Aikido
無料で始める
CC不要
アプリケーション・セキュリティ用語集

SAST & DAST

SASTはアプリの実行前にコードの脆弱性をチェックし、DASTはアプリの実行中にテストを行い、リアルタイムで現れる問題を見つけます。

この2つを一緒に使うことで、セキュリティの問題を最初からデプロイまでキャッチし、アプリの安全性を確保することができます。さっそく始めましょう。

SASTとDAST:知っておくべきこと

SASTとDASTをお探しですか?あるいは、SAST と DAST ツールが何であるかを理解しようとしています。

静的アプリケーション・セキュリティ・テスト(SAST)と動的アプリケーション・セキュリティ・テスト(DAST)は、ソフトウ ェアの脆弱性を特定するのに役立つ、アプリケーション・セキュリティに不可欠な 2 つの方法です。 

主な違いは?どのように使い分けますか?必要ですか?あなたは正しい場所にいます。さあ、飛び込もう。


その前にTL;DR: 

TL;DR:SAST(静的アプリケーション・セキュリティ・テスト)は、アプリの実行前にコードの脆弱性をチェックし、DAST(動的アプリケーション・セキュリティ・テスト)は、アプリの実行中にテストを行い、リアルタイムで現れる問題を見つけます。

SASTは専門開発者があなたのコードをレビューするようなもので、DASTは侵入しようとするハッカーのようなものだ。

この2つを一緒に使うことで、セキュリティの問題を最初からデプロイまでキャッチすることができ、アプリの安全性を確保することができます。SASTとDASTをお探しなら、ぜひ弊社をチェックしてください。

SASTとは?

SAST(Static Application Security Testing:静的アプリケーション・セキュリティ・テスト)は、アプリケーションのソース コードを静的な状態、すなわち実行されていない状態で分析するテスト手法です。これは、「ホワイトボックス」テスト技法です。


SAST により、開発者はコード開発やコードレビューのような開発(SDLC)プロセスの早い段階で脆弱性を特定することができます。SAST ツールは CI/CD パイプラインや IDE に統合するのが簡単なので、コードを書いた段階でセキュアにし、リポジトリに変更をコミットする前にコードをスキャンすることができます。

SAST は、SQL インジェクション、クロスサイト・スクリプティング(XSS)、ハードコードされた認証情報、その他のOWASP トップ 10 脆弱性のような脆弱性を検出することができます。Aikido SASTのようなSASTツールは、あなたのコードをスキャンし、National Vulnerability Database (NVD)のような既知のセキュリティ脆弱性のデータベースと比較します。

このように考えると、SASTは専門家にあなたのコードを細かくチェックしてもらうようなもので、専門家が発見した問題点については即座にフィードバックしてくれる。

とはいえ、SASTには制限があり、設定エラーや実行時依存性のような、実行時や環境固有の脆弱性を検出するために使用することはできません。コードをスキャンするには、使用するプログラミング言語をサポートするSASTツールを選択する必要がある。

なぜ重要なのか? この早期発見は、開発者がアプリケーションをデプロイする前に問題に対処することを可能にし、問題を早期に修正することを容易にし、コストを削減するため、非常に重要です。SASTはプロアクティブなセキュリティであり、将来のために多くの時間と頭痛の種を節約することができます。

DASTとは?

DAST(Dynamic Application Security Testing)は、アプリケーションを実行中に 評価するテスト手法です。

SASTはソースコードの内部を見ますが、DASTはソースコードにアクセスする必要はありません。その代わり、DASTはアウトサイダー的なアプローチでアプリケーションのセキュリティをテストします。DAST は、ハッカーが行うようなアプリケーションへの攻撃をシミュレートします。これは「ブラックボックス」手法です。

DAST は、ウェブアプリの表面やフロントエンドをテストすることから、「サーフェスモニタリング」とも呼ばれます。DAST ツールは、ユーザインタフェースを通じてアプリケーションと対話し、様々な入力をテストし、出力を観察して、 認証の問題、サーバの設定ミス、その他の実行時の脆弱性などの脆弱性を特定します。DAST は実行時に動作するため、DAST のテストが意味を持つようになるには、動作するアプリケーションが必要です。

DASTは外部で動作し、HTTPのような標準化されたプロトコルを使用してアプリに接続するため、SASTとは異なり特定のプログラミング言語に縛られることはありません。


なぜ重要なのか?この方法は、デプロイ前に検出できない問題を検出するために重要です。DAST は、さまざまなカテゴリのエラーをカバーします。DAST は、サーバやデータベースの設定ミス、不正アクセスを許す認証や暗号化の問題、アプリケーションが接続する ウェブサービスからのリスクなど、アプリケーションが稼動しているときに現れるリスクを特定します。

SASTとDASTの併用

SASTとDASTを併用することを推奨します。SASTとDASTを組み合わせることで、ソフトウェア開発ライフサイクル全体を幅広くカバーすることができます。早期に SAST でカバーし、後に DAST で現実的な回復力を確保する。この組み合わせにより、チームは複数の段階で脆弱性に対処することができ、最終的によりセキュアなアプリケーションにつながります。

目次
テキストリンク

無料で始める

△GitHub、GitLab、Bitbucket、または Azure DevOps アカウントを接続すると、無料でリポジトリのスキャンを開始できます。

無料で始める
お客様のデータは共有されません - 読み取り専用アクセス