動的アプリケーションセキュリティテスト|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 動的アプリケーションセキュリティテスト
             

動的アプリケーションセキュリティテスト

動的アプリケーションセキュリティテスト(Dynamic Application Security Testing、DAST)とは、Webアプリケーションを実際に実行しながらセキュリティ上の脆弱性を検出する手法のことです。DASTは、アプリケーションの動的解析の一種であり、アプリケーションのソースコードには直接アクセスせず、実際の実行環境で動作しているアプリケーションに対して外部から様々なテストを行うことで、脆弱性を検出します。主にSQLインジェクション、クロスサイトスクリプティング(XSS)、認証の不備といった、Webアプリケーションのセキュリティリスクを検出するために利用されます。

DASTは、アプリケーションがエンドユーザーに公開される前の段階で行うことが一般的で、攻撃者と同様の視点でアプリケーションにテストを行うため、攻撃を防ぐための重要な対策として活用されています。

DASTの特徴

DASTはアプリケーションの実行中における挙動を観察するため、アプリケーションの動作環境における実際のリスクを把握できる点が特徴です。特に以下の点がDASTの利点として挙げられます。

  1. ブラックボックステスト
    DASTはソースコードにはアクセスせず、外部からのリクエストに対するアプリケーションのレスポンスを検証するため、ソースコードがわからなくてもテストが可能です。攻撃者の視点でアプリケーションを検証することができ、実際にどのような脆弱性が攻撃に利用されるかを特定しやすくなります。
  2. 本番環境に近い環境でのテスト
    DASTは動的にアプリケーションの挙動を解析するため、リリース後の運用環境での挙動を反映した脆弱性診断が可能です。実際の運用環境に近い状態でテストすることで、実際の脆弱性リスクを評価できます。
  3. 広範な脆弱性検出
    DASTでは、外部からの攻撃で狙われることが多い脆弱性(例えば、SQLインジェクションやクロスサイトスクリプティング)を中心に検出するため、広範囲にわたってアプリケーションのセキュリティリスクを把握することが可能です。

DASTの主なテスト内容

DASTでは、アプリケーションに対して以下のようなテストを実施し、脆弱性を検出します。

  1. SQLインジェクション
    アプリケーションがデータベースとやり取りする際に、悪意あるSQL文を挿入することでデータベースの情報を取得したり、操作したりする脆弱性です。DASTでは、SQLインジェクション攻撃を模倣したリクエストをアプリケーションに送信し、アプリケーションの応答を観察して脆弱性を検出します。
  2. クロスサイトスクリプティング(XSS)
    悪意あるスクリプトがユーザーのブラウザで実行される脆弱性で、ユーザーの情報を不正に取得する攻撃です。DASTは、スクリプトが意図しない形で実行されるかどうかを確認し、XSS脆弱性が存在するかを検出します。
  3. 認証やセッション管理の欠陥
    不正なユーザーが認証情報を盗んで他のユーザーのアカウントにアクセスできるような脆弱性を検出します。セッション管理や認証プロセスに対して様々なリクエストを送り、応答を観察することで、セッション固定攻撃やセッションハイジャックのリスクを評価します。
  4. エラーメッセージの露出
    アプリケーションがデバッグ情報や内部の構造情報をエラーメッセージで出力してしまう場合があります。これらのエラーメッセージには、攻撃者にとって有用な情報が含まれていることがあるため、DASTではエラーメッセージに潜む情報漏洩リスクをチェックします。
  5. ファイルのアップロードの不備
    アプリケーションのファイルアップロード機能に対するテストを行い、ファイルの種類やサイズのチェックが適切に行われているかを確認します。これにより、不正なスクリプトがアップロードされるリスクを検出できます。

DASTのメリットとデメリット

メリット

  1. 実際の攻撃に近い視点でのテストが可能
    DASTはブラックボックステストであるため、攻撃者と同じような視点で脆弱性を検出でき、現実的なセキュリティリスクを把握しやすくなります。
  2. 本番環境を模したテスト
    実行環境の挙動を検証するため、アプリケーションの運用状態に近い形で脆弱性を検出でき、実際にリリース後の環境で発生し得るリスクをテストできます。
  3. アプリケーションの設定ミスや運用環境の問題も検出可能
    DASTはアプリケーションの外側からテストするため、アプリケーション本体の脆弱性だけでなく、構成上のミスや運用環境の不備による脆弱性も見つかることがあります。

デメリット

  1. ソースコードレベルの脆弱性は検出が困難
    DASTは外部からの攻撃に焦点を当てているため、アプリケーションのソースコードや内部構造に基づいた脆弱性は検出できません。コード内部のバグやロジックの欠陥については別途、静的解析(SAST)が必要です。
  2. カバレッジの限界
    アプリケーション全体の機能にアクセスできない場合や、特定の機能へのテストが限定的になることがあります。テスト範囲の広さにより、すべての脆弱性を網羅的に検出することは難しい場合があります。
  3. テストの実行に時間がかかる場合がある
    実行中のアプリケーションに対して外部から攻撃を模倣したテストを行うため、大規模なアプリケーションの場合はテストの完了に時間がかかる場合もあります。

DASTと他のテスト手法の違い

DASTは、動的解析を通じてアプリケーションの外部からの脆弱性をテストする手法であり、他のセキュリティテスト手法と異なる特徴があります。

  • SAST(静的アプリケーションセキュリティテスト)
    SASTは、アプリケーションのソースコードを解析し、実行せずに脆弱性を検出する手法です。ソースコードに含まれる脆弱性やロジックエラーの検出に適しており、開発の早期段階で適用されます。
  • IAST(インタラクティブ・アプリケーション・セキュリティテスト)
    IASTは、SASTとDASTを組み合わせたテスト手法で、アプリケーションの実行中に内部構造も含めて解析します。アプリケーションの内部動作を監視し、実行環境とコードの両方に基づいて脆弱性を検出します。

DASTの実施ツール

DASTを実施するためのツールには、以下のようなものがあります。

  • OWASP ZAP(Zed Attack Proxy):オープンソースのDASTツールで、特にクロスサイトスクリプティングやSQLインジェクションなどの脆弱性検出に強みがあります。
  • Burp Suite:Webアプリケーションセキュリティのための総合ツールで、DAST機能を提供し、脆弱性の検出や分析に役立ちます。
  • AppScan:IBMが提供するDASTツールで、WebアプリケーションやAPIの脆弱性を検出するためのテスト機能が充実しています。
  • Netsparker:自動での脆弱性スキャンを行う商用ツールで、SQLインジェクションやXSSの検出が可能です。

まとめ

動的アプリケーションセキュリティテスト(DAST)は、実行中のWebアプリケーションに外部からテストを行うことで脆弱性を発見する手法です。実際の攻撃シナリオを模倣してテストするため、攻撃者が狙う可能性のある脆弱性の検出に特に適しています。SASTやIASTと併用することで、アプリケーションのセキュリティ評価の精度が向上し、リリース後のリスクを軽減することが可能です。

DASTは、運用に近い状態でのセキュリティ診断において重要な役割を担っており、定期的なテストと改善を繰り返すことで、セキュアなWebアプリケーションの構築に貢献します。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。