ネットワークセキュリティとオープンソースは切っても切れない関係にあり、商業用セキュリティ製品に使用される大量のオープンソースコードに加えて、ネットワークセキュリティ業界では多くのネットワークセキュリティフレームワーク、ツール、手法、モデル、さらにはインテリジェンスがオープンソースの形で共有され、発展しています。オープンソースのセキュリティプロジェクトは、ネットワークセキュリティ技術の革新と標準化を推進する上でますます重要な役割を果たしています。
以下に、GitHub 上でオープンソースとして公開されている 20 のセキュリティプロジェクトを整理しました。これらは脆弱性スキャンやネットワーク監視、暗号化、インシデントレスポンスなどの分野をカバーしており、個人や企業がデジタル資産をより良く保護するのに役立ちます:
ATT&CK Navigator
ATT&CK Navigator は ATT&CK マトリックスのナビゲーションと注釈ツールで、使用方法は Excel に似ています。防御のカバレッジを視覚化し、赤 / 青チームの活動や技術を計画・追跡する方法を提供します。また、ユーザーがマトリックスのセルを操作することもサポートしており、注釈や色分けを追加できます。
ATT&CK Navigator の主な機能は、カスタムレイヤーを作成し、ATT&CK ナレッジベースの個別の視点を提供することです。ユーザーはインタラクティブまたはプログラミング方式でレイヤーを作成し、ナビゲーターを使用して視覚化できます。
住所:
Web app that provides basic navigation and annotation of ATT&CK matrices
Cryptomator
Cryptomator は、クラウドに保存されたファイルにクライアント暗号化を提供するオープンソースのクロスプラットフォームツールです。
多くのクラウドプロバイダーが提供する暗号化サービスとは異なり(クラウドプロバイダーは通常、データを転送中にのみ暗号化したり、復号化キー自体を保持したりします)、Cryptomator はユーザーだけがデータのキーを持つことを保証します。このアプローチにより、キーが盗まれたり、コピーされたり、悪用されたりするリスクが最小限に抑えられます。
Cryptomator は、ユーザーが任意のデバイスからファイルにアクセスすることもサポートしています。
住所:
Cryptomator for Windows, macOS, and Linux: Secure client-side encryption for your cloud storage, ensuring privacy and control over your data.
Cutter
Cutter は、Rizin をコアエンジンとして使用する無料のオープンソース逆アセンブリプラットフォームです。これにより、ユーザーはグラフィカルユーザーインターフェース(GUI)または統合ターミナルを介して多数の機能にアクセスできます。
Cutter は、逆アセンブリプロセスの快適さを向上させるために、多くの小さなコンポーネントと機能を提供します。そのバージョンは、ネイティブの Ghidra 逆コンパイラと完全に統合されており、Java スキルはもはや必要ありません。
住所:
Free and Open Source Reverse Engineering Platform powered by rizin
Dismap
Dismap は、Web、TCP、UDP などのプロトコルをサポートする資産発見および識別ツールで、さまざまな資産タイプを検出し、内部および外部ネットワークに適しています。Dismap は、赤チームのメンバーが潜在的なリスク資産を特定するのを支援し、青チームのメンバーが疑わしい脆弱資産を検出するのをサポートします。
Dismap のフィンガープリンティングルールライブラリには、TCP、UDP、TLS プロトコルのフィンガープリントと 4500 以上の Web フィンガープリンティングルールが含まれています。これらのルールは、ウェブサイトのアイコン、本文、タイトル、その他の関連コンポーネントなどの要素を識別するのに役立ちます。
住所:
Asset discovery and identification tools 快速识别 Web 指纹信息,定位资产类型。辅助红队快速定位目标资产信息,辅助蓝队发现疑似脆弱点
Faraday
Faraday は、セキュリティ専門家が脆弱性を見つけることに集中できるようにし、作業プロセスを整理するのを支援するオープンソースの脆弱性管理ツールです。
Faraday の主な機能の 1 つは、ロードされたデータを集約し、標準化できることです。これにより、管理者やアナリストはさまざまな視覚化を通じてデータを探索し、脆弱性をよりよく理解し、意思決定プロセスを支援できます。
住所:
Open Source Vulnerability Management Platform
Hayabusa
Hayabusa は、Windows イベントログの迅速なフォレンジックタイムライン生成器および脅威ハンティングツールです。Rust プログラミング言語で実装されており、マルチスレッドを組み合わせて速度を最適化しています。このツールには、Sigma ルールを Hayabusa ルール形式に変換する機能が含まれています。
Hayabusa と互換性のある検出ルールは YAML で記述されており、簡単にカスタマイズおよび拡張できます。Hayabusa は、単一のシステムのリアルタイム分析、単一または複数のシステムからのログを収集してのオフライン分析、または Velociraptor と組み合わせて企業全体の脅威探索およびインシデントレスポンスを行うなど、さまざまな方法で使用できます。
Hayabusa の出力情報は CSV タイムラインに統合され、LibreOffice、Timeline Explorer、Elastic Stack、Timesketch などの人気ツールでの分析が容易になります。
住所:
Open Source Vulnerability Management Platform
ImHex
ImHex は、バイナリデータを表示、デコード、分析するためのツールで、フォーマットを逆アセンブルし、情報を抽出したりパッチを当てたりします。
ImHex は、完全にカスタマイズ可能なバイナリテンプレートとパターン言語、データ内の構造をデコードしてハイライトするための機能、グラフィカルノードに基づくデータプロセッサ、表示値の前にそれを前処理するための機能、逆アセンブラ、差分サポート、ブックマークなど、多くの高度な機能を提供します。ImHex は GPLv2 ライセンスの下でオープンソースです。
住所:
🔍 A Hex Editor for Reverse Engineers, Programmers and people who value their retinas when working at 3 AM.
