「エンジニアの背中を預かる」をミッションに掲げるGMO Flatt Security 代表取締役CEOの井手です。
2025年7月8日より、GMOインターネットグループと提携して「GMOオープンソース開発者応援プログラム」をリリースいたしました。GMOとして「すべての人に安心な未来を」というキャッチフレーズのもと行っている「ネットのセキュリティもGMO」プロジェクトの第四弾として、弊社のプロダクトである「Takumi byGMO(以下、Takumi)」をOSS開発者の皆様に無料で提供させていただくことができる運びとなりました。 「Takumi」の提供によりOSS(オープンソースソフトウェア)のセキュリティ対策における脆弱性検出から修正までの工数を大幅に削減するほか、従来発見が困難だった潜在的な脆弱性を網羅的に検出することで、より迅速な修正対応を可能にし、これまで以上にインターネットの安全に資することを目指します。
この記事では、なぜ、いまOSS開発者の支援に力を入れたいのか、「Takumi」に込めた思い、そしてこのプログラムの実現に至った背景についてお話しできればと思います。
なぜ今、OSS開発者の「背中を預かる」のか
現代の ITインフラは OSS(オープンソースソフトウェア)を抜きに語れません。Web サーバー、 OS、主要言語のランタイムやフレームワークなど、日常的に触れる技術スタックの大部分が OSS によって支えられています。
OSS という文化を初めて知ったとき、私は強い衝撃を受けました。ビジネスの世界では優れた技術ほど社内に囲い込みますし、それが競争力維持のためにも良しとされています。しかし、OSS では「同じ車輪を再発明するより、良い車輪を協力して磨き、共有しよう」という考え方が当たり前に機能しています。営利・非営利の垣根を越えたエンジニアの情熱が公共財としてのインターネットを形づくってきたこと、その延長線上で「コードも共有するのが合理的」という文化が根付いたのだと考えています。
GMO Flatt Securityが「非公開か公開かなら公開」という行動指針をもっているのも少なからずこういったOSSの文化に影響を受けています。
しかし、このOSSの圧倒的な自由度と多様性を支えているのは、世界中の開発者による有志かつ無償の協力です。このような開発体制はOSSの自由度と多様性を支える一方で、セキュリティ対策に十分なリソースが割かれにくいという課題を抱えています。 OSSのコミュニティが大きくなる中で全てのプルリクエストをセキュリティの面からもしっかりレビューするには多大な労力が必要です。最近ではAIがコード生成するようになったことで開発のスピードがさらに早くなっており、この傾向はより加速すると考えています。
実際、ソフトウェア全体における脆弱性の報告件数は年々増加傾向にあります。NVD(National Vulnerability Database)の公式統計によれば、年間のCVE公開件数は2019年の17,305件から、2024年には39,974件に達しており、わずか5年で倍増以上になっています。OSSもその一部を占めておりセキュリティ課題は年々大きくなっています。
そのような状況の中、OSSの文化に支えられてきた私たちが、今できることはないのか。日々その恩恵を受けているからこそ、何かしらの形で還元したいという気持ちが生まれました。
Takumi byGMOについて
この想いを形にするべく、今回、我々のプロダクトであるセキュリティ診断AIエージェント「Takumi byGMO」をOSS開発者の皆様に無料提供する運びとなりました。「Takumi」は、まさにOSS開発者の皆様の「セキュリティの背中」を預かり、より創造的な活動に集中できる未来を拓くためのツールです。Slackワークスペースやブラウザ上で、同僚のセキュリティエンジニアに仕事を依頼するように、ソフトウェア実装や設計のセキュリティレビュー等を依頼できます。
プロンプトに細かな問答は必要なく、数分から数十分の試行錯誤を自律的に行なってくれる点が特徴です。また、都度依頼をしなくとも週に1回コード差分をチェックするといった定期タスク実行も可能です。
「Takumi」が対OSSでどの程度のことができるか、という観点ではすでにわかりやすい実績があります。弊社がTakumiを用いてOSSの脆弱性リサーチを行った結果としてすでに10件以上の脆弱性を報告していますし、すでに詳細を開示可能な範囲ではVimやNext.jsといった非常に著名なOSSの脆弱性を指摘し、修正に繋げています。
今年3月のリリース以降、7月時点で40以上の企業様に導入いただいています。当社でも、社内のエンジニアが脆弱性リサーチプログラムやクライアントの脆弱性診断業務で「Takumi」を活用しており、既に10件以上のOSSの脆弱性を報告しています。本プログラムでも、OSSのセキュリティ品質向上ができるものと期待しています。
プログラムを通して、この素晴らしいOSSという文化に恩返しするべくOSS開発者の皆様に「Takumi」を提供させていただき、OSS開発者の皆様がより前向きな取り組みに時間を使えるようになると嬉しいなと思います。
当プログラムの詳細
本プログラムは、OSSプロジェクトに従事する開発者(個人・法人問わず)の皆様を対象に、GMOインターネットグループとGMO Flatt Securityが共同でセキュリティ診断AIエージェント「Takumi byGMO」を無料提供するものです。
お申し込みいただいたOSSプロジェクトは、継続的なメンテナンス状況の観点などから審査させていただきます。審査を通過された方には「Takumi byGMO」の利用クレジットを付与し、セキュリティ対策にご活用いただけます。
無料クレジット提供の条件として、採択されたOSSプロジェクトのGitHubリポジトリのREADMEに、所定のバッジを掲示いただくことをお願いしています。 これは、本プログラムの貢献を広く知っていただき、OSSコミュニティ全体のセキュリティ意識向上に繋がることを目的としています。 プログラムへのご応募は、公式サイトの応募フォームを通じて受け付けています。審査の詳細や、ご応募にあたっての具体的な手続きについては、下記プログラム公式サイトにてご確認ください。
▼GMOオープンソース開発者応援プログラム公式サイト
最後に - OSSの発展を願って
GMOオープンソース開発者応援プログラムは、OSS開発者の皆様がセキュリティチェックに費やす時間と労力を、「Takumi」によって効率的にサポートすることで、より本質的な開発業務に集中できる環境を提供します。 私たちは、「Takumi」を通じてOSS開発者の皆様が安心して創造力を発揮できるよう、セキュリティの側面から支えたいと考えています。この取り組みが、インターネット全体の安全に貢献し、皆様と共にセキュアなインターネットを築く一歩となることを願っています。
