マルウェア分析、侵入テスト、コンピューターフォレンジックなど、GitHub はあらゆる規模のコンピューティング環境の実際のニーズを満たす強力なセキュリティツールスイートをホストしています。

GitHub で人気のオープンソース セキュリティ ツール 11 選

オープンソース開発の礎として、「すべての脆弱性は表面的なものである」という原則は、よく知られたルール、ひいては信条となっています。広く認知されたリーナス法則として、オープンコードが脆弱性検出の効率を向上させるという理論は、オープンソースモデルのセキュリティ上の利点を議論する際にIT専門家の間でも広く受け入れられています。

現在では、GitHub などの人気のコード共有サイトの出現により、オープンソース業界全体が他の企業のコードとシステムの保護を支援し、マルウェア分析、侵入テスト、コンピューターフォレンジックなどの同様のタスクを実行するために設計されたさまざまなセキュリティツールとフレームワークを提供しています。

以下の11の基本的なセキュリティプロジェクトはすべてGitHubをベースにしています。安全なコードやシステムに関心のある管理者は、これらのプロジェクトに注目するべきです。

Metasploitフレームワーク

オープンソースコミュニティとセキュリティ企業Rapid7が推進するMetasploitフレームワークは、ペネトレーションテスト向けに特別に設計された脆弱性開発・配信システムです。脆弱性データベースと同様の機能を備え、管理者は脆弱性を特定することでアプリケーションのセキュリティを評価し、攻撃者に発見される前に修復策を実施できます。Windows、Linux、Mac、Android、iOSなど、多くのシステムプラットフォームでのテストに使用できます。

「Metasploitは、セキュリティ研究者にセキュリティ脆弱性を比較的汎用的な形式で表現する方法を提供します」と、Rapid7のエンジニアリングマネージャーであるTod Beardsley氏は述べています。「私たちは、汎用コンピュータ、携帯電話、ルーター、スイッチ、産業用制御システム、組み込みデバイスなど、あらゆる種類のデバイス向けに数千ものモジュールを構築してきました。Metasploitの優れたユーザビリティを活用していないソフトウェアやファームウェアはほとんど考えられません。」

プロジェクトリンク: https://github.com/rapid7/metasploit-framework

ブレーキマン

Brakemanは、Ruby on Railsアプリケーション向けに特別に設計された脆弱性スキャンツールです。プログラムのある部分から別の部分へ値を転送するプロセスにおけるデータフロー解析も実行します。ユーザーはアプリケーションスタック全体をインストールすることなく、このソフトウェアを使用できます、とBrakemanの開発者兼メンテナーであるジャスティン・コリンズ氏は説明します。

Brakeman の速度は比類のないものではありませんが、大規模なアプリケーションを数分でスキャンできる能力は、「ブラックボックス」スキャンツールを凌駕しています。最近の修正でこの問題は解決されましたが、Brakeman を使用する際には誤検知に注意する必要があります。Brakeman はウェブサイトのセキュリティスキャンツールとして使用されることを目的としています。コリンズ氏は現在、他のプラットフォームへの拡張計画はありませんが、他の開発者にプロジェクトのコード改善を促しています。

プロジェクトリンク: https://github.com/presidentbeef/brakeman

カッコウサンドボックス

Cuckoo Sandbox は、隔離された環境内の疑わしいファイルを検査するために特別に設計された、自動化された動的マルウェア分析システムです。

「このソリューションの主な目的は、Windows仮想マシン環境でマルウェアが起動された後、その異常な動作を自動的に実行し、監視することです。実行プロセスが完了すると、Cuckooは収集されたデータをさらに分析し、マルウェアの具体的な破壊能力を説明する包括的なレポートを生成します」と、プロジェクトの創設者であるクラウディオ・グアルニエリ氏は述べています。

