OAST|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. OAST
             

OAST

OAST(Out-of-Band Application Security Testing)とは、セキュリティテストの手法の一つで、アプリケーションの脆弱性を検出する際に、直接的な通信経路(オンバンド)ではなく、間接的な通信経路(アウトバンド)を利用するアプローチを指します。この手法は、通常のアプリケーションフロー外で発生する通信やデータのやり取りを検出し、潜在的なセキュリティの脆弱性を特定するために使用されます。

OASTは、従来のオンバンドテストでは検出が難しい脆弱性、特にサーバー間通信や非同期処理に関連する問題に対処するための手法として注目されています。

OASTの特徴

アウトバンド通信を活用

OASTは、脆弱性を検出するために、テスト対象のアプリケーションから別の通信経路(アウトバンド)を経由して受信されるデータを観察します。このアプローチにより、通常のリクエスト-レスポンスフロー外で発生する挙動を把握することが可能です。

高度な脆弱性の検出

従来のセキュリティテストでは検出が難しかった以下のような脆弱性の検出に特化しています。

  • サーバーサイドリクエストフォージェリ(SSRF)
  • DNS再帰による情報漏洩
  • 非同期処理に伴うセキュリティ問題
  • ログや他のシステム間での不正なデータ伝搬

自動化と高度な分析

OASTは、多くの場合、自動化されたツールやプラットフォームと連携して使用され、アプリケーションのセキュリティ監視を効率化します。また、複雑な攻撃シナリオを検証するのに適しています。

OASTの仕組み

  1. 特殊なペイロードの送信
    • テスト対象のアプリケーションに、特定の外部通信をトリガーする特殊なデータ(ペイロード)を埋め込んで送信します。
  2. アウトバンド通信の発生
    • テストされたアプリケーションが、ペイロードによって外部リソースへの通信を開始します。この通信は、通常のユーザー操作からは見えない場合が多いです。
  3. 検出と解析
    • テスト環境では、OAST用に設定されたサーバー(リスナー)がアウトバンド通信を監視し、アプリケーションの挙動をログに記録します。
    • この記録から、意図しない挙動や潜在的な脆弱性を特定します。

OASTの利用例

サーバーサイドリクエストフォージェリ(SSRF)の検出

OASTは、SSRF攻撃の検出に非常に効果的です。SSRFは、攻撃者がアプリケーションに意図的に外部リソースへのリクエストを送信させる攻撃手法です。OASTでは、このリクエストが送信された際に記録し、不正アクセスを特定します。

DNS再帰問題の検出

アプリケーションが特定のペイロードを使用してDNSリクエストを送信した場合、その再帰クエリによって内部情報が漏洩する可能性があります。OASTを利用すれば、こうした問題を可視化し対処できます。

非同期APIやバックエンドのセキュリティ検証

非同期APIやバックエンドシステムの間接的な通信に伴うセキュリティリスクをテストします。これにより、セキュリティ要件を満たしていないバックエンドプロセスを特定できます。

OASTのメリット

従来のテスト手法では難しい脆弱性の検出

OASTは、一般的なオンバンドセキュリティテストでは検出が困難な脆弱性に対応しています。これにより、より広範な攻撃シナリオへの備えが可能になります。

アプリケーションの完全性向上

OASTによる検出で、バックエンド通信や外部リソースとのやり取りが原因で発生するリスクを最小限に抑えることができます。

自動化と効率性

多くのOASTツールは自動化されており、手動テストよりも効率的に脆弱性を特定できます。また、セキュリティ監査や開発サイクルの中で統合することが可能です。

OASTのデメリット

高度な技術力が必要

OASTは、テスト環境の構築やペイロード設計に専門知識が必要な場合があります。これにより、初心者には扱いづらい面があります。

環境依存性

アウトバンド通信を利用するため、テスト環境でのネットワーク設定や監視用サーバーの構築が必要です。

限定されたカバレッジ

OASTは特定の脆弱性検出に特化しているため、他の一般的なセキュリティテスト手法と併用する必要があります。

OASTの主要ツール

Burp Suite(Burp Collaborator)

Burp Suiteは、Webアプリケーションセキュリティテストの業界標準ツールです。その「Burp Collaborator」機能は、OASTに対応しており、SSRFやDNS漏洩などの問題を検出します。

OWASP ZAP

OWASPが提供するZAP(Zed Attack Proxy)は、OASTに関連するプラグインをサポートし、手軽にアウトバンドテストを行うことができます。

Custom OAST Servers

企業が独自に構築したリスナーサーバーを利用して、カスタマイズされたOASTテスト環境を構築するケースもあります。

まとめ

OAST(Out-of-Band Application Security Testing)は、アプリケーションが通常の通信経路外で発生させる挙動を分析するセキュリティテスト手法です。SSRFやDNS漏洩といった高度な脆弱性の検出に効果を発揮し、自動化ツールと組み合わせることで効率的にセキュリティ強化を図ることができます。一方で、専門知識や環境構築が求められるため、他のセキュリティテスト手法と組み合わせて総合的なセキュリティ対策を行うことが推奨されます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。