DASTとは

DAST（動的アプリケーションセキュリティテスト）は、アプリケーションの基盤となるソースコードにアクセスせずにランタイムでテストすることでアプリケーションのセキュリティを評価する方法です。DASTはランタイムの振る舞いに重点を置くことで、静的分析だけでは明らかにならない可能性のある脆弱性を組織が検出できるようにします。

SAST（静的アプリケーションセキュリティテスト）では、アプリケーションのソースコードをスキャンして展開前に脆弱性を検出しますが、DASTでは、自動化ツールを使用してライブアプリケーションに対する攻撃をシミュレートし、その応答の有効性を評価します。この動的テストアプローチを既存のCI/CDパイプラインと統合することで、アプリケーションが本番環境に展開される前に脆弱性を検出できます。DASTを導入すると、全体的なセキュリティカバレッジを拡大させながら、展開速度を向上できます。

この記事では、DASTとは何か、その仕組み、DASTの使用によって生じるいくつかの課題について詳しく説明します。

DASTの仕組み

DASTツールは、ステージング環境またはテスト環境に展開されたアプリケーションに対して実行されます。これらのツールは、アプリケーションの公開インターフェースを通じて、SQLインジェクションやXSSなどの攻撃のシミュレーションを自動化します。DASTは、悪意のある入力を送信して応答を分析することでアプリケーションの振る舞いをテストします。このテストは、ソースコードにアクセスすることなく実行されます。

SAST（静的アプリケーションセキュリティテスト）との違い

SASTはソースコードを分析して、古いライブラリ、安全でないコード、ハードコードされた認証情報などの脆弱性を特定します。逆に、DASTはランタイムの振る舞いに重点を置き、アプリケーションの全機能がアクティブなときにアプリケーションを検査します。

DASTツールは、認証バイパス、弱いパスワード、アプリケーションの実行時にのみ表面化するコンポーネントの脆弱性など、SASTで見逃された可能性のある問題を検出します。

DASTとSASTは補完的なツールであり、組み合わせることでランタイムの脆弱性とコードレベルの弱点の両方に対処する包括的なセキュリティカバレッジを提供します。

DASTによって検出される脆弱性の種類 

DASTは、アプリケーションのセキュリティを脅かす可能性のある脆弱性を検出するのに非常に効果的です。DASTによって特定される最も一般的な脆弱性は次のとおりです。

• SQLインジェクション
• XSS（クロスサイトスクリプティング）
• 未検証のリダイレクト

未検証のリダイレクトは、ユーザーを意図的に安全でない場所に誘導し、フィッシングやマルウェアの危険にさらします。

さらに、DASTは、ビジネスロジックの欠陥（コードでは明らかでないが、アプリケーションの実際の動作から発生する問題）を発見するのに優れています。通常、DASTが行われない場合、これらの欠陥はエンドユーザーによって発見され、望ましくないアクションや脆弱性につながる可能性があります。

SDLCにおけるDAST

シフトレフトセキュリティアプローチでは、セキュリティ上の懸念事項を展開フェーズ以降にのみ委ねるのではなく、SDLC（ソフトウェア開発ライフサイクル）の早い段階でセキュリティテストに重点を置くことを推進します。DASTは、ステージング、QA、またはテスト環境での展開前に脆弱性を効率的に検知して修復できるため、シフトレフトアプローチに貢献します。

CI/CDパイプライン内でセキュリティチェックを自動化すると、脆弱性がリアルタイムで特定され、優先順位が付けられるため、開発の生産性が向上します。DASTはCI/CDと統合して、すべてのコードコミットまたはビルドのたびにセキュリティスキャンを自動的に実行できます。この自動化により、開発者に即時のフィードバックが提供され、展開前に問題を迅速に修復できるようになります。

また、DASTは、脆弱性の修復を適切な開発者またはチームに効率的に割り当てることをサポートします。これにより、手動による介入を必要とせずに、問題が迅速に追跡、割り当て、解決されます。

