アプリケーションセキュリティ
RASP(ランタイムアプリケーション自己防御)
別称: ランタイム保護
定義
稼働中のアプリケーション内部に組み込まれ、実行コンテキストを監視してインジェクションやデシリアライゼーションなどの悪意ある挙動をリアルタイムにブロックする防御機構。
RASP は Java エージェント、.NET CLR フック、Node.js ラッパーなどでアプリケーションランタイムを計装し、データフロー、関数呼び出し、セキュリティ関連 API を監視します。ユーザ制御の入力が SQL パーサ、デシリアライザ、コマンド実行などの危険な処理に到達したことを検知すると、ログ記録・アラート・遮断のいずれかを実行します。トラフィックのみを見る WAF と異なり、RASP はユーザ、セッション、コードパスといった完全なアプリケーションコンテキストを把握できます。シグネチャや WAF ルールでは守りにくい高価値アプリケーションの最終防衛線として有効ですが、ランタイムオーバーヘッドと運用複雑性の増加を伴います。
例
- 本番環境の Java サービスに対する SQL インジェクションを Contrast Protect エージェントがブロックする。
- .NET API に対する安全でないデシリアライゼーションペイロードを Imperva RASP が阻止する。
関連用語
IAST(対話型アプリケーションセキュリティテスト)
稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。
DAST(動的アプリケーションセキュリティテスト)
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
Web アプリケーションファイアウォール(WAF)
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
Input Validation
Input Validation — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.