先月拾ったオープンソースツールのまとめ記事となります。
※サブスク対象記事(毎月15日頃に配信予定)
※本記事で紹介するオープンソースのセキュリティツールは、一般的な情報提供を目的としたものであり、特定の環境や用途における動作や安全性を保証するものではありません。各ツールの導入・利用は、自己責任のもとで行ってください。また、ツールの仕様変更や脆弱性に関する情報は常に更新される可能性があるため、公式ドキュメントや開発元の情報を確認した上で、適切なセキュリティ対策を講じることを推奨します。本記事の内容によって生じたいかなる損害についても、当方は一切の責任を負いかねますのでご了承ください。
01_CVE Lite CLI(HelpNetSecurity, 2026/5/20)
<ChatGPT 記事要約>
CVE Lite CLIは、JavaScript/TypeScriptプロジェクト向けのオープンソース依存関係脆弱性スキャナーで、OWASP Incubator Projectとして公開されている。npm、pnpm、Yarn、Bunのロックファイルをローカルで解析し、OSVデータベースを利用して既知の脆弱性を検出する。単なるCVE一覧の提示ではなく、直接依存・推移的依存を区別し、修正に必要な具体的なアップデートコマンドを提示する点が特徴。クラウドサービスを介さずローカル実行でき、開発者がCI/CD工程前の早い段階で脆弱性を発見・修正できるよう設計されている。
#OWASP #脆弱性管理 #SBOM #DevSecOps #オープンソース
02_Clarity/RAMPART(HelpNetSecurity, 2026/5/21)
<ChatGPT 記事要約>
Microsoftは、AIエージェントの安全な設計と評価を支援するオープンソースツール「Clarity」と「RAMPART」を公開した。Clarityは、AIエージェントの設計段階で利用する脅威モデリング支援ツールで、エージェントの目的や権限、利用するツール、信頼境界、潜在的な攻撃経路などを整理しながらリスクを特定できる。設計初期からセキュリティを考慮することで、権限の過剰付与やデータ漏えいなどのリスク低減を支援する。一方のRAMPARTは、AIレッドチームの知見を活用した自動テストフレームワークで、プロンプトインジェクション、機密情報漏えい、不正なツール実行などの攻撃シナリオを継続的に検証できる。CI/CDパイプラインへの統合も可能で、開発から運用まで一貫したセキュリティ評価を実現する。両ツールはMicrosoft AI Red Teamの実践経験を基に開発されており、AIエージェントの普及に伴い高まるセキュリティリスクへの対策強化を目的としている。
#AIエージェント #AIセキュリティ #レッドチーム #オープンソース #Microsoft
→ ダウンロード(Clarity)
→ ダウンロード(RAMPART)
03_OpenHack(HelpNetSecurity, 2026/5/25)
<ChatGPT 記事要約>
OpenHackは、オランダのセキュリティ企業HadrianがMITライセンスで公開した、AIを活用した脆弱性調査向けのオープンソースフレームワークである。Claude Code、Codex、CursorなどのAIコーディング環境上で動作し、人間の脆弱性研究者が実施する調査プロセスをエージェント化して再現する。ソースコードを解析しながら攻撃シナリオを生成・検証し、発見した問題候補を段階的に評価することで、単純なパターンマッチングでは見つけにくいロジック上の欠陥や実際に悪用可能な脆弱性の発見を支援する。ワークフローの状態はファイルベースで管理され、調査内容や判断過程を追跡しやすい点も特徴だ。また、発見結果の独立したトリアージ工程を設けることで、LLM特有のハルシネーションや誤検知の低減を目指している。AIによるコードレビューや脆弱性発見の効率化が進む中、セキュリティ研究者や開発チームが既存のAI開発環境を活用しながら高度な脆弱性分析を実施できる基盤として注目されている。
#AIセキュリティ #脆弱性研究 #オープンソース #アプリケーションセキュリティ #LLM
→ ダウンロード
04_Vigolium(HelpNetSecurity, 2026/5/27)
<ChatGPT 記事要約>
