「Takumi byGMO」、ブラックボックス診断機能（DAST）を正式リリース。URL一つでAIが「セキュリティエンジニアの診断」を再現

GMO Flatt Security株式会社
2025年11月12日

GMO Flatt Security株式会社
既存のホワイトボックス診断機能との二刀流で、性能No.1のセキュリティ診断AIエージェントを目指す

　GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手康貴　以下、GMO Flatt Security）は、2025年11月12日（水）より、セキュリティ診断AIエージェント「Takumi byGMO」のブラックボックス診断機能を正式に提供開始しました。
　なお、本機能は全ての「Takumi byGMO」ユーザーの皆様が、追加料金やプラン変更は必要なく月ごとの利用枠内で自由に利用可能です。
　「Takumi byGMO」は従来より、ソースコードを解析することにより脆弱性を発見するホワイトボックス診断機能を強みとしていましたが、その補完的な強みを持つ本機能の提供により「二刀流」でユーザーの皆様が開発するアプリケーションの堅牢化をこれまで以上に強力に支援します。
セキュリティ診断AIエージェント「Takumi byGMO」とは
　「Takumi byGMO」はGMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェントです。AIによって近年飛躍的に向上した脆弱性検知能力を最大限引き出し、既存の自動脆弱性診断ツールでは検出が難しい脆弱性も高精度で検知します。既にVim、Next.js、7-Zipなどの著名OSSにおいて10件以上のゼロデイ脆弱性を報告しており、その有効性は実証済みです。

・「Takumi byGMO」Webサイト：https://flatt.tech/takumi
ブラックボックス診断（DAST）／ホワイトボックス診断（SAST）とは

■ブラックボックス診断
　診断対象のシステムに対して擬似的に攻撃を実施することで脆弱性を探索する手法であり、DAST（Dynamic Application Security Testing）とも呼ばれます。
　内部情報を参照しないので網羅性ではホワイトボックス診断に劣りますが、システムが動作する環境を用いて脆弱性の再現可能性を検証するため、実際に悪用が可能な脆弱性を洗い出せるという特徴があります。
■ホワイトボックス診断
　対象のシステムのソースコード等を精査することで脆弱性を探索する手法であり、SAST（Static Application Security Testing）とも呼ばれます。ソースコードをはじめとする内部情報を参照するので網羅的にリスクを検出できる一方、実際の攻撃の成否は確認できないため、「理論上は脆弱性が存在する」といった判定に留まるというデメリットがあります。
■両手法は補完的な関係にある
　ブラックボックス診断とホワイトボックス診断は互いに補完的な関係にあり、理想的な診断を行うためには併用が望ましいと言えます。実際に、GMO Flatt Securityのセキュリティエンジニアによる脆弱性診断・ペネトレーションテスト（https://flatt.tech/assessment）においては、お客様からソースコードとデモ環境を提供いただき両手法の併用を標準としています。
ブラックボックス診断機能開発の背景
1. AIを悪用する攻撃者への効率的な対抗手段
　昨今のAI技術の発展は残念ながら悪意のある攻撃をも効率化しています。その点、ブラックボックス診断は擬似的な攻撃として行われるため、本機能において発見されるリスクはAIを活用する攻撃者も効率的に発見できるものだと言えます。本機能の活用により、そのようなリスクに優先的に対応することが可能です。
2.既存のホワイトボックス診断と互いを補完
　前述のようにブラックボックス診断とホワイトボックス診断は互いに補完的な関係にあります。「Takumi byGMO」はホワイトボックス診断を行うAIエージェントとして2025年3月にリリースされました。すでにホワイトボックス診断だけでも他のAIエージェントと比較して圧倒的に高い性能(※1)を発揮していますが、ブラックボックス診断の実装によって他ツールの追随を許さないNo.1のサービスへと進化してまいります。
(※1)ホワイトボックス診断機能単体の性能ベンチマーク資料：https://flatt.tech/takumi/form/benchmark
ブラックボックス診断機能の詳細
1.ソースコードなしでも高精度の診断を実現
　GMO Flatt Securityが独自に脆弱性を埋め込んだデモアプリケーションを対象に、ブラックボックス診断機能単体による診断を行った結果、約20時間のスキャンを通して検出率は48%、誤検知（偽陽性）率は33.3%という結果になりました。なお、デモアプリケーションには、ソースコードを参照しないと発見が本質的に困難である脆弱性も含まれており、そのようなものを除いた場合の検出率は70%でした。加えて、これらの実証実験で検出された脆弱性にはアプリケーションの仕様に起因する「ロジックの脆弱性」が含まれており、これらはAIによる検知エンジンを持たない従来の自動診断ツールでは通常検出が不可能なものでした。

ホワイトボックス診断機能単体の性能ベンチマーク資料：https://flatt.tech/takumi/form/benchmark

2.簡単な情報入力だけで診断開始。自動で診断対象を洗い出し
　管理画面(※2)においてデモ環境のURLとログインに必要な情報などを入力するだけで、AIが自動的に診断対象画面・通信の洗い出し（クロール）を開始します。従来のDASTツールでは必要なことが多かった、画面URL一覧などの詳細な診断対象データの準備は不要であり、誰でも簡単に診断を開始できます。
(※2)ブラックボックス診断機能は、これまで「Takumi byGMO」の主たるインターフェイスであったチャットUIを介して利用しません。