DASTの課題と制限

DASTはアプリケーションのセキュリティを大幅に向上させることができる一方で、独自の課題と制限も抱えています。

不規則な結果

DASTツールでは、アプリケーションのコンテキストに基づいて攻撃を効果的にシミュレートするために、認証とセッション管理の適切な処理など、適切な設定が必要です。定期的なチューニングにより、タイムアウト制限、リクエストスロットリング、認証設定などのスキャンパラメータをアプリケーションとその環境の特定のニーズに合わせて調整することで、フォールスポジティブとフォールスネガティブを最小限に抑えることができます。

さらに、スキャン結果を確認し、アプリケーションとの関連性が低い脆弱性や永続的なフォールスポジティブとして識別された脆弱性を拒否リストに登録して、脆弱性フィルターを調整することが重要です。これにより、ノイズを最小限に抑え、分析プロセスを最適化して、セキュリティに対する真の脅威に集中できるようになります。

パフォーマンスの問題

アプリケーション全体にわたるすべての潜在的な脆弱性を徹底的にテストするため、包括的なDASTスキャンには時間がかかる場合があります。これにより、パイプラインの実行が遅れ、展開スケジュールが延長される可能性があります。スキャン設定が誤っていると、リソースが過負荷になり、スキャンが使用されている環境でダウンタイムが発生する可能性があります。 

開発サイクル中に、フルスキャンではなく増分スキャンまたはターゲットを絞ったスキャンに重点を置くことで、スキャン設定を最適化します。ZAPやBurp Suiteなどのツールは、最近変更されたコードや重要なエンドポイントなどの特定の領域をスキャンします。GitLab DASTなどのツールを使用してDASTをCI/CDパイプラインに統合すると、リソースに過負荷をかけずに脆弱性を早期に特定する自動化された増分スキャンを実行できます。

限定的な可視性

DASTの統合によりセキュリティテストは大幅に改善されますが、アプリケーションの脆弱性をテストする際にセキュリティを過大評価してしまう可能性があります。例えば、DASTでは、複雑な認証メカニズムの背後にあるアプリケーションを完全に評価することが困難な場合があり、潜在的な脆弱性が見落とされる可能性があります。自動スキャンでは見逃される可能性のある、より深く、コンテキスト固有の脅威を発見できる定期的なペネトレーションテストを実施することで、DASTを補完して包括的なセキュリティカバレッジを確保する必要があります。これら両方の戦略を使用すると、セキュリティの脅威に対する保護が強化されます。

包括的なセキュリティによるアプリケーションの保護

DASTは、ライブアプリケーションに対する実際の攻撃をシミュレートすることで、ランタイムの脆弱性を特定する強力なツールです。この動的なアプローチにより、組織は、静的コード分析だけでは明らかにならない可能性のあるSQLインジェクション、クロスサイトスクリプティング、ビジネスロジックの欠陥などの問題を検出できます。ただし、DASTは大きな利点をもたらす一方で、制限もあります。フォールスポジティブ、フォールスネガティブ、複雑な認証メカニズムの難しさなどはすべて、有効性に影響を及ぼします。

DASTを、SAST、IAST（インタラクティブアプリケーションセキュリティテスト）、ペネトレーションテスト、ASPM（アプリケーションセキュリティポスチャ管理）などの他のテスト方法と組み合わせて使用すると、DASTだけでは見逃される可能性のある脆弱性を検出できる包括的なセキュリティアプローチが実現します。さらに、CI/CDパイプラインへのDASTの統合を微調整することで、セキュリティと効率性の維持、スキャン設定の最適化、脆弱性フィルターの継続的改良が実現されます。DASTを上記のプラクティスやその他のセキュリティ対策と組み合わせると、組織は開発プロセスを合理化し、中断を最小限に抑えながら、より強力な保護を確保できます。

組織でアプリケーションセキュリティを強化したい場合は、CrowdStrike Falcon ASPMがDASTを補完して包括的なセキュリティカバレッジを提供し、アプリケーションセキュリティリスクを最小限に抑える方法を確認してください。