GMO Flatt Securityの「Takumi byGMO Guard機能」、1日のパッケージダウンロード数が2,000万件を突破
GMO Flatt Securityが提供する「Takumi byGMO」の「Guard」機能が、2026年5月19日に1日あたりのパッケージダウンロード数2,000万件を突破した。同機能は悪意あるパッケージをインストール前に自動ブロックするもので、昨今のサプライチェーン攻撃やAIコーディング普及によるリスク意識の高まりを背景に需要が急拡大している。
📋 記事の処理履歴
- 📰 発表: 2026年5月20日 19:01
- 🔍 収集: 2026年5月20日 10:31
- 🤖 AI分析完了: 2026年5月23日 00:29(収集から61時間57分後)
GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)は、2026年3月に提供を開始したセキュリティAIエージェント「Takumi byGMO(以下、Takumi)」の「Guard」機能において、5月19日に1日あたり2,000万件を超えるパッケージダウンロード数を記録したことをお知らせいたします。4月上旬に1,000万件に達して以降、わずか1ヶ月ほどで倍増しており、「Guard」機能が開発現場における「水際対策」の新たな基盤として急速に導入が進んでいることを示しています。
「Guard」機能とは:悪意あるパッケージをインストール前にブロック
「Guard」機能は、パッケージレジストリとエンジニアの開発環境の間に介在するプロキシです。パッケージのダウンロード時に悪性の有無をリアルタイムで検証します。悪性と判定されたパッケージは、開発者の端末やCI/CD環境に到達する前に自動でブロックされます。導入はターミナルで特定のコマンドを1行実行するだけで完了し、既存のコードや作業手順への変更は不要です。
SBOM管理ツールなどは、すでにインストールされたパッケージを事後的にスキャンする仕組みがほとんどであり、マルウェアの侵入そのものは防げませんでした。しかし、3月に発生した「axios」の侵害事例では、悪性バージョンがnpm上に公開されていたのはわずか3時間程度だったにもかかわらず、その短時間のうちに通常のインストール操作を行った開発環境が広く被害を受けました。「Guard」機能はインストール時に介入するため、こうした悪性パッケージの侵入そのものを未然に防ぎます。
現在、npmに加え、PyPI、RubyGemsに対応しており、主要なパッケージエコシステムを横断した防衛が可能で、個人・法人を問わずどなたでも無料でご利用いただけます。また、組織全体の端末への一括導入をご検討の法人様を対象に管理ツールによる一括セットアップ機能(有料)を提供しています。
導入急増の背景:相次ぐソフトウェアサプライチェーン攻撃による危機意識の高まり
「Guard」機能の導入が急速に進んだ背景には、2026年に立て続けに発生したソフトウェアサプライチェーン攻撃が大きく関わっていると考えられます。
2026年3月末、週間ダウンロード数が1億件に及ぶHTTPクライアントライブラリ「axios」が侵害され、間接依存を含む広範囲への影響が発生しました。侵害はたった一人のメンテナへのソーシャルエンジニアリング攻撃に起因するもので、著名パッケージ1つへの侵害が、世界中のシステムにリスクをもたらす、センセーショナルな事例となりました。
さらに、コーディングエージェントの普及が、攻撃を受けるリスクを拡大させています。AIは責任を負わない一方で自律的にパッケージをインストールできるため、最終的に安全性を検証すべき人間側に負担が及びがちであるという「構造的な問題」が発生しています。特に、自分でコードを書かず、AIへの指示だけで開発を進めるバイブコーディングが普及した結果、開発経験を持たない利用者がAIの提案をそのまま受け入れ、安全性の検証が不十分なパッケージに意図せず依存してしまうケースも増加しています。
こうした相次ぐ侵害の状況を受け、開発現場におけるソフトウェアサプライチェーン攻撃への対策意識が高まり、「Guard」機能の1日あたりのダウンロード数は2026年4月上旬より継続的に1,000万件を超え、5月19日には2,000万件超に達しました。
ソフトウェアサプライチェーンへの攻撃は今後も高度化・継続的に発生すると考えられ、引き続き、「水際」での防衛は不可欠です。「Guard」機能をはじめとする「Takumi」の各機能は、こうした危機意識のもと、セキュリティへの意識が高い開発組織を中心に導入が拡大しています。
