公開日: |最終更新日時:
ここでは、ペネトレーションテストとDASTの違いについて、DASTの特徴やメリットなども含めてまとめています。ぜひ参考にしてください。
DASTはブラックボックス・セキュリティ・テストの一種で、「Webアプリケーション脆弱性スキャナ」とも呼ばれます。アプリケーションを実行している時に外部から攻撃されるシミュレートを行い、セキュリティの脆弱性をチェックするのがポイントです。公開中のインターフェースに欠陥や手抜かりがないかを確認するために、アプリケーションに攻撃をかけます。
DASTと間違えやすい言葉に「SAST」というテストがありますが、こちらはアプリケーションが静止中に1行ずつコードをスキャンする方法です。アプリケーションが動いている最中にテストを行うDASTとは特徴が異なるため、混同しないよう注意しましょう。
とはいえ、本番稼働中に攻撃を仕掛けるのにはリスクが伴います。そのため、DASTは本番環境で実施するよりも、QA環境で行うのが推奨されています。
なお、検出できる問題や脆弱性には、パストラバーサル、クロスサイトスクリプティング、安全でないサーバー構成などさまざまです。
DASTは数あるセキュリティテスト手法の中で、唯一プログラミング言語に依存しないツールです。具体的に、システムの入出力だけをチェックするため、ソースコードやバイトコードなどを調べることはできませんが、特定の言語に限定されないので、DASTだけでほとんどすべてのアプリケーションに対応できます。
アプリケーションの一部をスキャンするため、DASTは他のテスト手法よりも偽陽性が検出されにくいとされています。そのため、テスト担当者はアプリケーションにおける脆弱性をいち早くチェックできるうえ、無駄なノイズを最小限に抑えて脆弱性への対策ができる点がメリットです。
アプリケーションが動いている時にだけ検出されるセキュリティ脆弱性のチェックに長けているDASTは、アプリケーションを外部から攻撃するので、SASTやASTといった他のテストツールでは発見できない設定ミスにもいち早く気付けます。
DASTは、アプリケーションが実行されている状態でテストを行います。一方で、ペネトレーションテストはアプリケーションの脆弱性には対応しておらず、管理者権限を利用したハッキング技術によって、ファイアウォールやルーター、サーバーやポートなどの脆弱性を発見するのが特徴です。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