Cuckoo によって生成されるデータには、ローカル関数と Windows API 呼び出しのトレース、作成および削除されたファイルのコピー、分析マシンのメモリダンプが含まれます。ユーザーはプロジェクトの処理およびレポートメカニズムをカスタマイズして、JSON や HTML など、さまざまな形式でレポートを生成できます。Cuckoo Sandbox は、2010 年から Google Summer of Code のプロジェクトとして参加しています。

プロジェクトリンク: https://github.com/cuckoobox/cuckoo

モロク

Molochは、スケーラブルなIPv4パケットキャプチャ、インデックス作成、データベースシステムです。シンプルなWebインターフェースから、ブラウジング、検索、エクスポート機能を提供します。HTTPSおよびHTTPメカニズムを活用し、既存のIDSエンジンを置き換えることなく、パスワードをサポートしたり、フロントエンドApache機能を提供したりします。

このソフトウェアは、すべてのネットワークトラフィックを標準PCAP形式で保存・取得でき、様々なシステムに導入可能です。スループットは数ギガバイト/秒まで拡張可能です。プロジェクトのコンポーネントには、キャプチャおよび実行用のシングルスレッドCアプリケーション（ユーザーは各デバイスで複数のキャプチャプロセスを実行することもできます）、WebインターフェースとPCAPファイル転送用のビューア（実際にはNode.jsアプリケーション）、そして検索タスク用のElasticsearchデータベーステクノロジーが含まれます。

プロジェクトリンク: https://github.com/aol/moloch

MozDef: Mozilla 防御プラットフォーム

この Mozilla 防御プラットフォームである MozDef は、セキュリティ インシデント プロセスを自動化し、防御側に攻撃者と同じ機能を提供することを目的としている。つまり、監視、対応、連携、および関連する保護機能の改善を可能にするリアルタイムの統合プラットフォームであると、プロジェクト作成者の Jeff Bryner 氏は説明する。

MozDefは従来のSEIM（セキュリティ情報およびインシデント管理）機能を拡張し、協調的なインシデント対応、可視化、そして他のエンタープライズシステムとの容易な統合を可能にすると、Bryner氏は指摘する。MozDefはElasticsearch、Meteor、MongoDBを用いて大量の多種多様なデータを収集し、ユーザーが必要とするあらゆる方法で保存することができる。「MozDefは、Elasticsearch上に構築されたSIEMレイヤーであり、セキュリティインシデント対応ワークフローを提供するものと考えてください」とBryner氏は語る。このプロジェクトは2013年にMozilla内で概念実証フェーズを開始した。

プロジェクトリンク: https://github.com/jeffbryner/MozDef

ミダス

EtsyとFacebookのセキュリティチームが共同で開発したMIDASは、Macデバイス向けに特別に設計された侵入検知・解析システム（MIDAS）のフレームワークです。このモジュール式フレームワークは、OS Xシステムの常駐メカニズム内で発生する改変行為を検出するための補助ツールとサンプルモデルを提供します。このプロジェクトは、「Homemade Defense Security」および「Attack-Driven Defense」というレポートで概説されているコンセプトに基づいています。

EtsyとFacebookのセキュリティチームは資料の中で、「このフレームワークをリリースする共通の目標は、この分野における議論への熱意を高め、企業ユーザーにOS Xエンドポイントにおける一般的なエクスプロイトやパーシスタンスパターンを検出するためのプロトタイプソリューションを提供することです」と述べています。MIDASユーザーは、モジュールに対してホストチェック、検証、分析、その他のターゲット操作を定義できます。

プロジェクトリンク: https://github.com/etsy/MIDAS

兄弟

「Bro ネットワーク分析フレームワークは、ほとんどの人がよく知っている侵入検知メカニズムとは根本的に異なります」と、Bro プロジェクトの主任開発者であり、カリフォルニア大学バークレー校のコンピュータサイエンス協会の上級研究員である Robin Sommer 氏は指摘します。

侵入検知システムは通常、様々な既存の攻撃パターンを照合できますが、Broは真のプログラミング言語であるため、一般的なシステムよりも強力です、とソマー氏は言います。Broを使用すると、ユーザーは高度なセマンティックレベルでタスクプランニングを実行できます。

