動的アプリケーションセキュリティ テスト(DAST)について
動的アプリケーションセキュリティ テスト(DAST)は、実行中のアプリケーションを侵入テストにより積極的に調査し、潜在的なセキュリティ上の脆弱性を検出する手順です。
ウェブアプリケーションは、一般向けのEコマースストアから社内の財務システムまで、多くのミッションクリティカルなビジネスプロセスを支えています。このようなウェブアプリケーションは、ビジネスのダイナミックな成長を可能にする一方で、潜在的な弱点を抱えていることが多く、それを発見せずに放置しておくと、すぐに損失および損害を生じさせるデータ漏洩につながる可能性があります。
この増大する脅威に対処するために、企業は、セキュリティを重視したウェブアプリケーション開発の一環として、動的アプリケーションセキュリティ テスト(DAST)ツールを導入する傾向にあります。DASTツールによって実稼働中のウェブアプリケーションの挙動を把握することができるようになり、ハッカーが攻撃を仕掛ける前に潜在的な脆弱性に対処することができます。お客様のウェブアプリケーションの進化に合わせて、DASTソリューションは継続的にスキャンを行い、深刻なリスクに発展する前に、新たな問題を迅速に特定し、修正することができます。
DASTツールが必要となる理由
ウェブアプリケーションへの攻撃は、ランサムウェアのように大きなニュースにはならないかもしれませんが、あらゆる業種の企業にとって大きな脅威であることは間違いありません。ウェブベースの攻撃の中でも特に多いのが 、SQLインジェクション(SQLi)であり、これは、データベースのクエリに任意のSQLコードを挿入することで、企業のウェブアプリケーションのデータベースを完全に制御可能とするものです。
また、クロスサイトスクリプティング(XSS)は、攻撃者が独自のコードをウェブアプリケーションに注入し、ユーザーの認証情報やセッションクッキー、その他の機密情報を盗み出すもので、ユーザーや企業はこのような事態が発生したことを知る由もありません。
特に、コンテンツマネジメントシステムやEコマースプラットフォームは脆弱性が集結しており、一度発見すると何度でも簡単に悪用できることから、ハッカーが標的にすることがわかっています。ウェブアプリケーションへの攻撃がいったん進行してしまうと、セキュリティチームはしばらくの間、その攻撃を検知できないことがあります。その間、攻撃者は可能な限りの破壊行為を自由に実行することができ、クレジットカード番号や個人を特定できる情報(PII)など、ウェブアプリケーションの背後にあるデータベースに存在する企業や顧客の機密データを手に入れることができます。
企業にとっては残念なことですが、比較的スキルの低いハッカーでも、このような攻撃を簡単に仕掛けることが可能であり、高額な報酬を得られることから、むしろ意欲的に攻撃を仕掛けてきます。彼らは一般的に、OWASPのトップ10に掲載されているような、ウェブアプリケーション上で簡単に利用可能な脆弱性を探し出し、それを活用してサイバー攻撃を仕掛けてきます。
DASTツールも同様の手法で動作し、積極的なハッカーが脆弱性を発見して悪用する前に、アプリケーションの動作や悪用される可能性のある潜在的な弱点をタイムリーに可視化してセキュリティチームや開発チームに提供します。
DASTツールがウェブアプリケーションのセキュリティを強化
SDLCの初期段階で特に価値があります。アプリケーション侵入テストでは、攻撃者が特定のウェブアプリケーションにどのように侵入するかを、実際の環境で実証します。
ウェブアプリケーションへの攻撃が増加する中、企業は、SDLCの初期段階でウェブアプリケーションのセキュリティを優先しなければならないことを認識するようになってきています。ウェブアプリケーションセキュリティスキャナを導入し、ウェブアプリケーション セキュリティ テストおよび脆弱性修復の双方に関する基本的なベストプラクティスを取り入れることで、リスクを大幅に削減し、場当たり的な攻撃者からシステムを守ることができます。