ソフトウェア・インテグリティ

 

[ウェビナー]次世代Webアプリケーション・セキュリティ・テスト「IAST」についてのご質問

これまでのDAST(動的解析)や脆弱性診断に代わる次世代のWebアプリケーション・セキュリティ・テスト手法としてIAST(インタラクティブ・アプリケーション・セキュリティ・テスティング)という手法がありますが、ここではSeekerというIASTツールの使い方についてみなさんの疑問にお答えします。

IAST(Interactive Application Security Testing)ツール、Seekerを使ってみる

アプリケーション・サーバにエージェントをインストールし、以下の様に検査を行います。

  1. アプリケーションがHTTPリクエストを受信
  2. エージェントは暗号化、SQL、ファイルアクセス、LDAP、XPathなどのセキュリティ関連のアクティビティに焦点をあて、コードとメモリを分析
  3. 結果を能動的に検証し、脆弱なコード行、ランタイムデータ、検証証明とともに報告

機能テストを実行するだけで脆弱性の検査ができるので、セキュリティ・テストを別途実施する必要がなく、動的な診断ながら脆弱なコード行や脆弱と判断した根拠、修正方法などをきめ細かく報告するので開発者が対応しやすいなど、様々なメリットがあります。さらにシノプシスのSeekerは独自技術で誤検知を減らす工夫をしています。

5月にこのIAST Seekerを紹介するオンラインセミナーを開催したところ、時間内ではすべてお答えすることができないほどの沢山のご質問をいただいたので、別途いただいた質問にすべてお答えするセミナーを開催し、さらに沢山のご質問を追加でいただきました。

みなさんの疑問にお答えします

例えば以下の様なQ&Aになります。IASTをご理解いただく参考にしていただければ幸いです。

Q1. IASTは静的解析して発見された脆弱性を、動的解析して再検証し、SASTよりも誤検知を減らしているということでしょうか?

A1. IASTでは静的解析を行っているわけではありません。

  • SASTとは大きくメカニズムが異なります。
  • IASTは動的に解析を行う点でDASTと比較されるのがよい様に思われます。DASTと比較すると誤検知を低く抑えています。(次のご質問も参照)

Q2. IASTがDASTよりも誤検知が少ない件について、もっと詳しく知りたいので、理由をご説明いただけますでしょうか?

A2. DASTはブラックボックスのテストです。一方でIAST Seekerはリクエストのタンパリングに加えて、アプリケーションの中にエージェントを組み込んでアプリケーションの動作をモニタリングできるため、DASTと比較するとアプリケーションのデータフローを直接解析できます。これにより、誤検知が非常に低くなります。

確実に脆弱性を特定できていないものについては、内部のエージェントで再度検査を実行して脆弱性を特定するという処理(Active Verification)も行っています。

Q3. IAST Seekerは日本語対応の予定はありますか?

A3. 2020.06リリースのバージョンで対応しました。

脆弱性の内容や対応に関する情報、レポート出力、各種マニュアルが日本語化されています。

この他にも、大変多くの質問をいただきましたが、それらの情報は以下のオンラインセミナー(録画版)およびセミナーサイトで掲載されている講演資料でご確認いただくことができます。登録は無料で、録画版ですのでいつでもご覧いただけますのでぜひご活用ください。

セミナーにご登録いただくといつでも・繰り返しコンテンツをご覧いただけます。プレゼン画面下のAttachmentタブに講演資料のPDFも掲載されています。

なお、他にいただいたご質問は以下の様な内容です。ぜひご覧ください。

  • 私の知っているDASTは有償トレーニングを使いこなすことが難しいのですが、Seekerの場合は特別なトレーニングなしに使い始められるほどやさしい物なのでしょうか?
  • ソースコードはどこまで見るのでしょうか。Javaのclassファイル、jarファイルの時もソースコードは出力されるのでしょうか?
  • エージェントプログラムがjarファイルとした場合、勝手には動作しないと思いますが、どのようなきっかけで動作するのでしょうか?