セキュアOSSのChainguard、金融業界向けFINOSにゴールドメンバーとして加盟し、AI時代の信頼できるオープンソース活用を加速

セキュアなオープンソースソフトウェアの「信頼の起点」として位置付けられるChainguardは、2026年5月11日、金融サービス向けLinux Foundation傘下団体であるFintech Open Source Foundation（FINOS）に、ゴールドメンバーとして加盟したと発表しました。FINOSはJPMorgan ChaseやGoldman Sachsなど世界の主要金融機関、フィンテック、テクノロジー企業100社以上が参加するコンソーシアムで、業界全体のオープンソース技術と標準を整備するハブとして機能しています。Chainguardはこの加盟を通じて、ソフトウェアサプライチェーンセキュリティ、ガバナンス、安全なオープンソース導入における専門知識を持ち寄り、AI時代の金融業界が直面する課題を共同で解決する役割を担います。

背景にあるのは、AIが金融業界のソフトウェアリスクを急速に拡大させているという危機感です。取引システム、デジタルバンキング、AIインフラに至るまで、金融サービスはオープンソースを基盤として動いていますが、AIによるコード生成の加速はそのまま、本番環境に流入するコード量と脆弱性の増加を意味します。さらに、Mythosのようなオフェンシブ系AIシステムは、組織がパッチを当てるよりも速く脆弱性を発見・悪用できる段階に到達しており、攻撃者は攻撃のタイムラインをAIで圧縮し、悪用の規模を拡大しています。規制の厳しい金融機関にとって、ソフトウェアサプライチェーンの安全性は、もはやコンプライアンスの一項目ではなく、業務継続性そのものを支える基盤になりつつあります。Chainguard共同創業者兼CEOのDan Lorencは、「オープンソースは現代ソフトウェアとAI主導開発の基盤だ。AIがコードの書き方を加速させる中で、金融機関は信頼できないソフトウェアの上に構築する余裕はない。FINOSは業界を一つにして協力的に課題を解決する場であり、開発者とAIエージェントが大規模かつ安全に構築できる、信頼できる基盤の確立に貢献したい。これからのソフトウェア開発はAIネイティブであり、それを成立させるには『デフォルトでセキュア』であることが必須だ」とコメントしています。

Chainguardの本提携は、同社のオープンソースエコシステムへの深いコミットメントの延長線上にあります。同社は、安全なソフトウェアデリバリーのためのオープンツールチェーンを構築・保守し、上流の修正にも継続的に貢献しているほか、Kubernetes、Sigstore、SLSA、Tekton、Knativeなど、クラウドネイティブ領域で広く利用される100以上のオープンソースプロジェクトをチームメンバーが積極的に維持しています。昨年立ち上げた「EmeritOSS」は、安定段階に達した成熟OSSプロジェクトに対して、安全で予測可能なメンテナンスを提供するプログラムであり、最近発表した「DriftlessAF」は、運用ドリフトの低減とソフトウェアデリバリーの一貫性向上を目的としたオープンソースのエージェント型フレームワークです。FINOSのエグゼクティブディレクターであるGabriele Columbroは、「金融サービスは、AI・オープンソース・クラウドネイティブインフラがソフトウェアの構築と運用方法を根本から再定義する新時代に入っている。これほど相互接続された業界では、単独の機関がセキュリティ・ガバナンス・レジリエンスの課題を解決することはできない。Chainguardが持つソフトウェアサプライチェーンの深い知見を、FINOSコミュニティに歓迎できるのは大変喜ばしいことだ。業界全体の原則を、各社が大規模に実装可能な本番グレードのオープンソースプロジェクトや標準に翻訳していきたい」と述べています。

Chainguardについて
Chainguardは、2021年にDan Lorenc、Ville Aikas、Matt Moore、Kim Lewandowski（および創業期に在籍したScott Nichols）の元GoogleおよびVMware出身のエンジニア／プロダクトマネージャーらによって設立された、米国・ワシントン州カークランドを拠点とするフルリモートのサイバーセキュリティ企業です。CEOのDan Lorencは、Microsoft、Googleで勤務した経験を持ち、Sigstoreをはじめとするソフトウェアサプライチェーンセキュリティの代表的なオープンソースプロジェクトの立ち上げに関与してきました。同社の中核プロダクトは、ソースから継続的に再ビルドされ、既知の脆弱性を排除した「ハードン済み・最小・ゼロCVE」のコンテナイメージ、言語ライブラリ、仮想マシンイメージで、暗号署名、SBOM（ソフトウェア部品表）、SLSAプロベナンスが組み込まれている点が特徴です。Anduril、Canva、Fortinet、Hewlett Packard Enterprise、OpenAI、Snap Inc.、Snowflakeなど、Fortune 500を含む大手企業を顧客に持ち、2024年7月のシリーズC（1.4億ドル／評価額11.2億ドル）でユニコーン入りした後、2025年4月にはKleiner PerkinsとIVPがリードするシリーズDで3億5,600万ドルを調達し、評価額は35億ドルに到達しました。累計調達額は約6億1,200万ドルにのぼり、Amplify、Sequoia Capital、Spark Capital、Lightspeed Venture Partners、Redpoint Ventures、Mantis VC、Salesforce Ventures、Datadog Venturesなど著名な投資家が支援しています。