Broは、攻撃活動の探索とコンテキスト情報および使用パターンの提供を目的としています。ネットワークデバイスの可視化、ネットワークトラフィックの詳細な調査、ネットワークパケットの調査が可能で、より汎用的なトラフィック分析プラットフォームも提供します。

プロジェクトリンク: https://github.com/bro/bro

OS X 監査ツール

OS X Auditorは、実行中のシステムまたは分析対象システムのコピー上の痕跡を解析およびハッシュ化できる無料のコンピュータフォレンジックツールです。これには、カーネル拡張機能、システムおよびサードパーティのエージェントとバックグラウンドプロセス、適用できないシステムとサードパーティのスタートアップ項目、ユーザーがダウンロードしたファイル以外でインストールされたエージェントが含まれます。隔離されたユーザーファイルは、監査対象システム上のSafariの履歴、FirefoxのCookie、Chromeの履歴、ソーシャルメディアとメールアカウント、Wi-Fiアクセスポイントから抽出できます。

プロジェクトリンク: https://github.com/jipegit/OSXAuditor

探偵キット

Sleuth Kitは、個々のボリュームやファイルシステムのデータを含むディスクイメージを調査するために設計されたライブラリとコマンドラインツールのコレクションです。また、このキットは、ユーザーがファイルコンテンツを分析したり自動化システムを構築したりするためのモジュールを追加できるプラグインフレームワークも提供しています。

MicrosoftおよびUnixシステム向けのツールスイートであるSleuth Kitは、インシデント対応時またはシステム内で、画像から様々な種類の証拠を特定・回収することを可能にします。Sleuth Kitをはじめとするツールのユーザーインターフェースとして機能しているのは、デジタルフォレンジックプラットフォームであるAutopsyです。「Autopsyはよりユーザー指向です」と、Sleuth KitとAutopsyの両方の開発者であるブライアン・キャリアー氏は述べています。「Sleuth Kitは、ユーザーが独自のツールに統合できるライブラリのようなものです。ユーザーはSleuth Kitを直接使用する必要はありません。」

プロジェクトリンク: https://github.com/sleuthkit/sleuthkit

オセック

ホストベースの侵入検知システムであるOSSECは、ログ分析、ファイル整合性チェック、監視、アラームなどの機能を実行できます。また、Linux、Mac OS X、Solaris、AIX、Windowsなど、さまざまな一般的なオペレーティングシステムと簡単に統合できます。

OSSECは、PCIやHIPAAを含む様々なコンプライアンス要件を企業ユーザーが満たせるよう支援することを目的としており、不正なファイルシステムの変更や、ソフトウェアやカスタムアプリケーションのログファイルに埋め込まれた悪意のあるアクティビティを検出した場合にアラートを発するように設定できます。中央管理サーバーが、異なるオペレーティングシステム間でポリシー管理タスクを処理します。OSSECプロジェクトはトレンドマイクロによってサポートされています。

プロジェクトリンク: https://github.com/ossec/ossec-hids

パッシブDNS

PassiveDNSはDNSレコードを受動的に収集し、インシデント対応支援、ネットワークセキュリティ監視、デジタルフォレンジックなどの機能を実現します。このソフトウェアは、pcap（パケットキャプチャ）ファイルを読み取り、DNSデータをログファイルとして出力したり、特定のインターフェースからデータトラフィックを抽出したりするように設定できます。

このツールは IPv4 と IPv6 の両方のトラフィックで動作し、TCP と UDP 上でトラフィック解決を実行し、DNS データのメモリ内コピーをキャッシュすることで記録されるデータの量を制限し、フォレンジックへの悪影響を回避します。

プロジェクトリンク: https://github.com/gamelinux/passivedns

元の英語テキスト: http://www.infoworld.com/slideshow/163151/11-open-source-security-tools-catching-fire-github-249652