セキュリティツール

OSS ベースで個人は無料・組織も低コストで導入可能。セルフホスト可

Have I Been Pwned

自分のメールアドレスが漏洩データに含まれていないか確認できる老舗サービス。API で一括チェックも可能

YubiKey

商用

FIDO2 / WebAuthn / OTP に対応するハードウェアセキュリティキー。フィッシング耐性のある MFA の定番

脆弱性スキャン・SCA

依存パッケージ・コンテナイメージ・ソースコードの既知脆弱性を自動検出するツール。CI に組み込むのが基本。

Snyk

SCA / SAST / コンテナスキャンを統合。OSS プロジェクトは無料、商用は有料

Trivy

Aqua Security 製の OSS スキャナー。コンテナイメージ・IaC・SBOM を高速にスキャン

GitHub Dependabot

GitHub 組み込みの依存関係スキャン。PR 自動作成で脆弱性を順次解消できる

Semgrep

カスタムルールを書きやすい SAST。ポリシー違反の検出や独自コーディング規約チェックに活用できる

Web セキュリティ診断

公開済み Web アプリの脆弱性診断・構成チェック用。SSL Labs などブラウザだけで使える診断サイトも含む。

OWASP ZAP

OWASP が提供する OSS の DAST ツール。プロキシとして振る舞い、自動スキャンも手動テストも可能

Burp Suite

Web アプリ診断の業界標準。Community 版は無料、Professional は有料

SSL Labs Server Test

Qualys が提供する TLS 設定スコアリング。暗号スイート・証明書・脆弱性対応状況を A〜F で評価

HTTP Observatory (MDN)

セキュリティヘッダー・TLS・Cookie 設定を一括でスコアリング。旧 Mozilla Observatory が MDN に統合された後継サービス。CSP 導入の目標設定にも有用

シークレット検出

API キー・パスワード等の機密情報が Git リポジトリや履歴に混入するのを防ぐ。pre-commit と CI の両方で動かすのが基本。

gitleaks

Git リポジトリ・履歴をスキャンしてシークレットを検出する OSS。pre-commit / CI の両方に組み込める

trufflehog

検出した認証情報を API に問い合わせて「本当に生きているか」まで検証する OSS スキャナー

GitHub Secret Scanning

GitHub 組み込みのシークレット検出。Public リポジトリは無料、Enterprise で push 時ブロックも可能

ランタイム保護・SIEM

本番環境の異常検知・ログ集約・インシデント対応のための OSS / 商用プラットフォーム。

Falco

CNCF 卒業の OSS ランタイムセキュリティツール。システムコールを監視してコンテナの異常挙動を検出

Wazuh

HIDS・ログ解析・コンプライアンスチェックを兼ね備えた OSS SIEM。エージェント型で幅広いプラットフォームに対応

osquery

OS の状態を SQL で問い合わせ可能にする OSS。調査・監査・資産管理に使える

セキュリティ教育・訓練

従業員向けのフィッシング訓練・意識向上プログラムと、開発者・技術者向けの実践演習プラットフォーム。

Gophish

自組織内で完結するフィッシング訓練の OSS。メールテンプレ・ランディングページ・レポートまで一通り揃う

KnowBe4

商用

セキュリティ意識向上トレーニング + フィッシング訓練の SaaS。企業導入の代表例

Hack The Box