ネットワークセキュリティとオープンソースは切っても切れない関係にあり、商業的なセキュリティ製品で使用される大量のオープンソースコードに加え、ネットワークセキュリティ業界では多くのネットワークセキュリティフレームワーク、ツール、手法、モデル、さらにはインテリジェンスがオープンソースの形で共有され、発展しています。オープンソースのセキュリティプロジェクトは、ネットワークセキュリティ技術の革新と標準化を推進する上でますます重要な役割を果たしています。
以下に、GitHub 上でオープンソースとして公開されている 20 のセキュリティプロジェクトを整理しました。これらは脆弱性スキャンやネットワーク監視、暗号化、インシデントレスポンスなどの各分野をカバーしており、個人や企業がデジタル資産をより良く保護するのに役立ちます:
ATT&CK Navigator
ATT&CK Navigator は ATT&CK マトリックスのナビゲーションと注釈ツールで、使用方法は Excel に似ています。防御のカバレッジを視覚化し、赤 / 青チームの活動や技術を計画・追跡する方法を提供します。また、ユーザーがマトリックスのセルを操作することもサポートしており、注釈を追加したり色分けを行ったりできます。
ATT&CK Navigator の主な機能は、カスタムレイヤーを作成し、ATT&CK 知識ベースの個別の視点を提供することです。ユーザーはインタラクティブまたはプログラミング方式でレイヤーを作成し、ナビゲーターを使用して視覚化できます。
住所:
Cryptomator
Cryptomator は、クラウドに保存されたファイルにクライアント側の暗号化を提供するオープンソースのクロスプラットフォームツールです。
多くのクラウドプロバイダーが提供する暗号化サービスとは異なり(クラウドプロバイダーは通常、データを転送中のみ暗号化したり、復号化キー自体を保持したりします)、Cryptomator はユーザーだけがデータのキーを持つことを保証します。このアプローチにより、キーが盗まれたり、コピーされたり、悪用されたりするリスクが最小限に抑えられます。
Cryptomator は、ユーザーが任意のデバイスからファイルにアクセスすることもサポートしています。
住所:
Cutter
Cutter は、Rizin をコアエンジンとして使用する無料のオープンソース逆アセンブリプラットフォームです。これにより、ユーザーはグラフィカルユーザーインターフェース(GUI)または統合ターミナルを介して多数の機能にアクセスできます。
Cutter は、逆アセンブリプロセスの快適性を向上させるための多くの小さなコンポーネントと機能を提供します。そのバージョンはネイティブの Ghidra 逆コンパイラと完全に統合されており、Java スキルはもはや必要ありません。
住所:
Dismap
Dismap は、Web、TCP、UDP などのプロトコルをサポートする資産発見および識別ツールで、さまざまな資産タイプを検出でき、内部および外部ネットワークに適しています。Dismap は、赤チームのメンバーが潜在的なリスク資産を特定するのを支援し、青チームのメンバーが疑わしい脆弱資産を検出するのをサポートします。
Dismap のフィンガープリンティングルールライブラリには、TCP、UDP、TLS プロトコルのフィンガープリントと 4500 以上の Web フィンガープリンティングルールが含まれています。これらのルールは、ウェブサイトのアイコン、本文、タイトル、その他の関連コンポーネントなどの要素を特定するのに役立ちます。
住所:
Faraday
Faraday は、セキュリティ専門家が脆弱性を見つけることに集中できるようにし、作業プロセスを整理するのを簡素化するオープンソースの脆弱性管理ツールです。
Faraday の主な機能の 1 つは、ロードされたデータを集約および標準化する能力です。これにより、管理者やアナリストはさまざまな視覚化を通じてデータを探索でき、脆弱性をよりよく理解し、意思決定プロセスに役立てることができます。
住所:
Hayabusa
Hayabusa は、Windows イベントログの迅速なフォレンジックタイムライン生成器および脅威ハンティングツールです。Rust プログラミング言語で実装されており、マルチスレッドを組み合わせて速度を最適化しています。このツールには、Sigma ルールを Hayabusa ルール形式に変換する機能が含まれています。
Hayabusa と互換性のある検出ルールは YAML で記述されており、簡単にカスタマイズおよび拡張できます。Hayabusa は、単一システムのリアルタイム分析、単一または複数のシステムからのログを収集してのオフライン分析、または Velociraptor と組み合わせて企業全体の脅威探索およびインシデントレスポンスを行うなど、さまざまな方法で使用できます。