「Guard」機能とは:悪意あるパッケージをインストール前にブロック
「Guard」機能は、パッケージレジストリとエンジニアの開発環境の間に介在するプロキシです。パッケージのダウンロード時に悪性の有無をリアルタイムで検証します。悪性と判定されたパッケージは、開発者の端末やCI/CD環境に到達する前に自動でブロックされます。導入はターミナルで特定のコマンドを1行実行するだけで完了し、既存のコードや作業手順への変更は不要です。
SBOM管理ツールなどは、すでにインストールされたパッケージを事後的にスキャンする仕組みがほとんどであり、マルウェアの侵入そのものは防げませんでした。しかし、3月に発生した「axios」の侵害事例では、悪性バージョンがnpm上に公開されていたのはわずか3時間程度だったにもかかわらず、その短時間のうちに通常のインストール操作を行った開発環境が広く被害を受けました。「Guard」機能はインストール時に介入するため、こうした悪性パッケージの侵入そのものを未然に防ぎます。
現在、npmに加え、PyPI、RubyGemsに対応しており、主要なパッケージエコシステムを横断した防衛が可能で、個人・法人を問わずどなたでも無料でご利用いただけます。また、組織全体の端末への一括導入をご検討の法人様を対象に管理ツールによる一括セットアップ機能(有料)を提供しています。
導入急増の背景:相次ぐソフトウェアサプライチェーン攻撃による危機意識の高まり
「Guard」機能の導入が急速に進んだ背景には、2026年に立て続けに発生したソフトウェアサプライチェーン攻撃が大きく関わっていると考えられます。
2026年3月末、週間ダウンロード数が1億件に及ぶHTTPクライアントライブラリ「axios」が侵害され、間接依存を含む広範囲への影響が発生しました。侵害はたった一人のメンテナへのソーシャルエンジニアリング攻撃に起因するもので、著名パッケージ1つへの侵害が、世界中のシステムにリスクをもたらす、センセーショナルな事例となりました。
さらに、コーディングエージェントの普及が、攻撃を受けるリスクを拡大させています。AIは責任を負わない一方で自律的にパッケージをインストールできるため、最終的に安全性を検証すべき人間側に負担が及びがちであるという「構造的な問題」が発生しています。特に、自分でコードを書かず、AIへの指示だけで開発を進めるバイブコーディングが普及した結果、開発経験を持たない利用者がAIの提案をそのまま受け入れ、安全性の検証が不十分なパッケージに意図せず依存してしまうケースも増加しています。
こうした相次ぐ侵害の状況を受け、開発現場におけるソフトウェアサプライチェーン攻撃への対策意識が高まり、「Guard」機能の1日あたりのダウンロード数は2026年4月上旬より継続的に1,000万件を超え、5月19日には2,000万件超に達しました。
ソフトウェアサプライチェーンへの攻撃は今後も高度化・継続的に発生すると考えられ、引き続き、「水際」での防衛は不可欠です。「Guard」機能をはじめとする「Takumi」の各機能は、こうした危機意識のもと、セキュリティへの意識が高い開発組織を中心に導入が拡大しています。
よくある質問
「Takumi byGMO」の「Guard」機能とは何ですか?
パッケージレジストリと開発環境の間に介在し、悪意あるパッケージをインストール前に自動でブロックするプロキシ機能です。
「Guard」機能の導入実績はどのようになっていますか?
2026年5月19日に1日あたりのパッケージダウンロード数が2,000万件を突破しました。4月上旬から約1ヶ月で倍増しています。
SBOM管理ツールと「Guard」機能の違いは何ですか?
SBOM管理ツールがインストール後の事後スキャンであるのに対し、「Guard」機能はインストール時にリアルタイム検証を行い、侵入そのものを未然に防ぐ点が異なります。
「Guard」機能はどのようなパッケージエコシステムに対応していますか?
現在、npm、PyPI、RubyGemsに対応しており、主要なパッケージエコシステムを横断した防衛が可能です。
「Guard」機能の導入が急増している背景は何ですか?
2026年の「axios」侵害などサプライチェーン攻撃の増加や、AIコーディング(バイブコーディング)の普及により、安全性の検証が不十分なままパッケージをインストールするリスクが高まっているためです。