GMO Flatt Security、国産セキュリティ診断AI「Takumi」リリース　チャット感覚で診断が可能

GMOインターネットグループ傘下のGMO Flatt Security株式会社は、2025年3月24日、AIを活用したセキュリティ診断エージェント「Takumi」の提供を開始した。
Slack連携での対話型診断が可能で、4月7日以降利用開始となる事前登録も同日より受付開始となった。

自律型セキュリティ診断AI「Takumi」概要

「Takumi」は、GMO Flatt Securityが開発したセキュリティ診断に特化したAIエージェントである。
主な特徴は、自律的にソースコードを解析し、システム内部に潜む脆弱性をビジネスロジックの観点から特定できる点にある。診断の依頼はSlack上で実行可能であり、ユーザーが行う操作は同僚と対話するように、シンプルな指示のみで済む。
AIが数分から数十分の試行錯誤を経て、リスクの洗い出しや報告までを一貫して担うことが可能だ。

このAIは、既存の国産脆弱性診断ツール「Shisho Cloud byGMO」の新機能として搭載されるが、個別のサービスとしても提供される。
変化を自動的に検知し、能動的にリスクをSlack上で報告する機能も備えるなど、開発組織にとって実用性の高い支援ツールとなり得る。

すでに行われた実証実験では、10件の0-day脆弱性（※）を発見する成果を上げた。
これはAIによる脆弱性診断の有効性を裏付ける具体的な実績として注目されている。

「Takumi」の一般利用は2025年4月7日以降を予定しており、これに先立って同年3月24日より事前登録の受付が開始された。
利用料金は月額70,000円（税抜）で、使用量に上限があるものの、追加費用により拡張が可能なプランとなっている。

※0-day脆弱性：開発者やセキュリティベンダーに発見・対策される前の未公開のセキュリティホールのこと。攻撃に悪用されやすく、発見が困難とされる。

AIセキュリティ診断ツールの今後、人間をサポートする開発ツールとして活躍

「Takumi」はSlackとの柔軟なコミュニケーションに対応しており、テキストベースでのやりとりで診断内容の指示や結果のフィードバックが行える。複雑な設定やUI操作を必要とせず、開発チームの既存の業務フローに自然に組み込むことができることはメリットだろう。

ただし、AIへの過信によって「人間によるレビューが省略される」といった懸念が同時に生じるのも確かだ。人間の判断を補完するツールとして、バランスを取った運用が求められる。
「AIをどう使うか」という運用側の成熟が、ツールの真価を左右する鍵になるだろう。

今後、「Takumi」のような自律型AIセキュリティ診断ツールは、セキュリティエンジニアの作業を補助する立場から、より広範な開発・運用支援の役割へと進化していくと予想される。
現時点ではSlackとの連携に限定されているが、今後はGitHubやJira、VSCodeなど、他の開発ツールとの連携も拡大していく可能性が高い。

今後の自律型AIセキュリティ診断ツールの展開に期待だ。