前回のオープンソースツールのまとめ記事が好評だったので、6月~8月に拾った記事をまとめます。※サブスク対象記事
前回記事:必見!オープンソースのセキュリティツール60選 - Fox Research
※本記事で紹介するオープンソースのセキュリティツールは、一般的な情報提供を目的としたものであり、特定の環境や用途における動作や安全性を保証するものではありません。各ツールの導入・利用は、自己責任のもとで行ってください。また、ツールの仕様変更や脆弱性に関する情報は常に更新される可能性があるため、公式ドキュメントや開発元の情報を確認した上で、適切なセキュリティ対策を講じることを推奨します。本記事の内容によって生じたいかなる損害についても、当方は一切の責任を負いかねますのでご了承ください。
■参考■ 本当に「フリーでオープンソース」なのかどうか確認できる「Is it really foss?」(Gigazine, 2025/8/6)
01_Reconmap: オープンソースの脆弱性評価、侵入テスト管理プラットフォーム(HelpNetSecurity, 2025/6/24)
<ChatGPT 記事要約>
Reconmapは、脆弱性評価とペネトレーションテストを対象にしたオープンソースのマネジメントプラットフォームで、セキュリティチームがテスト計画から実行、報告までを一括して管理できるツールです。これにより、チームの協働が促進され、初期の調査から最終報告までの時間が短縮される一方で品質の維持が可能です。Reconmapでは、即時またはスケジュール実行が可能なコマンドを実行し、結果を自動で保存し、脆弱性を追跡できます。報告書はWord・Markdown・LaTeX形式で出力可能で、モジュラー構成により、Docker ComposeやSwarm、Kubernetes、手動インストール、さらにはSaaSなど、多彩な導入方式に対応。GitHub上で無償で公開されています。
→ ダウンロード
02_GoogleのGemini CLIはオープンソースのAIエージェントを開発者に提供します(HelpNetSecurity, 2025/6/26)
<ChatGPT 記事要約>
Google はオープンソースの AI エージェント「Gemini CLI」を発表しました。Gemini‑CLI は、Gemini 1.5 Pro(最大 100 万トークンのコンテキストウィンドウ対応)をベースとし、ターミナルから直に高度な AI 機能にアクセスできるツールです。自然言語によるコードリファクタリング、ドキュメント生成、シェルコマンド実行、スクリプト実行、ファイル編集など複雑な開発ワークフローを支援します。ツールは Apache 2.0 ライセンスで公開されており、開発者が内部を検証・改変可能で、拡張性が高い点が特徴です。
さらに、多機能コンポーザブル機能(MCP)により、カスタム拡張やツール連携も可能です。無料プレビューとして、1 分あたり最大 60 リクエスト、1 日あたり最大 1,000 リクエストまで利用でき、業界でも非常に寛容な使用制限となっています。開発者がテンプレート機能やメモリモジュールを活用しつつ、CI/CD や自動化ワークフローにも容易に組み込める設計です。オープンソースであるため、安全性やセキュリティへの検証もユーザー自身が行える点で注目されています。
→ ダウンロード
03_RIFT: Microsoftの新しいオープンソースツールがRustマルウェアの解析に役立つ(HelpNetSecurity, 2025/6/30)
<ChatGPT 記事要約>
MicrosoftのThreat Intelligence Centerは、新たにオープンソースのツール「RIFT」を公開しました。RIFTは、Rustで書かれたマルウェアの解析を容易にするための静的解析支援ツールで、特に静的リンクにより巨大かつ多機能なバイナリ構成となるRustマルウェアの解析課題を解消します。RIFTは、「Static Analyzer」「Generator」「Diff Applier」という3つのコンポーネントで構成されます。「Static Analyzer」はIDA Proのプラグインで、バイナリからRustのコンパイラ情報や依存関係、ターゲットプラットフォームなどを抽出しJSON化。「Generator」はPythonスクリプトで、対応するライブラリやコンパイラを用いてFLIRTシグネチャやバイナリ差分(binary diffing)を生成。「Diff Applier」はIDA Proで差分やシグネチャを適用して、ライブラリコードを自動注釈し、解析者が悪意あるコードへ集中できる支援を行います。手法としては、高精度だが厳密なFLIRTと、柔軟だが時間を要するbinary diffingの併用がされます。実際のRansomware「RALord」やバックドア「SPICA」で検証され、ライブラリコードのほとんどを除外し解析対象を特定する成果が得られています。RIFTは現在GitHubにて無償提供中です。
→ ダウンロード
04_Secretless Broker: パスワードやキーを使わずにアプリを安全に接続するオープンソースツール(HelpNetSecurity, 2025/7/2)
<ChatGPT 記事要約>
Secretless Brokerは、アプリケーションがデータベースやウェブサービス、SSHエンドポイントなどの外部サービスに接続する際、**パスワードや鍵などの「シークレットを直接扱わずに済む」**ようにするオープンソースの接続ブローカーです。これは、いわゆる「シークレット配信の最後の一歩」(“last mile” problem)を解消し、アプリケーション自身がシークレットを保持しないことで、漏えいリスクを低減する仕組みです 。
クライアントはSecretless Brokerにローカル接続し、その後、BrokerがService Connectorを介してVault(例:Conjur、キーチェーン、ファイルなど)から適切な資格情報を取得し、ターゲットサービスへ接続・認証を行います。その間、アプリはシークレットに一切触れず、認証された接続を透過的に利用できます 。
対応サービスには、MySQL/PostgreSQL(ソケット・TCP)、SSH(β版)、HTTP(Basic認証、Conjur、AWS認証戦略のβ対応)などがあります 。また、将来的にはSPIFFEのようなアイデンティティベースの認証環境との統合を目指しており、Secretless BrokerがIDドキュメントを受け取り、必要に応じた認証情報に変換する役割も担う可能性があります 。
Secretless BrokerはGitHub上で無償公開されており、オープンソースとしてコードの可監査性と拡張性を備えています 。
→ ダウンロード
05_Google、年齢確認のためのプライバシー技術をオープンソース化(HelpNetSecurity, 2025/7/3)
<ChatGPT 記事要約>
Googleが、年齢認証に使えるゼロ知識証明(ZKP:Zero-Knowledge Proof)を利用した暗号技術をオープンソース化し、公開しました。従来、ウェブサイトやオンラインサービスで年齢を確認するには、身分証明書や生年月日などの個人情報の提供が必要であり、プライバシー面で懸念がありました。このZKPコードベースを用いることで、ユーザーは“18歳以上である”などの条件を満たしていることを証明しながらも、実際の生年月日や個人の特定情報を明かす必要がなくなります。
この技術により、アダルトコンテンツや年齢制限付きサービスへのアクセス制御が、法的遵守を維持しながら個人情報の漏洩リスクを軽減しつつ実現可能になります。ZKPは、特定のクレームが真実であることを非公開に証明する手段であり、匿名性とプライバシー保護を重視する現代のオンライン環境において、非常に有効なアプローチです。
→ ダウンロード
