トレンドニュースサイト STRAIGHT PRESS【 ストレートプレス 】

株式会社AndGo

Aikido Security、自動パッチ技術のRoot社を買収 脆弱性修正済ライブラリ・コンテナイメージの提供を開始

このエントリーをはてなブックマークに追加

「Aikido Libraries」「Aikido Images」により、SBOMを起点とした脆弱性管理を検出から修正まで一気通貫に。国内代理店の株式会社AndGoが導入支援

株式会社AndGo(本社:東京都台東区、代表取締役:原 利英)は、オールインワン型セキュリティサービス「Aikido Security」(読み:アイキドウ セキュリティ)の国内代理店です。このたびAikido Securityは、自動パッチ技術を手がけるRoot社の買収を発表し、新機能「Aikido Libraries」「Aikido Images」の提供を開始しました(2026年6月30日・現地時間)。両機能はすでに提供中で、国内を含むすべてのAikido Security利用企業が利用できます。

「Aikido Libraries」「Aikido Images」は、既知の脆弱性(CVE)を修正済みの、ドロップインで利用できる代替ライブラリおよびコンテナイメージです。これまでのSBOM活用は、部品表を「作る」こと、そこに含まれる脆弱性を「見つける」ことまでで止まっていました。今回の新機能により、Aikido Securityは検出した脆弱性の修正までをプラットフォーム上で完結させ、SBOMを起点とした脆弱性管理サイクルを「生成→照合→優先度付け→修正」まで一貫してつなぐことが可能になります。

AndGoは、Aikido Securityの国内正規代理店として、日本企業への提供と日本語での導入・運用支援を担っています。本新機能についても、国内のお客さまへの案内および活用支援をAndGoが行います。

▶ Aikido SecurityによるRoot社買収の発表(英文):
https://www.aikido.dev/blog/aikido-acquires-root
本リリースの3つのポイント
- Aikido SecurityがRoot社を買収し、脆弱性を修正済みの代替ライブラリ/コンテナイメージ「Aikido Libraries」「Aikido Images」を提供開始 移行作業や破壊的変更なしに、稼働中のソフトウェアの脆弱性をその場で修正できます。すべてのAikido Security利用企業が対象です。

- 背景には、規制対応で急速に広がるSBOM整備と、「作って終わり」な運用実態 米国の大統領令やEUのサイバーレジリエンス法(CRA)、国内の経済産業省SCS評価制度などを追い風にSBOMを「作る」動きは加速する一方、生成後の照合・修正が伴わない「SBOMの形骸化」が多くの現場で課題となっています。

- SBOMは「生成(SCA)→脆弱性照合→優先度付け→自動修正」の一貫したサイクルへ新機能により、SBOMは単なる部品の一覧表ではなく、実効性のあるリスク管理の起点として機能します。国内では株式会社AndGoが日本語での導入・運用支援を提供します。

新機能の概要:「Aikido Libraries」「Aikido Images」--脆弱性を修正済みの代替ライブラリ・コンテナイメージ
OSSの依存パッケージに脆弱性が見つかっても、これまで開発現場に良い答えはありませんでした。アップグレードすれば本番環境が壊れるリスクがあり、放置すれば危険が残り、ベンダー製品への移行には大きな工数がかかります。たとえアップデートが成功しても、数週間のエンジニアリング工数を消費することが珍しくありません。
今回の買収により、Root社が持つエージェント型の自動パッチ生成技術がAikido Securityに統合され、この課題に対する新たな選択肢が提供されます。
- Aikido Libraries/Aikido Images:
既知の脆弱性(CVE)を修正済みの、ドロップイン(そのまま置き換え可能)で利用できる代替ライブラリおよびコンテナイメージ。移行作業は不要で、破壊的変更(Breaking Changes)を持ち込みません。
- 実際に使っているバージョンに合わせたパッチを機械速度で生成:
Root社のエージェント型システムは、チームが実際に稼働させているパッケージバージョンに対する検証済みCVEパッチを1日数百件規模で生成します。新たなCVEが公表された際も、利用中の環境・バージョンに適合するパッチが提供され、継続的に保護されます。
- オープンソースコミュニティへの還元:
悪用が確認されている重大な脆弱性の修正は、有償顧客向けに囲い込まず、各エコシステムのアップストリーム(本家OSSプロジェクト)へ継続的に貢献されます。

