動的アプリケーション・セキュリティ・テスト（DAST）

要約:

Dynamic Application Security Testing (DAST) は、アプリケーションの実行中にテストを行い、自動化されたハッカーのように脆弱性を探ります。実際のシナリオにおける設定ミス、認証の欠陥、インジェクション脆弱性などの問題を発見するのに最適です。

• 保護対象: Webアプリ、API、モバイルアプリ
• 種類: Application Security Posture Management (ASPM)
• SDLCへの適合: テストおよびデプロイフェーズ
• 別名: ブラックボックステスト、ペネトレーションテスト自動化
• サポート: あらゆる実行中のアプリケーションまたはAPI

DASTとは？

DASTは、アプリケーションの実行中にセキュリティを評価するブラックボックステスト手法です。静的コードを分析するSASTとは異なり、DASTは外部ユーザーと同様にアプリと対話し、攻撃をシミュレートして脆弱性を特定します。

DASTのメリットとデメリット

長所：

• 実環境でのテスト: 攻撃者が本番環境でアプリケーションとどのようにやり取りするかをシミュレートします。
• 広範なカバレッジ: 静的コード分析で見逃された脆弱性を特定します。
• コードアクセス不要: ソースコードへのアクセスを必要とせずに機能します。
• ランタイム問題の発見: アプリケーションの実行中にのみ現れる脆弱性を捕捉します。

短所：

• 実行パスに限定: ランタイム中にやり取りできるもののみをテストします。
• 誤検知: 手動での検証が必要な重要度の低い問題を指摘する場合があります。
• パフォーマンスへの影響: スキャンにより、アプリケーションの動作が一時的に遅くなる場合があります。
• SDLCの後期: 修正費用が高くなる段階で問題を特定します。

DASTは具体的に何をするのですか？

DASTツールは攻撃者のように振る舞い、実行中のアプリを以下の目的でプローブします。

• インジェクション脆弱性: SQLインジェクション、コマンドインジェクション、その他の入力関連の欠陥。
• 認証の弱点: ログインメカニズムやセッション管理の欠陥を露呈します。
• 設定ミス: 保護されていないサーバー設定や公開されたエンドポイントを特定します。
• ランタイムエラー: アプリケーションの実行中にのみ発生する脆弱性を発見します。

DASTは何から保護してくれますか？

DASTは、アプリを以下の脅威から保護します。

• データ漏洩: 機密情報が公開される可能性のある領域を検出します。
• 不正アクセス: 脆弱な認証または認可メカニズムを強調します。
• 重大なエクスプロイト: インジェクションの欠陥のような重大度の高い脆弱性を指摘します。
• 壊れたAPI：不正な動作をする、または安全でないAPIエンドポイントを特定します。

DASTはどのように機能しますか？

DASTツールは、以下の方法でアプリケーションをテストします。

1. アプリケーションのクロール: アクセス可能なすべてのエンドポイント、ページ、および機能をマッピングします。
2. 攻撃のシミュレーション: 悪意のある入力を送信し、アプリケーションがどのように応答するかを確認します。
3. 応答の分析: アプリケーションの動作を評価し、脆弱性の兆候を探します。
4. レポートの生成: 検出された問題を重要度別にランク付けして強調表示します。

これらのツールは、中断を最小限に抑えるため、ステージング環境や本番環境に類似した環境でよく使用されます。

なぜ、いつDASTが必要ですか？

DASTが重要となるのは、次のような場合です。

• デプロイ間近：ライブ環境またはそれに近い環境でアプリケーションのセキュリティを検証します。
• APIのテスト：エンドポイントが外部からの攻撃に対して安全であることを保証します。
• 規制遵守: ペネトレーションテストまたはランタイム分析の要件を満たします。
• サードパーティ連携の評価：外部コンポーネントが脆弱性を持ち込まないことを確認します。

DASTはSDLCパイプラインのどこに位置付けられるのか？

DASTは、SDLCのテストフェーズとデプロイフェーズに最適です。

• テストフェーズ: 実環境の条件を模倣するために、ステージング環境でDASTスキャンを実行します。
• デプロイフェーズ：稼働中のアプリケーションに対してスキャンを実行し、以前見逃された脆弱性を検出します。

適切なDASTツールを選ぶにはどうすればよいですか？

DASTツールを選択する際の考慮事項：

• 互換性：アプリケーションの技術スタック（例：シングルページアプリケーション、APIなど）をサポートしていることを確認してください。
• 自動化機能: CI/CDパイプラインに統合できるツールを探してください。
• 精度：誤検知率の低いツールを選択し、時間を節約してください。
• スケーラビリティ：そのツールは、大規模で複雑なアプリケーションに対応できる必要があります。
• カスタマイズ性：特定のアプリケーションに合わせてスキャンを構成できる能力。

2025年版 DASTツール

DASTに関するよくある質問

1. DASTとSASTの違いは何ですか？

SASTはコードが実行される前にコードをスキャンします。DASTは、実際のハッカーと同様に、アプリの実行中に攻撃します。SASTはフライト前のチェックリスト、DASTは飛行中の機体を衝突テストして耐久性を確認するようなものだと考えてください。

2. DASTはAPIをテストできますか？

もちろんです。実際、優れたDASTツールは、Webアプリと同様にAPIをスキャンできるはずです。APIは攻撃者にとって主要な標的であり、DASTは、エンドポイントがインジェクション攻撃、認証の不備、データ漏洩に対して脆弱かどうかをチェックできます。

3. DASTスキャンはどのくらいの頻度で実行すべきですか？

想像以上に多くの脆弱性が見つかります。理想的には、すべてのリリースがテストされるように、CI/CDパイプラインでDASTスキャンを自動化するべきです。それが難しい場合は、少なくとも週次スキャンをスケジュールし、主要なデプロイの前に必ず実行してください。

4. DASTはアプリケーション内のすべての脆弱性を検出できますか？

いいえ、どのセキュリティツールもできません。DASTは、認証の欠陥、インジェクション攻撃、設定ミスなどのランタイムの問題を検出するのに優れています。しかし、脆弱な暗号化や安全でない依存関係のような静的コードの問題は見つけられません。だからこそ、DAST + SAST + SCA = より良いセキュリティなのです。

5. DASTはアプリケーションを破損させますか？

DASTスキャンによってアプリケーションがダウンした場合、おめでとうございます。攻撃者よりも先に大きな問題を発見したことになります。まれではありますが、アグレッシブなスキャンはパフォーマンスの問題を引き起こしたり、不安定なアプリケーションをクラッシュさせたりする可能性があります。だからこそ、攻撃者よりも先に実行すべきなのです。

6. DevSecOpsパイプラインでDASTを使用できますか？

はい！最新のDASTツールはCI/CDパイプラインに統合され、ステージング環境で自動スキャンを実行して、デプロイ前に脆弱性を検出します。重要なのは速度と深度のバランスです。リリースごとに迅速なスキャンを行い、より頻繁ではない深いスキャンを実施します。

7. DASTにおける誤検知を減らすにはどうすればよいですか？

スキャン設定を微調整します。既知の安全なエンドポイントをホワイトリストに登録し、攻撃ペイロードをカスタマイズし、開発者をパニックモードに陥れる前に手動で検出結果を検証します。一部の最新のDASTツールは、精度を向上させるためにAIとファジング技術も使用しています。