウェアサプライチェーン攻撃演習」の提供を開始しました。これらのサービスは、近年多発しているソフトウェアサプライチェーン攻撃に対し、開発パイプライン全体の堅牢化を一貫して支援することを目的としています。

ソフトウェアサプライチェーン攻撃の脅威が深刻化

2026年初頭から、ソフトウェアサプライチェーン攻撃が頻発しており、ソースコードリポジトリやCI/CD環境への被害が拡大し、認証情報や個人情報の流出リスクが深刻化しています。

例えば、3月には週間約1億ダウンロードを超える主要パッケージ「axios」が侵害され、悪意のあるパッケージが依存関係に追加される事案が発生しました。また、4月にはパスワード管理ツール「Bitwarden」の公式パッケージが侵害され、開発者の認証情報を窃取するマルウェアが配布される事例も確認されています。

これらの攻撃は、開発者端末の侵害だけでなく、ソースコードやCI/CD環境に含まれるAPIキーやアクセストークンなどの認証情報、機密情報、個人情報が漏えいするリスクをはらんでいます。漏えいした認証情報が起点となり、連携サービスへの二次被害に発展する可能性も指摘されています。攻撃の最大の特徴は、開発者が業務で行う正規のパッケージインストール作業(npm installなど)を通じて感染が成立する点にあります。

新たな診断サービスでリスクを可視化

同社が提供を開始する「ソフトウェアサプライチェーン診断」は、依存パッケージの管理からCI/CD環境の構成、権限設計までを対象に、侵害時の被害範囲と対応優先度を可視化する診断サービスです。攻撃が成立した場合に、認証情報、機密情報、個人情報の漏えいがどこまで拡大するかをシミュレーションできます。

ソフトウェアサプライチェーン攻撃の段階と対策

本診断は、対象組織の依存関係に含まれるパッケージやソースコードリポジトリが侵害された際に、「自社の環境ではどの段階で攻撃が止まるか」を評価します。一般的なチェックリスト型の評価とは異なり、対象組織の環境で実際に成立しうる攻撃経路をシミュレーションし、防御の各段階における機能の有効性を明らかにします。リポジトリ内の機微情報、依存パッケージの管理状況、CI/CD環境の隔離・通信制御、トークン権限の分離度、インシデント時の追跡可能性までを横断的に評価し、被害シナリオに基づく優先順位付きのアクションリストを導出するとしています。

同社が既に提供している開発者端末のペネトレーションテストは、悪意あるパッケージによる端末侵害を起点に、実際にどの認証情報やシステムに到達できるかを実証的に評価するものです。一方、ソフトウェアサプライチェーン診断は、CI/CD環境の構成や権限設計に起因する構造的なリスクが対象となります。両者を組み合わせることで、開発者端末とCI/CD環境の双方からソフトウェアサプライチェーンのリスクを総合的に評価することが可能になるといいます。

ペネトレーションテストとソフトウェアサプライチェーン診断の対象比較

「ソフトウェアサプライチェーン診断」の詳細については、以下のウェブサイトで確認できます。

http://flatt.tech/assessment/ssc

開発チーム向け攻撃演習でインシデント対応力強化

同時に提供される「ソフトウェアサプライチェーン攻撃演習」は、「axios」や「Bitwarden CLI」など、実際に発生した侵害事例に基づき、開発チーム自らがインシデント対応と判断を実践する机上演習(TTX)です。

この演習の最大の特徴は、開発チームが中心となってインシデント対応を実施することを想定している点です。ソフトウェアサプライチェーン攻撃によるインシデントでは、「自社の開発環境が影響を受けているか」の判定から対応が始まります。この際、パッケージの利用状況やCIの実行履歴、CI/CD設定といった、その企業の開発現場の理解が不可欠となります。セキュリティチームだけでは完結できない領域において、開発チームが中心となって調査・判断する体験を提供することで、インシデント発生時の対応力向上を目指すとしています。

「ソフトウェアサプライチェーン診断」の結果を踏まえて実施することで、自社環境の実態に基づいたシナリオでの演習が可能になります。

「ソフトウェアサプライチェーン攻撃演習」の詳細については、以下のウェブサイトで確認できます。

http://flatt.tech/assessment/ssc/exercise

「エンジニアの背中を預かる」GMO Flatt Securityの取り組み

GMO Flatt Securityは、「エンジニアの背中を預かる」をミッションに掲げ、ソフトウェア開発におけるサイバーセキュリティ関連事業を展開しています。同社は2026年3月より、ソフトウェアサプライチェーン防御のための機能として、悪性パッケージの自動ブロックを行う「Takumi」の「Guard」機能や、CI/CD実行トレースを可視化する「Runner」機能などを提供してきました。

今回の「ソフトウェアサプライチェーン診断」および「ソフトウェアサプライチェーン攻撃演習」の提供開始により、セキュリティのプロフェッショナルがCI/CD環境の構造的なリスク評価と開発チームの対応力強化を支援し、ソフトウェア開発者が直面するセキュリティ課題への支援をさらに強化していくとしています。

今後もソフトウェアサプライチェーン攻撃は多様化・高度化すると予想されており、GMO Flatt Securityは「Takumi」の各機能と合わせ、ソフトウェア開発者が安心して開発に専念できる環境の実現に取り組む方針です。

GMO Flatt Security株式会社について

GMO Flatt Security株式会社は、東京都渋谷区桜丘町26番1号 セルリアンタワーに本社を置くセキュリティプロフェッショナル企業です。「エンジニアの背中を預かる」をミッションに、DX推進・ソフトウェア開発のセキュリティを支援しています。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援を通じて得た知見を元に、顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

同社は、以下のサービス群を展開しています。

    • セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」
      https://flatt.tech/assessment

    • セキュリティ診断・ソフトウェアサプライチェーン攻撃対策特化のAIエージェント「Takumi byGMO」
      https://flatt.tech/takumi

    • AWS等クラウドの継続的な診断ツール(CSPM)「Shisho Cloud byGMO」
      https://shisho.dev/ja

    • クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
      https://flatt.tech/kenro

ソース元

GMO Flatt Security、「ソフトウェアサプライチェーン診断」および「ソフトウェアサプライチェーン攻撃演習」を提供開始
<img alt="!https://minio.s-pst.com/monolab/plugins/11d4f9f40b1d026b0532cce339aad152.webp” src=”https://minio.s-pst.com/monolab/plugins/11d4f9f40b1d026b0532cce339aad152.webp” />

ページトップへ戻る
×