
Flatt Security完全ガイド2026|AI脆弱性診断の料金・使い方・始め方
この記事のポイント Flatt Security(GMO Flatt Security)は、AIエージェント「Takumi」と専門エンジニアの手動診断を組み合わせた日本発のセキュリティサービス。OWASP基準のWebアプリ診断に強く、2026年はソフトウェアサプライチェーン診断まで対象を広げた。料金は無料で試せるが本格利用は商談ベース。「実装AI」ではなく「リリース前後の品質確認AI」として捉えると、自社に必要かどうかの判断が早い。
AIにコードを書かせる時代の本当のボトルネックは、生成スピードではなく「安全に出せるか」だ。Flatt Securityはまさにそこを埋めるサービスで、AIエージェントがWebアプリの脆弱性を洗い出し、判断が難しい部分は日本人セキュリティエンジニアが手で詰める。GitHub CopilotやCursorのような実装支援ツールとは目的が真逆で、両方を併用するのが現実的な使い方になる。
この記事では、料金・主要機能・始め方・他ツールとの違いまで、導入を検討するチームが知りたい順番で整理した。
Flatt Securityとは何か

Flatt Securityは、AIと専門エンジニアの両輪でWebアプリケーションの脆弱性診断を行う、東京拠点のセキュリティ企業のサービスだ。2024年以降はGMOグループ入りし、現在は「GMO Flatt Security株式会社」として運営されている。
特徴は、診断を一回きりの外注作業で終わらせず、開発フローの中に組み込める設計にある点だ。AIエージェント「Takumi」が常時診断を回し、見つかったリスクを開発チームが修正サイクルの中で潰していく。受託診断の精度と、ツールの継続性を両取りしようとしているサービス、と理解すると位置づけが掴みやすい。
セキュリティ分野のツールを横断で見たい人は、AIツールのカテゴリ一覧から他の選択肢と並べて検討するとよい。
AIエージェント「Takumi」がやること

Takumiは、Webアプリのソースコードや挙動を解析し、脆弱性の候補を継続的に提示するAIセキュリティエージェントだ。人手の診断を毎日回すのは現実的でないが、AIなら開発の都度チェックを差し込める。
従来の静的解析ツールが苦手としてきた「文脈を踏まえた判断」をAIで補おうとしているのがポイントだ。たとえば、ある入力欄が単なるバリデーション不足なのか、認証回避につながる致命的な穴なのかは、コードの一行だけでは判断できない。Takumiはアプリ全体の構造を踏まえてリスクの重みづけを試みる。
ここが、ルールベースで機械的に警告を出すSemgrepやSnykとの思想的な違いになる。
OWASP基準の脆弱性診断

診断の軸はOWASP Top 10とOWASP ASVSで、Webアプリで起きやすい代表的なリスクを体系的にカバーする。XSS、SQLインジェクション、認証・認可の不備、アクセス制御の欠落などが主な対象だ。
特に強いのが、入力値の問題にとどまらない「ビジネスロジック起因のリスク」の検出だ。権限設計のミス、想定外の操作フロー、決済や会員機能における抜け道など、仕様を理解しないと見つからない種類の脆弱性を診断対象にできる。ここは自動ツール単独では取りこぼしやすく、Flatt Securityが手動診断を残している理由でもある。
専門エンジニアによる手動診断

