IAST(対話型アプリケーションセキュリティテスト)
IAST(対話型アプリケーションセキュリティテスト) とは何ですか?
IAST(対話型アプリケーションセキュリティテスト)稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。
IAST エージェントは、言語ランタイムのフックを通じてアプリケーションプロセスに読み込まれ、データフロー、関数呼び出し、HTTP リクエストをリアルタイムに観察します。SAST の内部視点と DAST のランタイムコンテキストを組み合わせるため、汚染された入力が実際に危険なシンクに到達するかどうかを確認でき、誤検知を大幅に削減し脆弱な行を特定できます。本番ではなく機能テストや QA フェーズで実行するのが一般的です。Java、.NET、Node.js、Python など計装が容易な言語に向いており、Contrast Security、Checkmarx CxIAST、Seeker などのツールがあります。
● 例
- 01
QA 環境の Java サービスに Contrast Security エージェントを取り付け、E2E テスト中に XSS を検出する。
- 02
Cypress のシナリオ実行中に Seeker を使い、Node.js API の SQL インジェクションを確認する。
● よくある質問
IAST(対話型アプリケーションセキュリティテスト) とは何ですか?
稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
IAST(対話型アプリケーションセキュリティテスト) とはどういう意味ですか?
稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。
IAST(対話型アプリケーションセキュリティテスト) からどのように防御しますか?
IAST(対話型アプリケーションセキュリティテスト) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
IAST(対話型アプリケーションセキュリティテスト) の別名は何ですか?
一般的な別名: 対話型解析, ランタイムコード解析。