Kubescape
Kubescape は、IDE、CI/CD パイプライン、クラスター用のオープンソース Kubernetes セキュリティプラットフォームです。リスク分析、安全評価、コンプライアンスチェック、誤設定検出などの機能を提供します。
Kubescape は、クラスター、YAML ファイル、Helm チャートなどのさまざまなコンポーネントをスキャンします。NSA-CISA、MITRE ATT&CK、CIS ベンチマークなどの複数のフレームワークを利用して誤設定を特定します。
住所:
Kubescape is an open-source Kubernetes security platform for your IDE, CI/CD pipelines, and clusters. It includes risk analysis, security, compliance, and misconfiguration scanning, saving Kubernetes users and administrators precious time, effort, and resources.
Matano
Matano は、SIEM(セキュリティ情報およびイベント管理)の代替として機能するオープンソースのクラウドネイティブセキュリティレイクプラットフォームです。AWS プラットフォーム上で PB レベルの脅威探索、検出、応答、ネットワークセキュリティ分析を大規模に実現できます。
Matano を使用すると、ユーザーは S3(シンプルストレージサービス)または SQS(シンプルキューサービス)に基づく取り込み方法を使用してデータを収集できます。CloudTrail、Zeek、Okta などの事前設定されたソースが付属し、すべての SaaS ソースから自動的にログデータを取得します。
住所:
Malwoverview
Malwoverview は、マルウェアサンプル、URL、IP アドレス、ドメイン、マルウェアシリーズ、IOC、ハッシュの初期および迅速な評価に使用される人気の脅威ハンティングツールです。
動的および静的な行動レポートを生成する機能を提供し、ユーザーがさまざまなエンドポイントからサンプルを提出およびダウンロードできるようにします。Malwoverview は、既存のサンドボックスのクライアントとしても機能し、潜在的な脅威を効果的に分析できます。
住所:
Malwoverview is a first response tool used for threat hunting and offers intel information from Virus Total, Hybrid Analysis, URLHaus, Polyswarm, Malshare, Alien Vault, Malpedia, Malware Bazaar, ThreatFox, Triage, InQuest, VxExchange and IPInfo, and it is also able to scan Android devices against VT.
Metasploit Framework
Metasploit Framework は、Ruby に基づくモジュラーなペネトレーションテストプラットフォームです。ユーザーが脆弱性を利用するコードを作成、テスト、実行できるようにします。
セキュリティ脆弱性のテスト、ネットワーク列挙、攻撃実行、検出回避のためのツールセットを含んでいます。
Metasploit Framework は、現在最も人気のある攻撃的なセキュリティツールセットの 1 つであり、ペネトレーションテストと脆弱性利用の開発に完全な環境を提供します。
住所:
MISP
MISP は、ネットワークセキュリティイベントおよびマルウェア分析に関連するネットワークセキュリティ指標と脅威を収集、保存、配布、共有するためのオープンソースの脅威インテリジェンスプラットフォームソリューションです。これは、イベントアナリスト、セキュリティおよび ICT 専門家、またはマルウェアアナリストが日常業務をサポートするために設計されており、構造化された情報を効果的に共有します。
MISP の主な目標は、セキュリティコミュニティ内外での構造化情報の共有を促進することです。さまざまな機能を提供し、ネットワーク侵入検知システム(NIDS)、ログベースの侵入検知システム(LIDS)、およびログ分析ツールや SIEM システムを通じてこのような情報を交換および利用します。
住所:
Nidhogg
Nidhogg は、赤チーム向けに設計されたルートキットで、さまざまな機能を統合し、ユーザーフレンドリーで、1 つのヘッダーファイルを介して赤チームの C2 フレームワークに簡単に統合できます。
Nidhogg は、x64 バージョンの Windows 10 および Windows 11 と互換性があります。リポジトリには、カーネルドライバーと通信目的の C++ ヘッダーファイルが含まれています。
住所:
Nidhogg is an all-in-one simple to use windows kernel rootkit.
