What is Dynamic Application Security Testing (DAST)?

動的アプリケーション・セキュリティ・テスト(DAST)または動的コード分析は、実行中のアプリケーションと対話することで脆弱性を特定するように設計されています。 これにより、実行中のアプリケーション内でのみ検出可能なコンパイル時と実行時の脆弱性の両方を特定できます。

デモのスケジュール ホワイトペーパーを読む

What is Dynamic Application Security Testing (DAST)?

動的アプリケーション・セキュリティ・テスト(DAST)の仕組み

DASTソリューションは、アプリケーション内の潜在的な入力フィールドを識別し、さまざまな異常な入力や悪意のある入力をそれらに送信します。 これには、SQLインジェクションコマンド、クロスサイトスクリプティング(XSS)の脆弱性、長い入力文字列など、一般的なタイプの脆弱性の悪用の試みと、アプリケーション内の入力検証とメモリ管理の問題を明らかにする可能性のある異常な入力の両方が含まれます。

DASTツールは、さまざまな入力に対するアプリケーションの応答に基づいて、特定の脆弱性が含まれているかどうかを識別します。 たとえば、SQLインジェクション攻撃によってデータへの不正アクセスが行われたり、無効な入力や不正な形式の入力が原因でアプリケーションがクラッシュしたりする場合、これは悪用可能な脆弱性を示しています。

DASTが重要な理由

DASTソリューションは、実行中のアプリケーション内の潜在的な脆弱性を特定するように設計されています。 これにより、アプリケーションの機能やセキュリティに影響を与える可能性のある構成やランタイムの脆弱性を見つけることができます。

長所と短所

DASTソリューションは、エンタープライズ・アプリケーション・セキュリティ戦略の重要な要素です。 DASTソリューションの主な利点には、次のようなものがあります。

  • ランタイムの問題の検出: DAST スキャナーは、実行中のアプリケーションと対話し、アプリケーション内のコンパイル時と実行時の両方の問題を検出できるようにします。
  • 低い偽陽性率: DASTは、脆弱性を悪用して脆弱性を特定し、潜在的な脆弱性が実際にアプリケーションの機能やセキュリティに脅威をもたらすことを検証できるようにします。
  • 言語にとらわれない: DASTソリューションは、実行中のアプリケーションをブラックボックス評価でテストするため、あらゆる言語で記述されたアプリケーションや、あらゆる環境で使用できます。

DASTには多くの利点がありますが、包括的なソリューションではありません。 DASTの主な欠点には、次のようなものがあります。

  • SDLCでのレイトアピアランス: DASTは実行中のアプリケーションにアクセスする必要があるため、ソフトウェア開発ライフサイクル(SDLC)の後半で、脆弱性の修復にコストがかかる場合にのみ実行できます。
  • 脆弱性の場所: DASTソリューションは、アプリケーション内に脆弱性が存在することを特定できますが、ソースコードにアクセスできないため、コードベース内の正確な場所を見つけることができません。
  • コードカバレッジ: DASTソリューションは実行中のアプリケーションを評価するため、実行されていないコード部分の脆弱性を見逃す可能性があります。

DASTとSASTの比較

静的アプリケーション・セキュリティ・テスト(SAST)は、実行中のアプリケーションと対話するのではなく、アプリケーションのソース・コードの分析を実行します。 DASTとSASTは、アプリケーション・セキュリティを補完するアプローチです。 DASTとSASTの主な違いには、次のようなものがあります。

  • テストタイプ: SASTは、アプリケーションのソースコードに完全にアクセスできるホワイトボックスの脆弱性スキャンであり、DASTはアプリケーションの内部を知らないブラックボックス評価です。
  • 必要なコードの成熟度: SASTソリューションはソースコードをスキャンし、部分的なコードで実行できるようにします。 DASTソリューションは実行中のアプリケーションのみを分析できるため、より成熟したコードが必要です。
  • SDLCのフェーズ: SASTはソースコードを解析できるため、アプリケーションの実行が必要なDASTよりも早くSDLCでソースコードを実行できます。
  • 修復コスト: SAST分析はSDLCの早い段階で行われるため、特定された脆弱性を修正するためのコストはDASTよりも低くなります。 SDLCの後半になればなるほど、修正が必要なコードが多くなり、修正に使える時間は少なくなります。
  • 脆弱性の範囲: DASTソリューションは、SAST分析中にコードが実行されないため、SASTソリューションではできないランタイムの脆弱性と構成エラーを特定できます。
  • 脆弱性の場所 : SASTソリューションはソースコードをスキャンするため、アプリケーションのどこに脆弱性があるかを正確に把握できます。 DASTは脆弱性が存在することだけを認識していますが、特定のコード行を指すことはできません。
  • 誤検出: DASTはアプリケーションと対話し、潜在的な脆弱性が実際にアプリケーションの機能に影響を与えるかどうかを判断できるようにします。 SASTはアプリのモデルに基づいてのみ機能し、誤検知の割合が高くなります。

DASTによるアプリケーション・セキュリティの向上

クラウドベースのワークロードを悪用から保護するには、強力なアプリケーションセキュリティプラクティスが不可欠です。 DASTは、特にSASTと組み合わせた場合に、幅広い脆弱性を検出する機能を提供します。 SASTとDASTは、攻撃者に悪用される前に脆弱性を特定することで、修復コストと組織とその顧客への潜在的な影響を大幅に削減します。

チェック・ポイント CloudGuardはSASTとDASTを補完します 脆弱性スキャン クラウドベースのワークロード向けのランタイムアプリケーション保護。 CloudGuard AppSecは、各リクエストをコンテキストで分析し、組織のアプリケーションの進化に合わせて学習します。

チェック・ポイントの詳細 CloudGuard AppSec 組織のクラウドベースのアプリケーションとワークロードのセキュリティを向上させる機能については、この電子ブックをご覧ください。 そうしたら 無料デモに申し込む CloudGuardの機能をご自身でご確認ください。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK