# Takumi Images {#takumi-images}

**Takumi Images** は、既知の脆弱性を含まない状態を継続的に保つよう保守されたコンテナイメージ群を提供する機能です。
[診断・修正機能](/docs/ja/t/assessment/)や [Takumi Runner](/docs/ja/t/runner/)、[Takumi Guard](/docs/ja/t/guard/) と並ぶ、Takumi byGMO の機能のひとつです。

イメージは OCI レジストリ `images.flatt.tech` で公開されています。

:::info
Takumi Images は現在ベータ版です。
仕様や挙動が予告なく変更される可能性があります。
:::

## 背景 {#background}

公開される CVE（Common Vulnerabilities and Exposures）の件数は、年々増加を続けています。
NVD（National Vulnerability Database）の集計では、2024 年に公開された CVE は 4 万件を超えました（[NVD Dashboard](https://nvd.nist.gov/general/nvd-dashboard)）。

この増加を後押ししているのが、**フロンティア AI**（frontier AI）と呼ばれる高性能な AI モデル群の登場です。
AI によるコード解析や脆弱性調査が高速化したことで、防御側の検査は効率化される一方、攻撃者による脆弱性の発見や、脆弱性の公開から悪用までの期間（Time-to-Exploit）も短縮されつつあります。
金融庁と日本銀行は、この変化を踏まえ、パッチ適用に係る人的リソースの追加などを金融機関等に要請しました（[「フロンティア AI による脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について](https://www.fsa.go.jp/news/r7/sonota/20260522-5/20260522.html)）。
開発組織には、これまで以上に継続的かつ高頻度なパッチ適用が求められています。

高頻度な更新が求められる一方で、更新作業そのものを狙うソフトウェアサプライチェーン攻撃も相次いでいます。
2026 年 3 月には、広く使われているライブラリ axios が改ざんされ、利用者の更新操作を契機に侵害される事例が発生しました。
同種の攻撃は、それ以降も相次いでいます。

![ソフトウェアサプライチェーンを狙う攻撃](/docs/ja/_md-assets/d81414da85-supply-chain-attack.png)

更新を遅らせれば脆弱性が残り、急いで更新すればサプライチェーン攻撃に晒されるおそれがあるという、相反する二つの要求が同時に存在します。
Takumi Images は、高頻度な更新の要求と、更新に伴うリスクという、この二つの圧力を同時に解消することを目的に設計されています。

## 移行と更新 {#migration}

利用中のベースイメージに対応するイメージがカタログに含まれていれば、多くの場合、移行に必要なのは Dockerfile の `FROM` 行の変更だけです。
既存のビルドパイプラインや開発フローを大きく変えずに、既知の脆弱性が解消された状態のベースイメージへ移行できます。

```diff
- FROM node:latest
+ FROM images.flatt.tech/takumi/node:latest
```

移行した後は、新しい脆弱性が公開されたときも、最新のイメージを pull し直すことでパッチ適用済みのイメージを利用できます。
依存パッケージの調査や、修正版の選定といった作業は必要ありません。

## 現在の提供範囲 {#scope}

:::note ベータ
Takumi Images はベータ版です。
提供しているイメージは [カタログ](https://flatt.tech/takumi/images) で確認できます。
現在公開しているタグは `:latest` です。
`:latest` は amd64 と arm64 の両アーキテクチャに対応しています。
:::

バージョン別タグや脆弱性対応 SLA は仕様として定めていますが、提供はこれからです。
詳しくは [料金と請求](/docs/ja/t/images/billing/) を参照してください。

## メリット {#benefits}

ベースイメージを Takumi Images に切り替えることで、以下のメリットが得られます。

- **ベースイメージが脆弱性を含む可能性が減ります**。
  Takumi Images には、メインのプログラムと、その実行に必要な最小限のライブラリだけが含まれます。
  そのため、アプリケーションコードではなくベースイメージに由来するノイズが、スキャナの結果から大きく減ります。

- **ベースイメージの脆弱性トリアージは提供元が行っています**。
  Takumi Images に含まれるソフトウェアに検出された脆弱性は、その影響度や再現可能性を、提供元が判断して VEX フォーマットで公開しています。
  そのため、ベースイメージの脆弱性情報を、利用者側でトリアージする必要がありません。

- **イメージのサプライチェーンを検証できます**。
  各イメージには署名と SBOM、SLSA Provenance が付いているので、中身と出どころを標準的なツールで確認できます。
- **既存の呼び出しに近い形で利用できます**。
  同等のイメージが広く使われている場合は、呼び出し方を概ねそろえてあります。
  `docker run <image> <args...>` は、多くの場合これまでと同じように動きます。
