DAST（動的アプリケーションセキュリティテスト）とは？

動的アプリケーションセキュリティテスト、またはDASTは、アプリケーションが実行されている間にそのセキュリティをチェックする方法です。SASTがソースコードを調査するのに対し、DASTは実際の攻撃（例えばSQLインジェクションやクロスサイトスクリプティング）をライブ環境でシミュレーションすることでセキュリティをテストします。

DASTはブラックボックステストとも呼ばれ、外部からセキュリティテストを実行します。

サイバーセキュリティにおけるDASTの重要性

セキュリティ問題の中には、特にランタイム、動作、ユーザー検証に関連するものが、ライブでのみ現れるものがあります。DASTは組織が以下を行うのを助けます：

• SASTツールでは見逃されるセキュリティ問題を発見する。
• フロントエンドやAPIを含む実際の状況でアプリケーションを評価する。
• ウェブアプリケーション攻撃に対するアプリケーションセキュリティを強化する。

DASTの仕組み

• テストまたはステージング環境でアプリケーションを実行します。
• 悪意のあるまたは予期しない入力（作成されたURLやペイロードなど）を送信します。
• アプリケーションの応答を分析して脆弱性を検出します。
• 改善提案を含むレポートを作成します（Plexicusでは、さらに良いことに、改善を自動化します）。

DASTによって検出される一般的な脆弱性

• SQLインジェクション：攻撃者がデータベースクエリに悪意のあるSQLコードを挿入します。
• クロスサイトスクリプティング（XSS）：悪意のあるスクリプトがウェブサイトに注入され、ユーザーのブラウザで実行されます。
• サーバーの不適切な構成
• 認証やセッション管理の破損
• エラーメッセージにおける機密データの露出

DASTの利点

• SASTツールで見逃されたセキュリティの欠陥をカバーします。
• 実際の攻撃をシミュレートします。
• ソースコードへのアクセスなしで動作します。
• PCI DSS、HIPAA、その他のフレームワークのコンプライアンスをサポートします。

例

DASTスキャンでは、ツールがログインフォームにおけるセキュリティ問題を発見します。このフォームはユーザーが入力する内容を適切にチェックしていません。ツールが特別に設計されたSQLコマンドを入力すると、ウェブサイトがSQLインジェクションを通じて攻撃される可能性があることを示します。この発見により、開発者はアプリケーションが本番環境に移行する前に脆弱性を修正することができます。

関連用語

• SAST (静的アプリケーションセキュリティテスト)
• IAST (インタラクティブアプリケーションセキュリティテスト)
• SCA (ソフトウェア構成分析)
• OWASP Top 10
• アプリケーションセキュリティテスト