GMOインターネットグループのGMO Flatt Security株式会社は、2026年2月5日より、セキュリティ診断AIエージェント「Takumi byGMO」の「自動修正機能」を正式に提供開始しました。この新機能により、AIがソフトウェアの脆弱性を見つけるだけでなく、その修正までを一貫して担当することで、開発者の皆さんの負担を大きく減らし、より安全なソフトウェア開発を進められるようになります。
この機能は、「Takumi」のすべてのユーザーが追加料金なしで、月ごとの利用枠内で自由に利用できます。
セキュリティ診断AIエージェント「Takumi」とは
「Takumi」は、GMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェントです。AIの高い脆弱性検知能力を最大限に活用し、従来の自動診断ツールでは見つけにくかった「認可制御不備」や「ロジックの脆弱性」といった問題も高い精度で発見します。ブラックボックス診断(DAST/動的解析)とホワイトボックス診断(SAST/静的解析)を使い分けられるほか、ソースコードの更新差分を定期的に診断したり、診断範囲を絞ったりすることも可能で、様々な開発現場のニーズに応えます。
- 「Takumi」Webサイト:
https://flatt.tech/takumi
自動修正機能の詳細
新しく追加された自動修正機能は、セキュリティ診断で見つかった脆弱性に対して、「Takumi」が自動的に修正プログラム(パッチ)を作り、GitHubのPull Request(プルリクエスト)を作成するものです。これまでは、脆弱性が見つかると開発者が手動で修正するか、別のAIに修正を依頼する必要がありました。しかし、この機能によって、最終的な確認以外は「Takumi」にすべて任せられるようになります。
開発の背景
最近のAIの進化により、「Takumi」のようなセキュリティに特化したAIエージェントは、これまで難しかった脆弱性も自動で見つけられるようになりました。GMO Flatt Security独自のデータセットを使った検証では、96.2%という高い検知率を記録しています。
しかし、高精度で脆弱性が見つかるということは、それに対応するための手間が増えることでもあります。開発者の皆さんの負担を減らしつつ、AI時代に合ったスピーディーで安全な開発サイクルを支援するために、この自動修正機能が開発されました。
機能の特長
-
ホワイトボックス診断・ブラックボックス診断のどちらからでも利用可能
「Takumi」が検出した脆弱性の情報は、ホワイトボックス診断機能とブラックボックス診断機能のどちらからでも、スムーズに自動修正機能へ引き継ぐことができます。修正したい脆弱性をメニューから選び、出力言語(日本語または英語)とリポジトリを指定するだけで、修正案の作成が始まります。
-
修正案を複数回アップデート可能。内容を確認してからPRを作成
「Takumi」が作成した修正案は、納得がいくまで何度でも再作成を依頼できます。作成された複数の修正案は一覧で確認でき、その中から最も良いものを選んでPull Requestを作成できます。
-
ユニットテストも自動作成。修正内容の正当性を保証
「Takumi」が作成する修正案には、ユニットテストや、変更内容・修正の理由をまとめたレポート文章も含まれます。これにより、最終確認を行う人間のレビュアーの負担が最小限に抑えられます。
自動修正機能の利用方法
本機能は、本日よりすべての「Takumi」ユーザーが利用できます。追加料金やプラン変更は不要で、月ごとの利用枠内で自由に利用可能です。詳しい利用手順は、ユーザーガイドで確認できます。
- 自動修正機能ユーザーガイド:
https://shisho.dev/docs/ja/t/features/autofix/
試用者の声
正式リリースに先立ち、自動修正機能を試用した方々からは、以下のような声が寄せられています。
株式会社ゲームエイト CTO 伊林義博様
「診断結果として『どこが問題で、どう直すべきか』が示されるだけでなく、修正パッチとテストコードが生成され、Pull Requestという具体的なアクションまで落とし込まれる点が非常に有用だと感じました。修正内容を確認したうえでPRを作成できるため、既存の開発フローにも無理なく組み込めました。」
株式会社hacomono セキュリティ部 セキュリティエンジニア 徐 承賢様
「自動修正機能は、ソースコードを深く解析した上で、状況に合った修正を自動で提案してくれます。これにより、修正コードの検討時間がほぼゼロになり、レビューに集中できるようになりました。また、人為的な修正ミスを防ぎつつ、安全なコーディングのルールを浸透させやすくなるでしょう。」
Sansan株式会社 プロダクトセキュリティグループ 北澤 亮太様
「脆弱性対応の適切な実装だけでなく、対応が適切かを確認するインテグレーションテストまで同時に実装されるのは驚きでした。テストが整備されることで、開発者によるチェックだけでなく、デグレ(機能退行)による脆弱性の再発防止も可能になります。これはコード品質にも良い影響を与えるでしょう。」
株式会社パートナープロップ Head of Engineering 下司 宜治様
「自動修正タスクが動くことで、『この脆弱性はどのように直すのが妥当か』『既存コードにどう影響するか』といった修正方針のたたき台が明確になりました。結果として、修正の検討にかかる時間が減り、レビューも『正しいかどうか』ではなく『より良くするにはどうするか』に集中できるようになったと感じています。」
今後の展望
GMO Flatt Securityは、「エンジニアの背中を預かる」というミッションのもと、今後もソフトウェア開発者の皆さんが安心して開発に専念できるよう、「Takumi」の機能向上に取り組んでいくとしています。
GMO Flatt Security株式会社について
GMO Flatt Security株式会社は、「エンジニアの背中を預かる」をミッションに掲げ、さまざまな企業のDX推進やソフトウェア開発のセキュリティを支援する日本のセキュリティ専門企業です。自社製品の開発やセキュリティ支援、徹底したユーザーヒアリングを通じて得た知識を基に、顧客ごとに寄り添ったセキュリティサービスを提供しています。
エンジニア向けサービス群
-
セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」
URL:
https://flatt.tech/assessment -
Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」
URL:
https://shisho.dev/ja -
クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
URL:
https://flatt.tech/kenro