Vigoliumは、従来型の脆弱性スキャンとAIによる自律的な監査機能を組み合わせたオープンソースの脆弱性スキャナーである。235以上のスキャンモジュールを搭載し、コンテンツ探索、ブラウザベースのクロール、アクティブ/パッシブ診断などを実施するほか、「olium」と呼ばれるエージェント実行基盤を利用して、AIが対象環境を分析しながら攻撃計画の立案や脆弱性検証を行う。ソースコード監査と動的診断を組み合わせることで、一般的なシグネチャベースのスキャナーでは見逃しやすいビジネスロジック上の欠陥や認可不備の発見を支援する点が特徴だ。また、LLM利用時のコストや処理時間を制御するため、トークン数や実行時間、反復回数などの予算上限を設定可能としている。さらに、検出結果は別工程で再検証するトリアージ機能により誤検知を低減し、再現可能な証跡や修正指針を提供する。AI活用による高度な脆弱性分析と、実運用を意識した管理機能を両立した新しいアプローチとして注目される。
#脆弱性診断 #AIセキュリティ #ペネトレーションテスト #オープンソース #AppSec
→ ダウンロード
05_Agent Threat Rules(HelpNetSecurity, 2026/6/3)
<ChatGPT 記事要約>
Agent Threat Rules(ATR)は、AIエージェントを標的とした攻撃を検知するためのオープンなルールフォーマットである。AIエージェントの普及に伴い、プロンプトインジェクション、ツール汚染(Tool Poisoning)、コンテキスト窃取、認証情報漏えいなどの新たな脅威が増加しているが、従来のセキュリティ製品では十分な検知が難しいケースが多い。ATRはこれらの攻撃パターンをYAML形式で定義し、LLMへの入力、ツール呼び出し引数、スキル定義ファイルなどを対象に検査できる。プロジェクトには400件以上の検知ルールが含まれ、OWASP Agentic Top 10の全カテゴリやSAFE-MCPの大部分をカバーしている。Microsoft、Cisco、MISPなどが導入・統合を進めており、AIエージェント向けの「Sigma」や「YARA」に相当する標準化を目指している点が特徴だ。一方で、正規表現ベースの検知には限界があり、意味的に言い換えられた高度な攻撃への対応にはサンドボックス、権限管理、人間によるレビューなどとの併用が推奨されている。
#AIエージェント #AIセキュリティ #脅威検知 #OWASP #オープンソース
→ ダウンロード
06_AgentGG(HelpNetSecurity, 2026/6/5)
<ChatGPT 記事要約>
AgentGGは、従来のルールベース静的解析とは異なり、AIエージェントを活用してソースコードを調査するオープンソースのAgentic SAST(Static Application Security Testing)スキャナーである。Apache 2.0ライセンスで公開されており、単純なパターンマッチングではなく、AIエージェントがコードを読み込み、インポート関係やコールグラフを追跡しながら脆弱性候補を検証することで、より精度の高い検出を目指している。スキャンは複数段階で実行され、まず対象プロジェクトの構造や機能を把握する偵察フェーズを実施し、その後、複数のエージェントが並列でコードフローを分析して問題を調査する。さらにオプションの検証フェーズでは、発見した問題の実現可能性やペネトレーションテスト対象範囲との関連性を評価し、最後にCVSSベースの深刻度スコアを付与する。これにより、従来のSAST製品で課題となっていた大量の誤検知や手動トリアージの負担軽減を狙う。AIを活用してコードの文脈や実際の到達経路を理解しながら分析する新世代のアプリケーションセキュリティツールとして注目されている。
#SAST #AIセキュリティ #脆弱性診断 #AppSec #オープンソース
→ ダウンロード
07_DockSec(HelpNetSecurity, 2026/6/8)
<ChatGPT 記事要約>