3.脆弱性の修正後は再診断機能で効率的にチェック
　ブラックボックス診断機能においては「再診断」が可能です。全体を再診断することもできますが、診断の対象とする部分や検証する脆弱性観点を絞ることにより、診断時間やコストを抑えて効率的なチェックを行うことが可能です。

ブラックボックス診断機能の利用方法
　本日より全ての「Takumi byGMO」ユーザーの皆様が利用できます。追加料金やプラン変更は必要なく、月ごとの利用枠内で自由に利用可能です。
ご試用いただいた皆様の声
　正式リリースに先立ち、ブラックボックス診断機能をお試しいただいた皆様のお声をご紹介いたします。

■株式会社ゲームエイト CTO 伊林義博様　弊社では主要サービスを対象に先行テストを実施しました。致命的な脆弱性は確認されませんでしたが、今後の開発で注意すべき観点を具体的に得られた点が大きな成果でした。従来の診断では準備や設定に一定の工数を要しましたが、本サービスでは起点となるURLを渡すだけで、AIが自律的に300項目以上を効率的かつ網羅的に検査できる手軽さが非常に魅力的です。Takumiのホワイトボックス診断と併用することで、開発初期から運用まで一貫したセキュリティ品質向上を実感しています。外部のセキュリティ専門家として常に最新の知見を反映してくれる点も、社内だけでは得られない大きな価値だと感じています。

■フリー株式会社 Red Team 藤岡祐様　診断する範囲を柔軟に設定できる点や、自由に追加できるカスタム指示など、非常に使いやすい印象を受けました。特に診断結果レポートの内容が素晴らしく、指摘事項についてはわかりやすくシンプルに、検証内容については詳細にまとまっていました。
　LLM にブラックボックス診断を任せる場合、検証品質を確認するために自社のログから作業内容を確認する必要があると思っていましたが、このレポートだけでも検証内容を確認できたのはとても嬉しい誤算でした。

■ファインディ株式会社 CTO室サブマネージャー SRE 安達涼様　手動・脆弱性診断では、環境調整や結果待ちなど多くの工数が発生しますが、Takumiのブラックボックス診断はUI/UXが洗練されており、誰でも簡単に診断を実施できます。ログイン画面と認証情報を渡すだけで診断範囲を自動で特定し、広くカバーしてくれる点が特に印象的でした。
　診断スピードも速く、SREでも継続的にセキュリティチェックを回せる点が魅力で、DASTとSASTを組み合わせることで、外部からの攻撃視点と内部コード品質の両面をカバーできることを期待しています。結果として、開発チーム内でセキュリティを日常的に実践する文化を自然に醸成できる未来を感じました。

■セキュリティVTuber kurenaif様　ログイン画面とID/Passwordの情報を渡すだけで自動的にクロールが始まり、診断対象を網羅してくれるため、手軽に導入できました。IDORやBOLAなどの検出は人間にはつまらない作業ですが、脆弱性の判定にサービス特性の理解が必要なため自動化が難しいという背景がありました。
　Takumiでは自動的にこれらの脆弱性をかなり見つけられていると感じています。専門的な脆弱性の検出やレポート、細かい実施内容の相談などは人間に分があるので、人間によるペネトレーションテストとTakumiのような自動診断ツールの併用で理想的な診断ができそうです。

今後の展望
　前述のようにブラックボックス診断とホワイトボックス診断は互いに補完的な関係にあります。現在、両機能が自動で連携し、お互いのデメリットを打ち消し合う「グレーボックス診断」を実現するべく開発を進行中です。実現の暁にはこれまで以上の高検出率・低誤検知率を達成できる見込みです。
　飛躍的に進化したAI技術が攻撃にも悪用されうる現代において重要なことは「攻撃者よりも先に重要な脆弱性を見つけ、守る」ことです。今後もGMO Flatt Securityはコーポレートミッション「エンジニアの背中を預かる」の通り、ソフトウェア開発者の皆様が安心して開発に専念できるよう「Takumi byGMO」の開発に取り組んでまいります。

GMO Flatt Security株式会社について
　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。
■「エンジニアの背中を預かる」ための、エンジニア向けサービス群
・セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」
URL：https://flatt.tech/assessment
・Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」
URL： https://shisho.dev/ja
・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
URL： https://flatt.tech/kenro
※ 記載されている会社名及び製品名は、各社の商標または登録商標です。
GMO Flatt Security株式会社（URL：https://flatt.tech）
会社名　　GMO Flatt Security株式会社
所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー
代表者　　代表取締役社長　井手　康貴
事業内容　■サイバーセキュリティ関連サービス
資本金　　4億3042万円（資本準備金含む）

GMO インターネットグループ株式会社（URL： https://group.gmo/ ）
会社名　　GMOインターネットグループ株式会社　（東証プライム市場　証券コード：9449）
所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー
代表者　　代表取締役グループ代表　熊谷　正寿
事業内容　持株会社（グループ経営機能）
　　　　　■グループの事業内容
　　　　　インターネットインフラ事業　　　
　　　　　インターネットセキュリティ事業
　　　　　インターネット広告・メディア事業
　　　　　インターネット金融事業　　　　　
　　　　　暗号資産事業
資本金　50億円