企業動向

GMO Flatt Security、コンテナ環境保護の新機能「Takumi Images」提供開始 – 脆弱性とサプライチェーン攻撃に対応


GMO Flatt Security株式会社は、ソフトウェア開発プラットフォーム「Takumi byGMO」において、コンテナ環境の脆弱性パッチ適用を簡素化する新機能「Takumi Images」の提供を開始しました。フロンティアAIによる脆弱性発見の加速やサプライチェーン攻撃の増加に対応し、コンテナ環境のセキュリティ強化を図ります。

脆弱性対応の喫緊性高まる

近年、公開される脆弱性(CVE)の件数は増加の一途をたどり、2024年には年間4万件を突破し、2025年も過去最多を更新しました。この増加を加速させているのが、Claude Mythosなどの「フロンティアAI」の登場です。AIによるコード解析や脆弱性調査の自動化は、防御側の検査を効率化する一方で、攻撃者による脆弱性の発見や、攻撃から悪用までの期間(Time-to-Exploit)を大幅に短縮しつつあります。

その結果、現在の開発組織には、より継続的で大量、かつ高頻度なパッチ適用が求められています。実際、金融庁および日本銀行は、連名でフロンティアAIへの対応策として、パッチ適用に係る人的リソースの追加を含む数点を金融機関等に対して要請しました。(参照:「フロンティア AI による脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について

既知脆弱性を狙う攻撃とトレンド Takumi by GMO 新たな脆弱性が日々検出される 更新を怠ると攻撃される可能性 ダウンロード オープンソースソフトウェア サーバー 開発者端末 CI/CD環境 脆弱性数の増加により、ソフトウェア更新の負担も増加傾向

しかし、実際の開発現場では、ベースイメージやその内部のOSパッケージ・ライブラリ群に対するパッチ適用は、依存関係の調査やビルドの再構成、動作確認といった作業を伴うため、負担の大きい業務とされています。このため、対応が後回しにされる傾向がありました。フロンティアAI以後の時代において、パッチ適用の省力化と高速化は重要な課題となっています。

ソフトウェアサプライチェーン攻撃の脅威

高頻度なソフトウェア更新が求められる一方で、更新作業中を狙う「ソフトウェアサプライチェーン攻撃」も近年多発しています。例えば、2026年3月には週間約1億回ダウンロードされているソフトウェア「axios」が改ざんされ、利用者がライブラリを更新しただけで侵害される事態が発生しました。2026年3月以降、同種の攻撃は多発しており、ソフトウェアの更新作業自体が大きなリスクを伴う時代へと変化しています。

現在の開発現場には、高頻度なソフトウェア更新と同時に、その更新時のリスク低減が求められています。

ソフトウェアの利用・更新を狙う攻撃 (ソフトウェアサプライチェーン攻撃) Takumi by GMO マルウェアが混入したソフトウェアを意図せずダウンロード 強力な権限を持つ開発環境の乗っ取り CI/CD等 開発者端末 ソフトウェア製品 ソフトウェアへのマルウェア混入 エンドユーザー オープンソースソフトウェア ソフトウェア更新作業が伴うリスクも増加傾向

「Takumi Images」によるコンテナ環境の保護

「Takumi Images」は、含まれる既知脆弱性が最小化されたコンテナイメージ群を提供する機能です。Node.js、Python、Go、curlをはじめとする主要な言語ランタイムやツール群のイメージを、amd64とarm64の両アーキテクチャで提供します。

各イメージは、シェルやパッケージマネージャを含まない最小構成で構築されており、脆弱性を含有しうるコンポーネントの母数そのものを大幅に削減しています。さらに、収録パッケージは常に上流(アップストリーム)の最新バージョンへ継続的に追従し、脆弱性パッチを取り込み続けています。修正パッチが存在しない脆弱性や影響を受けないと判断した脆弱性については、根拠を明示したVEX(Vulnerability Exploitability eXchange)として公開し、透明性のある形でトリアージ結果を提供します。

Takumi Images の概要 悪用可能な脆弱性が最小化されたコンテナイメージ Takumi Images by GMO Takumi Images 採録 利用 オープンソースソフトウェア サーバー 開発者端末 CI/CD環境 専門家が脆弱性パッチを継続的に取込。 マルウェア混入も検査し予防 ベースイメージを切り替えるだけで 脆弱性パッチ適用が高速かつ安全に GMO

ベースイメージ切り替えで脆弱性に対応

「Takumi Images」の利用には、ビルドパイプラインや開発フローの大きな変更は不要とされています。Dockerfileの「FROM」行を一行書き換えるだけで、含まれる既知脆弱性が最小化されたベースイメージへ移行できます。以降、新たな脆弱性が公開された場合も、最新のイメージをベースに再ビルドするだけでパッチ適用が完了します。従来の依存パッケージの調査や修正版の選定といった対応作業は不要です。

Takumi Images の利用方法と効果 一行の変更のみで利用可能 - FROM node:latest + FROM images.flatt.tech/takumi/node:latest Takumi by GMO node:latest (標準イメージ) 内の脆弱性情報 Critical 56 High 280 Medium 395 Low 67 ※ 2026年7月6日時点。脆弱性検査は「Grype」による Takumi Images 配布物内の脆弱性情報 Critical 0 High 0 Medium 0 Low 0 参考(点線内): スキャナが検知しうるが、悪用不可能と専門家が判断した脆弱性の数量 悪用可能な脆弱性はゼロまで削減済

マルウェア混入対策も強化

同社は、「Takumi Images」の公開前に、すべてのイメージに対して既知パッケージマルウェアの含有検査を実施し、検査を通過したもののみを提供しています。さらに、イメージの構築においても、サプライチェーン攻撃への構造的な防御を施しているとのことです。これにより、「Takumi Images」を利用してパッチ対応を進める限り、パッチ時のマルウェア混入やソフトウェアサプライチェーン攻撃に対する対策も自然に行えるとしています。

「Takumi Images」の詳細については、以下のウェブサイトで確認できます。

今後の展望

GMO Flatt Securityは今後、提供するコンテナイメージの種類をデータベース、言語ランタイム、ミドルウェアを中心にさらに拡充していく予定です。また、CVE ID未採番の脆弱性情報の検出や、国際的なコンプライアンス要件への対応なども計画しています。

GMO Flatt Security株式会社は、「エンジニアの背中を預かる」をミッションに、DX推進やソフトウェア開発のセキュリティを支援する日本発のセキュリティプロフェッショナル企業です。

ソース元
GMO Flatt Security株式会社のプレスリリースより

ページトップへ戻る
×