背景には、脅威の高速化があります。既知の脆弱性の約3分の1は、公表当日またはそれ以前に悪用されており、AIの普及により攻撃側のスピードはさらに上がっています。「検出してから、優先順位を議論して、いつか直す」という従来のサイクルでは間に合わない局面が増えているのです。

背景:SBOMが注目される理由と、「作る」だけでは守れない現実
近年、攻撃者はアプリケーション本体だけでなく、開発に使われるOSS(オープンソースソフトウェア)のパッケージそのものを標的にしています。広く使われるパッケージにマルウェアを混入させるソフトウェアサプライチェーン攻撃は、一度成立すれば、そのパッケージに依存する無数の企業へ連鎖的に被害が波及します。2025年にもパッケージレジストリ「npm」やWeb3関連パッケージを狙った改ざん・乗っ取りが相次いで確認されました。

こうした脅威に対し、「自社のソフトウェアが何でできているのかを正確に把握する」ための土台となるのがSBOMです。どの部品を、どのバージョンで使っているかが分かって初めて、新たな脆弱性が公表されたときに「自社は影響を受けるのか」を即座に判断できます。2021年に世界を揺るがしたApache Log4jの脆弱性では、多くの組織が「そもそも自社のどこでLog4jを使っているのか」を洗い出すのに膨大な時間を費やしました。SBOMは、この「棚卸し」を平時から備えておくための仕組みだといえます。

規制面でも、SBOMを求める流れは強まっています。米国では政府調達を対象にSBOMの提出を求める動きが進み、EUではサイバーレジリエンス法(CRA)がデジタル製品のセキュリティ要件を定めています。国内でも経済産業省が「ソフトウェア管理に向けたSBOMの導入に関する手引」を整備し、医療機器や自動車などの分野を中心に導入が広がってきました。さらに、ソフトウェア製品の脆弱性対応やセキュリティ品質を客観的に評価するSCS評価制度の検討も進んでおり、取引の条件としてSBOMの提出や一定水準のセキュリティ対応を求められる場面は、今後さらに増えると見込まれます。

しかし、ここに落とし穴があります。SBOMは生成した瞬間に価値が確定するものではありません。ソフトウェアの部品は日々更新され、昨日まで安全だった部品に今日新たな脆弱性が見つかることは珍しくありません。SBOMを一度作って満足し、その後の照合や更新、そして修正が伴わなければ、部品表は現実と乖離した"過去のスナップショット"になってしまいます。生成と運用が切り離された結果、管理されないSBOMファイルだけが増えていく。これが、いま多くの現場で起こりつつある「SBOMの形骸化」です。

今回の新機能は、まさにこの「生成後」の課題→検出した脆弱性を誰がいつ直すのかに対する答えとして位置づけられます。

SBOMを「守りに活かす」ために必要な3つの条件と、新機能が果たす役割


AndGoが推奨する、SBOMを起点とした脆弱性管理サイクル

AndGoが導入支援の現場で見てきた限り、SBOMを実効性のあるものにするには、少なくとも次の3点が欠かせません。

第一に、SBOMの生成が開発の流れに組み込まれていることです。リリースのたびに手作業で部品表を作るのでは、更新が追いつかず、すぐに実態と合わなくなります。Aikido Securityでは、ビルドやCI/CDのパイプラインの中で自動的に最新のSBOMが生成されます。

第二に、生成したSBOMを既知の脆弱性情報と継続的に照合できることです。部品表に載っている各コンポーネントについて、新たな脆弱性(CVE)が公表されていないかを常に突き合わせ、影響範囲を即座に把握できる仕組みが必要です。これはソフトウェア構成分析(SCA)が担う役割そのものであり、SBOMとSCAは本来ひとつながりの営みです。

第三に、検出した脆弱性を「対応すべきものに絞り込み、確実に修正まで到達させる」ことです。部品表と脆弱性情報を照合すると大量の検出結果が生まれますが、その多くは利用環境では実際には悪用されにくいものです。Aikido Securityのオートトリアージ(AutoTriage)は、利用環境のコンテキストをふまえて実害の小さい問題の優先度を下げ、アラートのノイズを最大95%削減します。そして今回の「Aikido Libraries」「Aikido Images」により、絞り込んだ脆弱性への「修正」までがプラットフォーム上で完結し、検出結果が対応されないまま滞留することを防ぎます。2021年に発見されたLog4Shellの脆弱性がいまだに数百万の本番システムで稼働し続けているとされる現実は、「検出しても直せない/直されない」ことこそが最大のリスクであることを示しています。

