アプリケーションセキュリティ
DAST(動的アプリケーションセキュリティテスト)
別称: 動的解析, ブラックボックステスト
定義
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
DAST ツールは、ソースコードを必要とせず、HTTP などを通じてデプロイ済みのアプリケーションと対話します。エンドポイントをクロールし、悪意あるリクエストを送り、レスポンスを観察することで、SQL インジェクション、XSS、SSRF、認証不備、誤った CORS 設定、安全でない Cookie などを検出します。攻撃者と同じ視点から検査するため、SAST と組み合わせることで、設定・インフラ・サードパーティサービスに起因するランタイム特有の問題も捕捉できます。通常はステージングや QA 環境で実行し、CI/CD のリリースゲートとして組み込みます。代表ツールは OWASP ZAP、Burp Suite、Invicti、Acunetix、StackHawk です。
例
- CI ジョブとして、ステージング API に対し OWASP ZAP の自動スキャンを実行する。
- 認証済みセッションを使い、Burp Suite で SPA にスキャンを実施する。
関連用語
SAST(静的アプリケーションセキュリティテスト)
ソースコード・バイトコード・バイナリを実行せずに自動解析し、インジェクションや安全でない API、弱い暗号などのセキュリティ欠陥を検出する手法。
IAST(対話型アプリケーションセキュリティテスト)
稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。
RASP(ランタイムアプリケーション自己防御)
稼働中のアプリケーション内部に組み込まれ、実行コンテキストを監視してインジェクションやデシリアライゼーションなどの悪意ある挙動をリアルタイムにブロックする防御機構。
ファジング(Fuzz Testing)
プログラムに大量の不正・ランダム・想定外な入力を与え、クラッシュ・メモリ破壊・セキュリティ脆弱性を自動的に発見するテスト手法。
DevSecOps
セキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
OWASP Top 10
OWASP Top 10 — definition coming soon.