DAST(動的アプリケーションセキュリティテスト)
DAST(動的アプリケーションセキュリティテスト) とは何ですか?
DAST(動的アプリケーションセキュリティテスト)稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
DAST ツールは、ソースコードを必要とせず、HTTP などを通じてデプロイ済みのアプリケーションと対話します。エンドポイントをクロールし、悪意あるリクエストを送り、レスポンスを観察することで、SQL インジェクション、XSS、SSRF、認証不備、誤った CORS 設定、安全でない Cookie などを検出します。攻撃者と同じ視点から検査するため、SAST と組み合わせることで、設定・インフラ・サードパーティサービスに起因するランタイム特有の問題も捕捉できます。通常はステージングや QA 環境で実行し、CI/CD のリリースゲートとして組み込みます。代表ツールは OWASP ZAP、Burp Suite、Invicti、Acunetix、StackHawk です。
● 例
- 01
CI ジョブとして、ステージング API に対し OWASP ZAP の自動スキャンを実行する。
- 02
認証済みセッションを使い、Burp Suite で SPA にスキャンを実施する。
● よくある質問
DAST(動的アプリケーションセキュリティテスト) とは何ですか?
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
DAST(動的アプリケーションセキュリティテスト) とはどういう意味ですか?
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
DAST(動的アプリケーションセキュリティテスト) からどのように防御しますか?
DAST(動的アプリケーションセキュリティテスト) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DAST(動的アプリケーションセキュリティテスト) の別名は何ですか?
一般的な別名: 動的解析, ブラックボックステスト。