つまりSBOMは、それ単体で完結するゴールではなく、生成(SCA)から照合、優先度付け、修正へと至る一連の脆弱性管理サイクルの入り口として機能します。今回のRoot社買収と「Aikido Libraries」「Aikido Images」の提供開始は、このサイクルの最後のピースである「修正」を埋めるものです。

対象となる企業・活用シーン

- 取引先や調達要件としてSBOMの提出を求められ始めた企業:規制・ガイドラインへの対応を、形式的な生成で終わらせず、修正までを含む実効性のある運用にしたい。
- OSSを多用するサービス開発企業:依存パッケージの脆弱性リスクを、部品表を起点に継続的に管理し、パッチ対応の負荷を減らしたい。
- セキュリティの専任者がいない、または少人数の開発組織:SBOMの生成から脆弱性対応・修正までを、限られた人手で回せる仕組みを整えたい。

提供時期・対象・お問い合わせ

- 発表日:2026年6月30日(現地時間)
- 提供状況:すでに本番環境で提供中。すべてのAikido Security利用企業が対象
- Aikido SecurityによるRoot社買収の発表(英文):https://www.aikido.dev/blog/aikido-acquires-root

新機能の詳細やデモのご依頼は、下記よりお問い合わせください。

【お問い合わせ・詳細】
Aikido Securityの機能や導入イメージは、製品紹介ページよりご覧いただけます。
▶ Aikido Security 製品紹介ページ:https://andgo.co.jp/aikido-security

SBOMの運用設計や自社環境での活用のご相談は、個別相談・デモのお申し込みも承っています。お気軽にお問い合わせください。
今後の展開
AndGoは今後も、Aikido Securityの国内提供を充実させるとともに、SBOMによる部品管理や脆弱性対策、開発者環境の保護といった、変化し続ける開発環境のリスクに対応する情報発信と支援を継続してまいります。日本の開発組織が、人材やコストの制約にとらわれずに世界水準のセキュリティを実現できるよう、伴走を続けます。

Aikido SecurityについてAikido Security BV
所在地: Ghent, Belgium
代表者: Willem Delbare
設立:2022年
公式サイト:https://www.aikido.dev/


Aikido Security BV

Aikido Securityは、静的コード解析(SAST)、ソフトウェア構成分析(SCA/SBOM)、クラウドセキュリティ態勢管理(CSPM)、コンテナスキャン、動的アプリケーションセキュリティテスト(DAST)に加え、AIエージェントによる自律型ペネトレーションテスト(AIペンテスト)や開発環境保護(Device Protection)までを一つのプラットフォームに統合した、オールインワン型のセキュリティサービスです。グローバルな脅威インテリジェンスとAIによる自動分析を活用し、ソフトウェアサプライチェーン攻撃をはじめとする新たな脅威の早期検知を可能にします。オートトリアージによりアラートのノイズを最大95%削減し、本当に対応すべき脆弱性に集中できる点も特長です。世界では5万社を超える組織に導入され、10万人以上の開発者に利用されています。

株式会社AndGoについて会社名:株式会社AndGo
所在地:東京都台東区上野三丁目14-2
代表者:代表取締役 原 利英
コーポレートサイト:https://andgo.co.jp/


株式会社AndGo

株式会社AndGoは、Aikido Securityの正規代理店として、国内企業へのセキュリティサービスの提供および導入支援を行っています。世界水準のサービスを日本の開発現場で使い切れる形で届けることを通じて、国内のセキュリティ対策の底上げに取り組んでいます。

【本件に関するお問い合わせ先】
株式会社AndGo お問い合わせ:https://andgo.co.jp/contact/general
※報道関係者の方からのお問い合わせ、ならびに導入をご検討の企業さまからのご相談を承っております。

企業プレスリリース詳細へ
PR TIMESトップへ

最新情報をXで受け取ろう!
前の記事
一覧へ戻る
次の記事