Takumi byGMO「Guard」機能、1日のパッケージダウンロード数が2,000万件超を記録
〜ソフトウェアサプライチェーン攻撃対策が急務となる中、
未導入企業を期間限定で後押し〜

　GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手 康貴　以下、GMO Flatt Security）は、2026年3月に提供を開始したセキュリティAIエージェント「Takumi byGMO」の「Guard」機能において、5月19日に1日あたり2,000万件を超えるパッケージダウンロード数を記録したことをお知らせいたします。4月上旬に1,000万件に達して以降、わずか1ヶ月ほどで倍増しており、「Guard」機能が開発現場における「水際対策」の新たな基盤として急速に導入が進んでいることを示しています。

【「Guard」機能とは：悪意あるパッケージをインストール前にブロック】

　「Guard」機能は、パッケージレジストリとエンジニアの開発環境の間に介在するプロキシです。パッケージのダウンロード時に悪性の有無をリアルタイムで検証します。悪性と判定されたパッケージは、開発者の端末やCI/CD環境に到達する前に自動でブロックされます。導入はターミナルで特定のコマンドを1行実行するだけで完了し、既存のコードや作業手順への変更は不要です。

　SBOM^（※1）管理ツールなどは、すでにインストールされたパッケージを事後的にスキャンする仕組みがほとんどであり、マルウェアの侵入そのものは防げませんでした。しかし、3月に発生した「axios」の侵害事例^（※2）では、悪性バージョンがnpm上に公開されていたのはわずか3時間程度だったにもかかわらず、その短時間のうちに通常のインストール操作を行った開発環境が広く被害を受けました。「Guard」機能はインストール時に介入するため、こうした悪性パッケージの侵入そのものを未然に防ぎます。
　現在、npmに加え、PyPI、RubyGemsに対応しており、主要なパッケージエコシステムを横断した防衛が可能で、個人・法人を問わずどなたでも無料でご利用いただけます。また、組織全体の端末への一括導入をご検討の法人様を対象に管理ツールによる一括セットアップ機能（有料）を提供しています。

・「Guard」機能 Webサイト：https://flatt.tech/takumi/features/guard
（*1）Software Bill of Materialsの略語。「ソフトウェア部品表」とも呼ばれ、ソフトウェアに含まれるコンポーネントの構成情報及びその依存関係をリスト化したデータ。
（*2）https://blog.flatt.tech/entry/axios_compromise（axios ソフトウェアサプライチェーン攻撃の概要と対応指針）

【導入急増の背景：相次ぐソフトウェアサプライチェーン攻撃による危機意識の高まり】

　「Guard」機能の導入が急速に進んだ背景には、2026年に立て続けに発生したソフトウェアサプライチェーン攻撃が大きく関わっていると考えられます。
　2026年3月末、週間ダウンロード数が1億件に及ぶHTTPクライアントライブラリ「axios」が侵害され、間接依存を含む広範囲への影響が発生しました。侵害はたった一人のメンテナへのソーシャルエンジニアリング攻撃に起因するもので、著名パッケージ１つへの侵害が、世界中のシステムにリスクをもたらす、センセーショナルな事例となりました。
　さらに、コーディングエージェントの普及が、攻撃を受けるリスクを拡大させています。AIは責任を負わない一方で自律的にパッケージをインストールできるため、最終的に安全性を検証すべき人間側に負担が及びがちであるという「構造的な問題」が発生しています。特に、自分でコードを書かず、AIへの指示だけで開発を進めるバイブコーディングが普及した結果、開発経験を持たない利用者がAIの提案をそのまま受け入れ、安全性の検証が不十分なパッケージに意図せず依存してしまうケースも増加しています。
　こうした相次ぐ侵害の状況を受け、開発現場におけるソフトウェアサプライチェーン攻撃への対策意識が高まりGuard」機能の1日あたりのダウンロード数は2026年4月上旬より継続的に1,000万件を超え、5月19日には2,000万件超に達しました。
　ソフトウェアサプライチェーンへの攻撃は今後も高度化・継続的に発生すると考えられ、引き続き、「水際」での防衛は不可欠です。「Guard」機能をはじめとする「Takumi byGMO」の各機能は、こうした危機意識のもと、セキュリティへの意識が高い開発組織を中心に導入が拡大しています。

【「日本のソフトウェアサプライチェーンを守る！導入後押しキャンペーン」のご案内】

　現在、どの日本企業にも速やかな対応が求められる中、多くのお客様から「年度途中で新たな予算確保に苦慮している」というお悩みの声をいただいてまいりました。これに応え、日本企業のソフトウェアサプライチェーン攻撃対策をさらに加速するため、「Takumi byGMO」導入判断の後押しとなるキャンペーンを実施いたします。

■ キャンペーン概要
・名称：「日本のソフトウェアサプライチェーンを守る！導入後押しキャンペーン」
・概要：「Takumi byGMO」の「基本プラン」月額料金を3ヶ月分無料^（※3）でご提供いたします。
・内容：「基本プラン」には、以下の利用枠が含まれます。
　1.「Guard」機能 - 15組織ユーザートークン分/月
　2.「Runner」機能 - 3,000分/月の利用枠
　3.脆弱性診断を含む各種機能 - 250クレジット分
・利用条件：特典の適用は、以下の4条件をともに満たした場合に限ります。
　1. 2026年5月19日以前に「Takumi byGMO」に関してお問い合わせいただいていないこと
　2.2026年5月31日までにお問い合わせいただくこと
　3.2026年8月31日までに有償契約を開始いただくこと
　4.有償契約開始以後、6か月以上継続した利用を前提とすること
・お申し込み先：https://flatt.tech/contact^（※4）

(*3) 「内容」に記載の利用枠を超過した利用には、超過分に対応する費用（有料）を頂戴しております。予めご了承ください。
(*4) キャンペーン名をお問い合わせフォームにご記入ください。

【今後の展望】

　今後は、すでに提供を開始しているnpm、PyPI、RubyGemsに加え、Rust（crates.io）をはじめとする主要パッケージレジストリへの対応を順次拡大してまいります。多様化する開発スタックのすべてを「水際」で保護できる体制を整え、あらゆる開発組織におけるソフトウェアサプライチェーン防衛の標準化を推進します。
　GMO Flatt Securityは、コーポレートミッション「エンジニアの背中を預かる」のもと、AI時代のソフトウェアサプライチェーンを守るインフラとして、エンジニアの皆様がより安全に、そして安心して開発に専念できる環境の実現に邁進してまいります。

【GMO Flatt Security株式会社について】

　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群
・セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」
https://flatt.tech/assessment
・セキュリティ診断・ソフトウェアサプライチェーン攻撃対策特化のAIエージェント「Takumi byGMO」
https://flatt.tech/takumi
・AWS等クラウドの継続的な診断ツール(CSPM)「Shisho Cloud byGMO」
https://shisho.dev/ja
・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
https://flatt.tech/kenro

※ 記載されている会社名及び製品名は、各社の商標または登録商標です。