IAST（インタラクティブアプリケーションセキュリティテスト）とは何ですか？

インタラクティブアプリケーションセキュリティテスト（IAST）は、静的アプリケーションセキュリティテスト（SAST）と動的アプリケーションセキュリティテスト（DAST）を組み合わせて、アプリケーションの脆弱性をより効果的に発見する方法です。

IASTの特徴には以下が含まれます：

• IASTツールは、アプリケーションが実行されている間にセンサーや監視コンポーネントをアプリケーション内部に追加することで動作します。これらのツールは、テストが自動化されているか人によって行われているかにかかわらず、アプリの動作を監視します。このアプローチにより、IASTはコードの実行、ユーザー入力、およびアプリがデータをリアルタイムで処理する方法をチェックできます。
• IASTはコードベース全体を自動的にスキャンするわけではなく、テスト中にアプリケーションが行使される範囲によってカバレッジが決まります。テスト活動が広範囲であればあるほど、脆弱性のカバレッジは深くなります。
• IASTは通常、QAまたはステージング環境で展開され、自動化されたまたは手動の機能テストが実行されます。

サイバーセキュリティにおけるIASTの重要性

SASTは、アプリケーションを実行せずにソースコード、バイトコード、またはバイナリを分析し、コーディングエラーを発見するのに非常に効果的ですが、誤検知を生じる可能性があり、ランタイム固有の問題を見逃すことがあります。

DASTは、アプリケーションが実行されている間に外部からテストを行い、実行時にのみ現れる問題を露呈することができますが、内部ロジックやコード構造に対する深い可視性を欠いています。IASTはこれらの技術の強みを組み合わせることでギャップを埋め、以下を提供します。

• 脆弱性の発生源と経路に関するより深い洞察。
• SASTやDAST単独と比較して改善された検出精度。
• 実行時の活動とコード分析を関連付けることで誤検知を減少。

IASTの仕組み

• インストゥルメンテーション: IASTはインストゥルメンテーションを使用します。つまり、センサーや監視コードがアプリケーションに埋め込まれ（通常はQAまたはステージング環境で）、テスト中の動作を観察します。
• 監視: データフロー、ユーザー入力、コードの動作をリアルタイムで観察し、アプリケーションがテストや手動操作によって行使される際に監視します。
• 検出: 安全でない構成、未サニタイズのデータフロー、またはインジェクションリスクなどの脆弱性をフラグします。
• 報告: 開発者に検出された問題を解決するための実行可能な所見と修正ガイダンスを提供します。

例

機能テスト中に、QAチームがログインフォームと対話します。IASTツールは、ユーザー入力がサニタイズされずにデータベースクエリに流れ込むことを検出し、潜在的なSQLインジェクションリスクを示します。チームは脆弱性レポートとセキュリティ問題を修正するための実行可能なステップを受け取ります。

関連用語

• 動的アプリケーションセキュリティテスト（DAST）
• 静的アプリケーションセキュリティテスト（SAST）
• ソフトウェア構成分析（SCA）
• アプリケーションセキュリティテスト
• アプリケーションセキュリティ