DAST（だすと）

DASTとは

DAST（Dynamic Application Security Testing）は、動的アプリケーションセキュリティテストの一種であり、Webアプリケーションなどの実行時にセキュリティ脆弱性を検出する手法です。ブラックボックステストに分類され、アプリケーションの内部構造やソースコードを必要とせずにテストを実施できます。

DASTの仕組み

DASTツールは、Webアプリケーションに対して様々な攻撃パターンをシミュレーションし、その応答を分析することで脆弱性を検出します。具体的には、SQLインジェクション、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）などの脆弱性を検出できます。

DASTのメリット

• ソースコード不要: アプリケーションのソースコードにアクセスできない場合でもテストを実施できます。
• 実行環境での検証: 実際にアプリケーションが動作している環境でテストを行うため、より現実的な脆弱性を検出できます。
• 幅広い脆弱性に対応: SQLインジェクション、XSS、CSRFなど、様々な種類の脆弱性を検出できます。

DASTのデメリット

• 網羅性の限界: テストケースが網羅的でない場合、脆弱性を見逃す可能性があります。
• 誤検知の可能性: 攻撃パターンと誤って判定される場合、誤検知が発生する可能性があります。
• テスト環境の準備: 実際のアプリケーション環境に近いテスト環境を準備する必要があります。

DASTとSASTの違い

DASTとSAST（Static Application Security Testing）は、どちらもアプリケーションセキュリティテストですが、アプローチが異なります。SASTは、ソースコードを静的に解析して脆弱性を検出するのに対し、DASTは、実行中のアプリケーションに対して動的にテストを行います。両者を組み合わせることで、より効果的なセキュリティテストを実施できます。