Hayabusa の出力情報は CSV タイムラインに統合され、LibreOffice、Timeline Explorer、Elastic Stack、Timesketch などの人気ツールでの分析が容易になります。
住所:
ImHex
ImHex は、バイナリデータを表示、デコード、分析するためのツールで、フォーマットの逆アセンブリ、情報の抽出、またはパッチ適用を行います。
ImHex は、完全にカスタマイズ可能なバイナリテンプレートとパターン言語、データ内の構造をデコードおよびハイライトするための機能、グラフィカルノードに基づくデータプロセッサ、表示値の前に処理を行うための機能、逆アセンブラ、差分サポート、ブックマークなど、多くの高度な機能を提供します。ImHex は GPLv2 ライセンスの下でオープンソースです。
住所:
Kubescape
Kubescape は、IDE、CI/CD パイプライン、クラスター用のオープンソース Kubernetes セキュリティプラットフォームです。リスク分析、安全評価、コンプライアンスチェック、誤設定検出などの機能を提供します。
Kubescape は、クラスター、YAML ファイル、Helm チャートなどのさまざまなコンポーネントをスキャンします。NSA-CISA、MITRE ATT&CK、CIS ベンチマークなどの複数のフレームワークを利用して、誤設定を特定します。
住所:
Matano
Matano は、SIEM(セキュリティ情報およびイベント管理)の代替として機能するオープンソースのクラウドネイティブセキュリティレイクプラットフォームです。AWS プラットフォーム上で PB 級の脅威探索、検出、応答、ネットワークセキュリティ分析を大規模に実現できます。
Matano を使用すると、ユーザーは S3(シンプルストレージサービス)または SQS(シンプルキューサービス)に基づく取り込み方法を使用してデータを収集できます。CloudTrail、Zeek、Okta などの事前構成されたソースが付属しており、すべての SaaS ソースから自動的にログデータを取得します。
住所:
Malwoverview
Malwoverview は、マルウェアサンプル、URL、IP アドレス、ドメイン、マルウェアシリーズ、IOC、ハッシュの初期および迅速な評価に使用される人気の脅威ハンティングツールです。
動的および静的な行動レポートを生成する機能を提供し、ユーザーがさまざまなエンドポイントからサンプルを提出およびダウンロードできるようにします。Malwoverview は、既存のサンドボックスのクライアントとしても機能し、潜在的な脅威を効果的に分析できます。
住所:
Metasploit Framework
Metasploit Framework は、Ruby に基づくモジュール式ペネトレーションテストプラットフォームです。ユーザーが脆弱性を利用するコードを作成、テスト、実行できるようにします。
セキュリティの脆弱性、ネットワークの列挙、攻撃の実行、検出回避のためのツールのセットが含まれています。
Metasploit Framework は、今日最も人気のある攻撃的なセキュリティツールセットの 1 つであり、ペネトレーションテストや脆弱性利用の開発に完全な環境を提供します。
住所:
MISP
MISP は、ネットワークセキュリティイベントおよびマルウェア分析に関連するネットワークセキュリティ指標と脅威を収集、保存、配布、共有するためのオープンソースの脅威インテリジェンスプラットフォームソリューションです。これは、イベントアナリスト、セキュリティおよび ICT 専門家、またはマルウェアアナリストのために設計されており、日常業務をサポートし、構造化情報を効果的に共有します。
MISP の主な目標は、セキュリティコミュニティ内外での構造化情報の共有を促進することです。ネットワーク侵入検知システム(NIDS)、ログベースの侵入検知システム(LIDS)、およびログ分析ツールや SIEM システムを通じて、さまざまな機能を提供し、こうした情報を交換・利用します。
住所:
Nidhogg
Nidhogg は、赤チーム向けに設計されたルートキットで、さまざまな機能を統合し、ユーザーフレンドリーで、1 つのヘッダーファイルを介して赤チームの C2 フレームワークに簡単に統合できます。
Nidhogg は、x64 バージョンの Windows 10 および Windows 11 と互換性があります。リポジトリには、カーネルドライバーと通信目的の C++ ヘッダーファイルが含まれています。
住所:
RedEye
RedEye は、CISA とエネルギー省太平洋北西国家研究所が開発したオープンソースの分析ツールです。その目的は、赤チームの分析と報告の指揮および制御活動をサポートすることです。オペレーターが緩和戦略を評価し、複雑なデータを視覚化し、赤チームの評価結果に基づいて情報に基づいた意思決定を行うのを助けます。
