動的アプリケーションセキュリティ テスト(DAST)について

動的アプリケーションセキュリティ テスト(DAST)は、実行中のアプリケーションを侵入テストにより積極的に調査し、潜在的なセキュリティ上の脆弱性を検出する手順です。

ウェブアプリケーションは、一般向けのEコマースストアから社内の財務システムまで、多くのミッションクリティカルなビジネスプロセスを支えています。このようなウェブアプリケーションは、ビジネスのダイナミックな成長を可能にする一方で、潜在的な弱点を抱えていることが多く、それを発見せずに放置しておくと、すぐに損失および損害を生じさせるデータ漏洩につながる可能性があります。

この増大する脅威に対処するために、企業は、セキュリティを重視したウェブアプリケーション開発の一環として、動的アプリケーションセキュリティ テスト(DAST)ツールを導入する傾向にあります。DASTツールによって実稼働中のウェブアプリケーションの挙動を把握することができるようになり、ハッカーが攻撃を仕掛ける前に潜在的な脆弱性に対処することができます。お客様のウェブアプリケーションの進化に合わせて、DASTソリューションは継続的にスキャンを行い、深刻なリスクに発展する前に、新たな問題を迅速に特定し、修正することができます。

DASTツールが必要となる理由

ウェブアプリケーションへの攻撃は、ランサムウェアのように大きなニュースにはならないかもしれませんが、あらゆる業種の企業にとって大きな脅威であることは間違いありません。ウェブベースの攻撃の中でも特に多いのが 、SQLインジェクション(SQLi)であり、これは、データベースのクエリに任意のSQLコードを挿入することで、企業のウェブアプリケーションのデータベースを完全に制御可能とするものです。

また、クロスサイトスクリプティング(XSS)は、攻撃者が独自のコードをウェブアプリケーションに注入し、ユーザーの認証情報やセッションクッキー、その他の機密情報を盗み出すもので、ユーザーや企業はこのような事態が発生したことを知る由もありません。

特に、コンテンツマネジメントシステムやEコマースプラットフォームは脆弱性が集結しており、一度発見すると何度でも簡単に悪用できることから、ハッカーが標的にすることがわかっています。ウェブアプリケーションへの攻撃がいったん進行してしまうと、セキュリティチームはしばらくの間、その攻撃を検知できないことがあります。その間、攻撃者は可能な限りの破壊行為を自由に実行することができ、クレジットカード番号や個人を特定できる情報(PII)など、ウェブアプリケーションの背後にあるデータベースに存在する企業や顧客の機密データを手に入れることができます。

企業にとっては残念なことですが、比較的スキルの低いハッカーでも、このような攻撃を簡単に仕掛けることが可能であり、高額な報酬を得られることから、むしろ意欲的に攻撃を仕掛けてきます。彼らは一般的に、OWASPのトップ10に掲載されているような、ウェブアプリケーション上で簡単に利用可能な脆弱性を探し出し、それを活用してサイバー攻撃を仕掛けてきます。

DASTツールも同様の手法で動作し、積極的なハッカーが脆弱性を発見して悪用する前に、アプリケーションの動作や悪用される可能性のある潜在的な弱点をタイムリーに可視化してセキュリティチームや開発チームに提供します。

DASTツールがウェブアプリケーションのセキュリティを強化

DASTとSASTの比較

DASTツールは、運用中のウェブアプリケーションの脆弱性を継続的に検索し、攻撃者が悪用できそうな弱点を探し出し、攻撃者が遠隔操作でシステムに侵入する手段を解説します。DASTソリューションは、脆弱性を発見すると、適切なチームに自動的にアラートを送信して、優先順位をつけて修正できるようにします。

DASTツールを使用することで、企業は自社のウェブアプリケーションの作動状況をより深く理解し、高度化させるに伴い生まれる新たな弱点を継続的に浮き彫りにすることができます。DASTを使用して、ライフサイクル(SDLC)のソフトウェア開発における脆弱性を初期段階のうちに特定することで、企業はリスクを低減し、時間とコストを削減することができます。

また、DASTは、PCIコンプライアンスおよびその他の規制当局への報告にも利用できます。企業によっては、コンプライアンスのベンチマークとして、アプリケーションセキュリティに対するリスクをリストにしたOWASPトップ10を、コンプライアンスのベンチマークとして自主的に使用する場合があります。また、第三者は、企業が自社のウェブアプリケーションを評価し、そのリストの上位に位置する脆弱性を修正するよう要求することもできます。DASTソリューションは、コンプライアンスを合理化するだけでなく、開発者が設定ミスやエラーを発見したり、ウェブアプリケーション上におけるユーザーエクスペリエンス上の具体的な問題を浮き彫りにするのにも役立ちます。

動的アプリケーションセキュリティ テストに関する3つのヒント

1. 最良の結果を得るためにDASTを早期の段階で、頻繁に使用すること

企業は、DASTソリューションを活用して、ソフトウェア設計ライフサイクルの可能な限り早い段階で、ウェブアプリケーション、特にミッションクリティカルなアプリケーションに潜む潜在的な弱点を特定することにより、最大限の利益を得ることができます。SDLCの初期段階においてDASTを導入しない企業は、発見された問題を修正するために、多大なフラストレーションはもちろんのこと、不必要に多くの費用およびスタッフの作業時間が掛かることに気づくかもしれません。

2. DevOpsとの効果的なコラボレーションを可能にすること

DASTツールは、発見した脆弱性に対して優先順位をつける上では役立ちますが、適切な解決策を確保するためには、DevOpsチームに効率的に引き継ぐ必要があります。このため、DASTツールを、DevOps担当者が使用するバグ追跡システムと完全に統合することを推奨します。脆弱性を迅速に修正するために必要な情報を開発者に的確に提供することで、セキュリティへの関心を優先させ、社の方針をDevSecOpsの見解に近づけることができます。

3. DASTは、ウェブアプリケーションのセキュリティテストに対する包括的なアプローチの一環として最適であること

DAST は、多忙なセキュリティチームに、本番稼動後の ウェブ アプリケーションの挙動をタイムリーに把握させることができますが、 SAST およびアプリケーション侵入テストは、企業が DASTと組み合わせて導入することが多い、他の効果的な ウェブ アプリケーション セキュリティ テストの形態です。SASTは、アプリケーションのソースコードにおける脆弱性の有用なスナップショットを作成しますが、これはSDLCの初期段階で特に価値があります。アプリケーション侵入テストでは、攻撃者が特定のウェブアプリケーションにどのように侵入するかを、実際の環境で実証します。

ウェブアプリケーションへの攻撃が増加する中、企業は、SDLCの初期段階でウェブアプリケーションのセキュリティを優先しなければならないことを認識するようになってきています。ウェブアプリケーションセキュリティスキャナを導入し、ウェブアプリケーション セキュリティ テストおよび脆弱性修復の双方に関する基本的なベストプラクティスを取り入れることで、リスクを大幅に削減し、場当たり的な攻撃者からシステムを守ることができます。