9つの不可欠なオープンソースセキュリティツール

写真：N Universe | shutterstock.com

サイバーセキュリティの専門家は、さまざまな分野でオープンソースソリューションに頼っています。これは、通常、活発で有用なコミュニティによって支えられているからだけでなく、企業スタックのあらゆるレベルで侵害やデータ漏洩を防ぐための高品質なオープンソースオプションが何百も存在するからです。

すでにxz-utilsのバックドア事件を思い浮かべている方もいるかもしれません。確かに、今後も同様の事例が発生する可能性はあります。しかし、同じような脆弱性がプロプライエタリなスタックで同じ速さで発見されたかは疑問です。オープンソースだからこそ、独立したセキュリティ専門家がこうした問題を迅速に発見できるのです。要するに、オープンソースツールの利点は、サイバーセキュリティ分野でも潜在的なリスクを上回ります。

CSO、CISOおよびそのチームは、以下のオープンソースセキュリティツールを活用すべきです。たとえば、次のような目的で：

• 脆弱性を特定する

• ログを分析する

• フォレンジック調査を開始する

• 脅威インテリジェンスや暗号化のサポートを確保する

1. 脆弱性スキャンのためのZAP

Zed Attack Proxy、略してZAPは、無料のオープンソースペネトレーションテストツールです。このスキャナーツールは、Webアプリケーションの潜在的な脆弱性やセキュリティホールを検出するために設計されており、豊富なコミュニティの知見に基づいています。

ZAPはブラウザとテスト対象のWebアプリの間に位置し、すべてのパケットを改変しながら、攻撃ベクトルを通じて脆弱性を探します。基本的には、拡張機能を備えたプロキシであり、脆弱性を探すためのものです。ZAPは、事前定義された攻撃手法のコレクションを提供します。特定のリスクをテストするために、カスタムペイロードやルールを追加することも可能です。

ZAPは積極的に開発が続けられており、将来の機能に向けた野心的なロードマップもあります。最適化されたスクリプト機能やgRPCなどのプロトコルへの幅広い対応も含まれています。さまざまなインストーラーが、主要なオペレーティングシステム向けにダウンロード可能です。

2. パケット解析のためのWireshark

ネットワーク内の通信ラインを監視することは、データ漏洩を発見するための最も効果的な方法の一つです。この目的において、Wiresharkは実績のある高品質なツールです。有線・無線ネットワークを流れるビットを分析し、数百のさまざまなネットワークソースの情報に基づいたルールセットと照合します。

特定のソフトウェアパッケージから発生する特定の種類のデータトラフィックに興味がある場合、それに対応したフィルターを定義することも可能です。このオープンソースツールもほとんどの主要なオペレーティングシステム（すべてのUnixバリエーションを含む）で動作します。

Wiresharkコミュニティは近年さらに成長し、特にドキュメントやトレーニング資料の充実に力を入れています。詳細は公式ウェブサイトをご覧ください。

セキュリティ侵害が発生した場合、セキュリティ専門家はフォレンジックツールを使って攻撃者の経路を追跡します。たとえば、Bloodhound Community Edition（同じチームが管理するエンタープライズツールのオープンソース版）などがあります。

このオープンソースツールは、Active DirectoryやAzure環境間の関係性を可視化し、非常に複雑な攻撃経路を特定し、その枠組みで発見されたセキュリティホールを修正できます。このツールはレッドチーム・ブルーチームの両方に適しています。

4. サイバーフォレンジックのためのAutopsy

Autopsyは、ディスク（イメージ）を徹底的に調査するためのオープンソースITフォレンジックプラットフォームです。多数のモジュールによる拡張が可能で、特定の侵害タイプに関連するデータタイプを特定できます。

たとえば、Extension Mismatch Moduleはファイルの内部構造と名前を照合します。ここで不一致が発生した場合、攻撃者がトラフィックを利用して何かを隠している可能性が示唆されます。さらに、Autopsyはトレーニングやサポート用の拡張モジュールも提供しています。

5. 脅威インテリジェンスのためのMISP

広範な共同作業が必要な場合、オープンソースツールやプラットフォームが力を発揮します。Malware Information Sharing Platform、略してMISPはその好例です。このプラットフォームは、ITフォレンジックツールのデータを分析する際に活用されます。潜在的な攻撃ベクトルに関する情報を包括的なデータベースに収集し、検索エンジンを通じて自社データと相関させることができます。柔軟なオブジェクトベースのデータモデルを採用し、さまざまな侵害指標（IoC）を可視化し、技術的・非技術的な詳細情報を提供します。「ファジーマッチング」をサポートするインデックスアルゴリズムにより、自動的に一致を検出します。

MISPは、タイムラインやイベントグラフを共有しながらセキュリティチームが協力できるように設計されています。このオープンソースプロジェクトはEUによって支援されており、多様なコミュニティに支持されています。MISPのウェブベースツール（主にPHPで記述）は、ソースコード形式でもダウンロード可能です。

6. 暗号化のためのLet’s Encrypt

暗号化アルゴリズムは、セキュリティ、データ保護、認証の基盤を形成し、多くのオープンソースライブラリで利用可能です。また、多くのオープンソースツールもこれらのアルゴリズムに依存しています。

たとえば、スクリプト集のLet’s Encryptは、システム管理者の負担を軽減し、Webサーバーに暗号化機能を簡単に導入できるように設計されています。管理者は数問に答えるだけで、ユーザー向け証明書が自動生成され、すべてのデータ通信が保護されます。

7. 暗号化のためのGNU Privacy Guard

GNU Privacy Guardは、通信保護のためのPGP標準を完全に実装したツールです。

その目的は、エンドユーザーがメールメッセージを暗号化・署名できるようにすることです。Secure ShellやS/MIMEのやり取りもサポートしています。

8. パターンマッチングのためのYara

マルウェアサンプルの識別・分類において、多くのマルウェア専門家がオープンソースプロジェクトのYaraを利用しています。

このオープンソースツールはさらに多くの機能を持ち、インシデント対応やITフォレンジックにも役立ちます。事前設定済みまたはカスタムルールに基づき、ファイルや実行中プロセス内の同一パターンを検索します。さらに、ウイルスの署名情報をオープンソースツールClamAVや、コミュニティが管理するYaraRulesリポジトリから取り込むことも可能です。ただし、シグネチャベース検出の限界を理解し、このツールだけに頼りすぎないことが重要です。

Yaraはコマンドラインから実行することも、Pythonライブラリとしてスクリプトに統合することもできます。

9. エンドポイントクエリのためのOSquery

Windows、Mac、Linuxのエンドポイントで悪意のあるプロセスやプラグイン、脆弱性をSQLクエリで簡単に検索できる――これが、Facebookのソフトウェアエンジニアによって開発されたオープンソースツールOSqueryのアイデアです。

このソフトウェアは、実行中のプロセス、ロード済みカーネルモジュール、オープンネットワーク接続、ブラウザプラグイン、ファイルハッシュなどのOS情報をリレーショナルデータベースに収集します。これらはSQLクエリで簡単に検索でき、複雑なPythonコードは不要です。これにより、OSqueryは重要な課題をシンプルかつエレガントに解決します。

このツールのコンポーネントには、PowerShellでも利用可能なインタラクティブなOSqueryiシェル、（低レベル）ホスト監視用のデーモンOSquerydが含まれ、データベースクエリのスケジューリングも可能です。（fm）

ITセキュリティに関するさらに興味深い記事を読みたいですか？無料ニュースレターで、セキュリティ意思決定者や専門家が知っておくべき情報をすべて直接受け取れます。