DockSecは、OWASP Incubator Projectとして公開されているオープンソースのAI搭載Dockerセキュリティスキャナーである。Trivy、Hadolint、Docker Scoutの3つの主要なコンテナセキュリティツールを統合し、その検出結果をAIが相関分析することで、膨大な脆弱性情報や設定不備の中から優先的に対応すべきリスクを特定する。従来のスキャナーが大量のCVEや警告を出力する一方で、DockSecは脆弱性の意味や影響を平易な言葉で説明し、Dockerfileのどの行をどのように修正すべきかを具体的に提示する点が特徴だ。また、0~100のセキュリティスコアを算出し、JSON、HTML、PDF、Markdown形式でレポートを生成できる。OpenAI、Anthropic、Google Gemini、Ollamaをサポートし、オフラインでのスキャン実行も可能である。検出から修正までのギャップを埋め、開発者やDevSecOpsチームによる迅速な脆弱性対応を支援することで、コンテナ環境のセキュリティ運用効率向上を目指している。
#Dockerセキュリティ #コンテナセキュリティ #DevSecOps #OWASP #AIセキュリティ
→ ダウンロード
必見!オープンソースのセキュリティツール60選 - Fox Research
【2025/08】オープンソースのセキュリティツール 22選
【2025/09】オープンソースのセキュリティツール 13選 - Fox Research
【2025/10】オープンソースのセキュリティツール 12選 - Fox Research
【2025/11】オープンソースのセキュリティツール 12選 - Fox Research
【2026/12】オープンソースのセキュリティツール 10選 - Fox Research
【2026/1】オープンソースのセキュリティツール 11選 - Fox Research
【2026/2】オープンソースのセキュリティツール 14選 - Fox Research
【2026/3】オープンソースのセキュリティツール 8選 - Fox Research
【2026/4】オープンソースのセキュリティツール 6選 - Fox Research
【2026/5】オープンソースのセキュリティツール 7選 - Fox Research
■参考■ 本当に「フリーでオープンソース」なのかどうか確認できる「Is it really foss?」(Gigazine, 2025/8/6)
■参考■ Ultimate Guide to Open Source Security: Risks, Attacks & Defenses-オープンソースセキュリティの究極ガイド:リスク、攻撃、防御(SecurityBoulevard, 2025/10/28)
■参考■ お金を払ってでも使いたい、優秀なオープンソースソフト7選(ZDNET, 2025/11/27)
■定番のツール(BankInfoSecurity, 2025/3/5)
■ネットワーク監視と分析
・Wireshark:パケット分析とネットワークトラブルシューティングの業界標準
・Zeek - 旧称 Bro:詳細なトラフィック分析を提供するネットワーク セキュリティ監視用の強力なツール
・Suricata:高性能侵入検知および防止システム
■侵入テストとセキュリティ評価
・Nmap:攻撃対象領域をマッピングするために最も広く使用されているネットワーク スキャン ツール
・Metasploit Framework:エクスプロイトを開発および実行するための強力なプラットフォーム
・Burp Suite Community Edition:Web アプリケーションのセキュリティ テストツール
■インシデント対応とデジタルフォレンジック
・Autopsy:デジタルフォレンジック調査ツール
・Volatility Framework:メモリフォレンジックとインシデント対応のためのフレームワーク
・TheHive:セキュリティ イベントと調査を管理するインシデント対応プラットフォーム
■脅威インテリジェンスとマルウェア分析
・MISP:脅威インテリジェンスの共有と分析のための共同ツール
・YARA:パターンベースのルールを使用してマルウェアを識別および分類するツール
・VirusTotal:疑わしいファイルをスキャンして分析するツール
■SIEMとログ分析
・Wazuh:オープンソースのセキュリティ監視およびコンプライアンス ツール
・Graylog:集中分析のための強力なログ管理プラットフォーム
更新履歴
- 2026年6月16日
