脆弱性？脆弱性診断？セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決！

脆弱性診断の種類や手法には、どのようなものがあるのでしょうか。それぞれの種類について掘り下げてみましょう。

この記事では、Webアプリケーションに特化した脆弱性診断の手法について、主要な3種類を解説します。

・DAST（Dynamic Application Security Testing）
・SAST（Static Application Security Testing）
・IAST（Interactive Application Security Testing）

それぞれの手法はシステムの現在のリスクを可視化するという共通の目的を持ちつつも、異なるアプローチや対象範囲を持っています。
適切な診断手法は、セキュリティの要件や目標、診断対象によって選択する必要があります。

DAST（Dynamic Application Security Testing）

概要：
 DASTは、ブラックボックステストで実行中のWebアプリケーションに対する外部からの攻撃を模倣してセキュリティ脆弱性を検出します。
無害化した攻撃コードを送信し、挙動の変化によりセキュリティ脆弱性を検出するため、Webアプリケーションやデータを破壊することなく診断が可能であり、攻撃の足がかりとなる事象をベースにシステムの現在のセキュリティリスクを報告します。
また、DASTはWebアプリケーションの脆弱性診断において、最も一般的な手法です。

対象範囲：
WebアプリケーションやAPI等実行中のアプリケーションの動的機能

適する開発工程：
連結テスト～運用・保守

SAST（Static Application Security Testing）

概要：
SASTは、ホワイトボックステストでアプリケーションのソースコードを解析して、実装時に埋め込まれる潜在的な脆弱性を検出します。
実装時から診断が可能であるため、下流工程が向いている手法よりも、手戻りが少ないという優位性があります。
そのため、外注して脆弱性診断をするケースはほとんどなく、開発会社が使用する場合に最も適しているといえます。

対象範囲：
全アプリケーションのソースコード、バイナリコードやサードパーティのライブラリ

適する開発工程：
実装

IAST（Interactive Application Security Testing）

概要：
 IASTは、Webアプリケーションサーバに検査用のエージェントを組み込み、動的な挙動とデータフローを分析し、脆弱性を検出します。
具体的には、開発者や自社運用している組織が「脆弱性診断」ということを意識することなく、テスト時に実行したコード部分のみが検査対象となるため、誤検知も少なく診断結果が開発者へ即時フィードバックされます。
そのため、比較定期早い段階でのテスト工程からセキュリティを担保しやすく、開発上流工程（シフトレフト）に適した診断手法といえます。

対象範囲：
WebアプリケーションやAPIなど実行中のアプリケーション

適する開発工程：
機能テスト～運用・保守

まとめ

脆弱性診断は、顧客情報漏洩等の事件多発によりセキュリティ対応策が叫ばれている昨今において、企業の信頼性と顧客との信頼関係を強化するために今や必要不可欠なものとなってきています。
DASTは実際の攻撃を模倣し、SASTはコードの解析によって潜在的な脆弱性を検出し、IASTは実際のデータの扱われ方を考慮して動的なセキュリティ評価を行いますが、これらの手法は相補的です。
これらの手法を組み合わせて開発工程や組織に取り込むことで、Webアプリケーションの脆弱性被害を縮小することにつながり、企業としてのセキュリティ対策や開発システムに対する信頼も高めていくことにつながります。自社の開発や運用としてセキュリティ対応策として今どんな手法を取り込んでいるのか、それがセキュリティ対応策として十分か、今一度見直してみてはいかがでしょうか。