このツールは、特に Cobalt Strike によって生成されたログを解析するように設計されており、理解しやすいユーザーフレンドリーな形式でデータを提示します。ユーザーは、ツールに表示される活動にタグを付けたり、注釈を追加したりすることで、コラボレーションと分析を強化できます。RedEye は、オペレーターが発見とワークフローを利害関係者に示すことを可能にするデモモードも提供します。
住所:
SpiderFoot
SpiderFoot は、オープンソースのインテリジェンス(OSINT)自動化ツールです。さまざまなデータソースと統合され、収集した情報をナビゲートするためにさまざまなデータ分析手法を採用しています。
SpiderFoot は、組み込みの Web サーバーを統合しており、ユーザーフレンドリーな Web ベースのインターフェースを提供しますが、ユーザーは完全にコマンドラインで操作することも選択できます。このツールは Python 3 でコーディングされており、MIT ライセンスの下で公開されています。
住所:
System Informer
System Informer は、システムリソースを監視し、ソフトウェアをデバッグし、マルウェアを検出するための無料の多目的ツールです。
以下の機能を提供します:
実行中のプロセスとリソース使用状況の概要
詳細なシステム情報とグラフ
サービスの表示と編集
その他のいくつかのソフトウェアデバッグおよび分析機能
住所:
Tink
Tink は、Google の暗号学者とセキュリティエンジニアによって開発されたオープンソースの暗号ライブラリで、安全でユーザーフレンドリーな API を提供し、ユーザー中心のデザインアプローチ、厳密な実装とコードレビュー、徹底的なテストを通じて一般的なエラーを最小限に抑えます。
Tink は、暗号のバックグラウンドを持たないユーザーが安全に暗号タスクを実行できるように特別に設計されており、Google の多くの製品やシステムに展開されています。
住所:
Vuls
Vuls は、Linux、FreeBSD、コンテナ、WordPress、プログラミング言語ライブラリ、ネットワークデバイス向けに設計された脆弱性スキャナーです。
Vuls はエージェントレスツールで、主な機能は以下の通りです:
システムの脆弱性を特定する
影響を受けるサーバーに関する情報を提供する
自動脆弱性検出
CRON などの方法を使用して定期的に脆弱性を報告する
住所:
Wazuh
Wazuh は、さまざまな環境でのワークロードを保護するための脅威予防、検出、応答機能を提供する無料のオープンソースプラットフォームです。これには、オンプレミス、仮想化、コンテナ化、クラウドベースの設定が含まれます。
Wazuh には 2 つの主要コンポーネントがあります:エンドポイントセキュリティエージェントと管理サーバー。エンドポイントセキュリティエージェントは監視対象のシステムにインストールされ、安全に関連するデータを収集します。管理サーバーはエージェントが収集したデータを受信し、分析を実行します。
Wazuh は Elastic Stack と完全に統合されており、検索エンジンとデータ視覚化ツールを提供します。この統合により、ユーザーはセキュリティアラートをブラウズし、収集したデータから洞察を得ることができます。
住所:https://github.com/wazuh/wazuh
x64dbg
x64dbg は、Windows オペレーティングシステム向けに設計されたオープンソースのバイナリデバッガです。ソースコードが利用できない場合のマルウェア分析や実行可能ファイルの逆アセンブリに重点を置いています。
x64dbg の主な機能には以下が含まれます:
カスタマイズ性:ユーザーは C++ でプラグインを作成し、色をカスタマイズし、必要に応じて設定を調整できます。
x64/x32 サポート:x64 および x32 アプリケーションを同時に処理でき、統一されたデバッグインターフェースを提供します。
オープンソースライブラリに基づいて構築:x64dbg は Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit、snowman を使用しています。
開発が簡単:このソフトウェアは C++ と Qt で開発されており、新機能を効果的に追加できます。
スクリプト可能:x64dbg には、統合されていてデバッグ可能な ASM に似たスクリプト言語があります。
コミュニティの知恵:x64dbg の多くの機能は、逆アセンブリコミュニティによって考案または実装されています。
拡張性:ユーザーはプラグインを作成してカスタムスクリプトコマンドを追加したり、外部ツールを統合したりできます。