プランによっては、Flatt Securityのセキュリティエンジニアが手作業で診断を行う。AIや自動スキャンが「怪しい」と出した箇所を、人間が実際に攻撃の可能性まで掘り下げて検証する形だ。
自動診断は網羅性、手動診断は深さで役割が分かれる。重要な機能ほど自動だけでは判断材料が足りず、リリース可否を握る部分では手動診断の併用が効いてくる。日本語でレポートと修正方針が返ってくる点は、英語前提の海外サービスにはない実務上の強みだ。
ソフトウェアサプライチェーン対策(2026年の新領域)
2026年、Flatt Securityは診断対象を自社コードの外側まで広げた。2026年5月26日には「ソフトウェアサプライチェーン診断」と「攻撃演習」の提供を開始している。
背景にあるのは、依存パッケージを踏み台にした攻撃の急増だ。近年はライブラリやCI/CDパイプラインを経由した侵害が相次ぎ、自社コードがクリーンでも外部依存から崩される事例が現実になっている。
さらに2026年3月からは「Takumi Guard」を投入し、CI/CD環境で悪性パッケージのダウンロードをブロックする仕組みも提供している。診断して終わりではなく、攻撃の入口そのものを塞ぐ方向に踏み込んだのが2026年の動きだ。これは下表のように整理できる。
| サービス | 主な対象 | 何を防ぐか |
|---|---|---|
| Webアプリ脆弱性診断 | 自社のWebアプリ | XSS・SQLi・認可不備など |
| サプライチェーン診断 | 依存パッケージ・CI/CD | 依存関係を悪用した侵害 |
| Takumi Guard | CI/CD環境 | 悪性パッケージの取り込み |
| 攻撃演習 | 開発組織・対応体制 | インシデント時の対応力不足 |
自社アプリだけでなく、ビルド環境や依存ライブラリまで含めた「開発組織全体」をセキュリティの単位として見ているのが分かる。
料金プラン
Flatt Securityはfreemium型で、まず無料で診断の流れと自社プロダクトとの相性を確かめられる。小さな対象で試してから本格導入を判断できるのは、いきなり受託契約を結ぶ従来型の診断にはない入りやすさだ。
ただし無料の範囲では診断回数や機能に制限がある。手動診断、Webペネトレーションテスト、クラウド診断、サプライチェーン診断といった本丸の機能は有料プランが前提だ。
具体的な金額・上限・契約条件は対象範囲やプロダクト規模で変わるため、公開価格ではなく商談ベースで提示される。最新の料金は公式サイトで見積もりを取って確認してほしい。本記事で暫定の数字を出すと、判断を誤らせるおそれがあるためあえて記載しない。
始め方(3ステップ)
導入は難しくないが、最初の対象選びで診断の価値が大きく変わる。次の順番で進めるのが現実的だ。
- アカウントを作成する ― 公式サイトから登録する。最初は本番全体ではなく、小さく重要な機能に絞って試すと結果を読み解きやすい。
- 対象範囲を設定する ― 認証が必要な画面、管理画面、決済・会員機能など、リスクの高い機能を優先的に登録する。ここで対象の優先度を決めておくと、後のレポートが意思決定に直結する。
- 最初の診断を実行する ― まず自動診断でXSSや認可不備などを洗い出し、修正優先度をつける。そのうえで、致命度の高い箇所に手動診断やペネトレーションテストを追加する。
最初から全部を完璧に診断しようとせず、「壊れたら一番痛い機能」から始めるのが鉄則だ。
こんなチームに向く / 向かない
向き不向きがはっきりしているサービスなので、導入前に自社の目的と照らし合わせておきたい。
向いているチーム
- リリース前後のセキュリティ確認を開発フローに組み込みたい
- OWASP Top 10 / ASVSの観点で体系的に診断したい
- 日本語でレポートと修正方針を受け取りたい
- 依存パッケージやCI/CDまで含めて守りたい
向かないチーム
- 求めているのがコード補完やチャット型の実装支援だけ
- 無料プランの範囲だけで無制限に使いたい
- 診断結果を読み解く時間をまったく割けない
- Webアプリ以外の領域だけが主目的
実装の高速化が目的なら、Flatt SecurityではなくCursorやGitHub Copilotの方が筋がいい。逆に「AIで速く作った分だけ、安全性の確認も速く回したい」なら噛み合う。
よく比較されるツールとの違い
セキュリティ系ツールは目的が似て見えて、守備範囲がかなり違う。代表的な比較先を整理しておく。
Snykは、依存ライブラリやコンテナの既知脆弱性を開発者目線で管理する強みがある。Flatt Securityはアプリ本体のロジックや認可まで踏み込む点で性格が異なる。Semgrepはルールベースの静的解析で軽快に回せる一方、文脈判断や手動検証は別途必要になる。
GitHub Copilotはそもそも実装支援ツールで、診断とは目的が違う。競合ではなく、Copilotで書いてFlatt Securityで点検する補完関係と見るのが自然だ。判断に迷うときは、各ツールの比較ページで軸を揃えて並べてみるとよい。
編集部の評価
率直に言って、Flatt Securityの立ち位置は2026年の流れにかなり噛み合っている。AIで開発速度が上がるほど、人手の診断が追いつかなくなる――この構造的なズレを、AIエージェントと手動診断の併用で埋めにきている設計は理にかなっている。
特にサプライチェーン診断とTakumi Guardまで広げてきた動きは正直好印象だ。診断レポートを出して終わりにせず、攻撃の入口を塞ぐところまで踏み込んでいる。受託診断会社が「製品」へ脱皮しようとしている、という見方ができる。
一方で、料金が商談ベースで事前に読みにくい点は、小規模チームには検討の壁になる。まずは無料枠で「自社アプリにどれだけ刺さるリスクが出るか」を試し、手応えがあってから有料機能を相談する――この順番なら導入の失敗は避けやすい。安全性の確認に人手を割けないチームほど、検討する価値がある一択寄りのサービスだ。
よくある質問(FAQ)
Q. Flatt SecurityはAIコードエディタの代わりになりますか?
なりません。Flatt Securityは脆弱性診断に特化しており、コードを書く機能はありません。実装はCursorなどのエディタで行い、その成果物をFlatt Securityで点検する役割分担になります。
Q. 無料で使えますか?
無料で始められますが、診断回数や機能に制限があります。手動診断やペネトレーションテスト、サプライチェーン診断などの主要機能は有料プランが前提です。
Q. 日本語に対応していますか?
対応しています。日本発のサービスで、レポートや修正方針も日本語で受け取れます。英語前提の海外ツールに比べ、社内共有や経営層への報告がしやすい点は実務上の利点です。
Q. どんな脆弱性を見つけられますか?
OWASP Top 10やASVSを軸に、XSS・SQLインジェクション・認証認可の不備に加え、ビジネスロジック起因のリスクまで対象にします。2026年からは依存パッケージやCI/CDのサプライチェーンリスクも含みます。
Q. 小さなスタートアップでも導入できますか?
可能です。無料枠で小さな対象から試せるため、まずは最重要機能だけ診断し、価値を確かめてから有料機能を相談する進め方が現実的です。
まとめ
Flatt Securityは、AIエージェント「Takumi」と専門エンジニアの手動診断を組み合わせ、Webアプリからサプライチェーンまでを日本語で守る診断サービスだ。実装を速くするツールではなく、速く作ったものを安全に出すためのツールだと捉えると判断が早い。
コード生成が主目的ならGitHub CopilotやCursor、依存管理中心ならSnykが候補になる。「AIで上がった開発速度に、セキュリティ確認の速度を追いつかせたい」チームには、まず無料枠で試す価値がある。