RedEye
RedEye は、CISA とエネルギー省太平洋北西国家研究所が開発したオープンソースの分析ツールです。その目的は、赤チームの分析と報告の指揮および制御活動をサポートすることです。オペレーターが緩和戦略を評価し、複雑なデータを視覚化し、赤チームの評価結果に基づいて情報に基づいた意思決定を行うのを助けます。
このツールは、特に Cobalt Strike によって生成されたログを解析し、理解しやすいユーザーフレンドリーな形式でデータを表示するように設計されています。ユーザーは、ツール内で表示される活動にタグを付け、注釈を追加することで、コラボレーションと分析を強化できます。RedEye は、オペレーターが利害関係者に発見とワークフローを示すことを可能にするデモモードも提供します。
住所:
SpiderFoot
SpiderFoot は、オープンソースのインテリジェンス(OSINT)自動化ツールです。さまざまなデータソースと統合され、収集した情報をナビゲートするためにさまざまなデータ分析手法を採用しています。
SpiderFoot は、組み込みの Web サーバーを統合しており、ユーザーフレンドリーな Web ベースのインターフェースを提供します。ユーザーは完全にコマンドラインで操作することも選択できます。このツールは Python 3 でコーディングされており、MIT ライセンスの下で公開されています。
住所:
SpiderFoot automates OSINT for threat intelligence and mapping your attack surface.
System Informer
System Informer は、システムリソースを監視し、ソフトウェアをデバッグし、マルウェアを検出するための無料の多目的ツールです。
以下の機能を提供します:
実行中のプロセスとリソース使用状況の概要
詳細なシステム情報とグラフ
サービスの表示と編集
その他のソフトウェアデバッグおよび分析機能
住所:
Tink
Tink は、Google の暗号学者とセキュリティエンジニアによって開発されたオープンソースの暗号ライブラリで、安全でユーザーフレンドリーな API を提供します。ユーザー中心のデザインアプローチ、厳密な実装とコードレビュー、徹底的なテストを通じて、一般的なエラーを最小限に抑えます。
Tink は、暗号のバックグラウンドがないユーザーが安全に暗号タスクを実行できるように特別に設計されており、Google の多くの製品やシステムに展開されています。
住所:
Vuls
Vuls は、Linux、FreeBSD、コンテナ、WordPress、プログラミング言語ライブラリ、ネットワークデバイス向けに設計された脆弱性スキャナーです。
Vuls はエージェントレスツールで、主な機能は以下の通りです:
システムの脆弱性を特定する
影響を受けるサーバーに関する情報を提供する
自動脆弱性検出
CRON などの方法を使用して定期的に脆弱性を報告する
住所:
Wazuh
Wazuh は、さまざまな環境でのワークロードを保護するための脅威予防、検出、応答機能を提供する無料のオープンソースプラットフォームです。オンプレミス、仮想化、コンテナ化、クラウドベースの設定を含みます。
Wazuh には 2 つの主要コンポーネントがあります:エンドポイントセキュリティエージェントと管理サーバー。エンドポイントセキュリティエージェントは監視対象のシステムにインストールされ、安全に関連するデータを収集します。管理サーバーはエージェントが収集したデータを受信し、分析を実行します。
Wazuh は Elastic Stack と完全に統合されており、検索エンジンとデータ可視化ツールを提供します。この統合により、ユーザーはセキュリティアラートをブラウズし、収集したデータから洞察を得ることができます。
住所:https://github.com/wazuh/wazuh
x64dbg
x64dbg は、Windows オペレーティングシステム向けに設計されたオープンソースのバイナリデバッガです。ソースコードが利用できない場合のマルウェア分析や実行可能ファイルの逆アセンブルに重点を置いています。
x64dbg の主な機能には以下が含まれます:
カスタマイズ性:ユーザーは C++ でプラグインを作成し、色をカスタマイズし、ニーズに応じて設定を調整できます。
x64/x32 サポート:x64 および x32 アプリケーションを同時に処理でき、統一されたデバッグインターフェースを提供します。
オープンソースライブラリに基づいて構築:x64dbg は Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit、snowman を使用しています。
開発が簡単:このソフトウェアは C++ と Qt で開発されており、新機能を効率的に追加できます。
スクリプト可能:x64dbg には統合され、デバッグ可能な ASM に似たスクリプト言語があります。
コミュニティの知恵:x64dbg の多くの機能は、逆アセンブリコミュニティによって考案または実装されています。
拡張性:ユーザーはプラグインを作成してカスタムスクリプトコマンドを追加したり、外部ツールを統合したりできます。