脆弱性対応の喫緊性高まる
見出し
近年、公開される脆弱性(CVE)の件数は増加の一途をたどり、2024年には年間4万件を突破し、2025年も過去最多を更新しました。この増加を加速させているのが、Claude Mythosなどの「フロンティアAI」の登場です。AIによるコード解析や脆弱性調査の自動化は、防御側の検査を効率化する一方で、攻撃者による脆弱性の発見や、攻撃から悪用までの期間(Time-to-Exploit)を大幅に短縮しつつあります。
その結果、現在の開発組織には、より継続的で大量、かつ高頻度なパッチ適用が求められています。実際、金融庁および日本銀行は、連名でフロンティアAIへの対応策として、パッチ適用に係る人的リソースの追加を含む数点を金融機関等に対して要請しました。(参照:「フロンティア AI による脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について)
しかし、実際の開発現場では、ベースイメージやその内部のOSパッケージ・ライブラリ群に対するパッチ適用は、依存関係の調査やビルドの再構成、動作確認といった作業を伴うため、負担の大きい業務とされています。このため、対応が後回しにされる傾向がありました。フロンティアAI以後の時代において、パッチ適用の省力化と高速化は重要な課題となっています。
ソフトウェアサプライチェーン攻撃の脅威
高頻度なソフトウェア更新が求められる一方で、更新作業中を狙う「ソフトウェアサプライチェーン攻撃」も近年多発しています。例えば、2026年3月には週間約1億回ダウンロードされているソフトウェア「axios」が改ざんされ、利用者がライブラリを更新しただけで侵害される事態が発生しました。2026年3月以降、同種の攻撃は多発しており、ソフトウェアの更新作業自体が大きなリスクを伴う時代へと変化しています。
現在の開発現場には、高頻度なソフトウェア更新と同時に、その更新時のリスク低減が求められています。
「Takumi Images」によるコンテナ環境の保護
「Takumi Images」は、含まれる既知脆弱性が最小化されたコンテナイメージ群を提供する機能です。Node.js、Python、Go、curlをはじめとする主要な言語ランタイムやツール群のイメージを、amd64とarm64の両アーキテクチャで提供します。
各イメージは、シェルやパッケージマネージャを含まない最小構成で構築されており、脆弱性を含有しうるコンポーネントの母数そのものを大幅に削減しています。さらに、収録パッケージは常に上流(アップストリーム)の最新バージョンへ継続的に追従し、脆弱性パッチを取り込み続けています。修正パッチが存在しない脆弱性や影響を受けないと判断した脆弱性については、根拠を明示したVEX(Vulnerability Exploitability eXchange)として公開し、透明性のある形でトリアージ結果を提供します。
ベースイメージ切り替えで脆弱性に対応
「Takumi Images」の利用には、ビルドパイプラインや開発フローの大きな変更は不要とされています。Dockerfileの「FROM」行を一行書き換えるだけで、含まれる既知脆弱性が最小化されたベースイメージへ移行できます。以降、新たな脆弱性が公開された場合も、最新のイメージをベースに再ビルドするだけでパッチ適用が完了します。従来の依存パッケージの調査や修正版の選定といった対応作業は不要です。
マルウェア混入対策も強化
同社は、「Takumi Images」の公開前に、すべてのイメージに対して既知パッケージマルウェアの含有検査を実施し、検査を通過したもののみを提供しています。さらに、イメージの構築においても、サプライチェーン攻撃への構造的な防御を施しているとのことです。これにより、「Takumi Images」を利用してパッチ対応を進める限り、パッチ時のマルウェア混入やソフトウェアサプライチェーン攻撃に対する対策も自然に行えるとしています。
「Takumi Images」の詳細については、以下のウェブサイトで確認できます。
今後の展望
GMO Flatt Securityは今後、提供するコンテナイメージの種類をデータベース、言語ランタイム、ミドルウェアを中心にさらに拡充していく予定です。また、CVE ID未採番の脆弱性情報の検出や、国際的なコンプライアンス要件への対応なども計画しています。
GMO Flatt Security株式会社は、「エンジニアの背中を預かる」をミッションに、DX推進やソフトウェア開発のセキュリティを支援する日本発のセキュリティプロフェッショナル企業です。
ソース元
GMO Flatt Security株式会社のプレスリリースより
