動的アプリケーション・セキュリティ・テスト(DAST)は、アプリケーション内部の相互作用や設計をシステム・レベルで認識せず、ソース・プログラムにアクセスしたり、ソース・プログラムを可視化することなく、アプリケーションの実行中にアプリケーションを検査するAppSecテスト手法です。この「ブラックボックス」テストでは、外部からアプリケーションを調べて、その実行状態を精査し、テスト・ツールによる攻撃シミュレーションに対する反応を観察します。攻撃シミュレーションに対するアプリケーションの反応は、アプリケーションが脆弱であるかどうか、実際の悪意のある攻撃の影響を受けやすいかどうかの判断に役立ちます。
DASTは、アプリケーションに対する自動化された攻撃をシミュレーションし、悪意のある攻撃者の振る舞いを模倣します。これは想定外の結果を発見し、それが攻撃者によってアプリケーション侵害に利用されることを未然に防止することを目的としています。DASTツールにはアプリケーションやソースコードに関する内部情報が存在しないため、外部のハッカーと同じように、アプリケーションに関する知識や情報が制限された状態で攻撃を行います。
最近のソフトウェア環境のセキュリティを万全にするには、アタックサーフェス全体を考慮する必要があります。そのために、従来の静的アプリケーション・セキュリティ・テスト(SAST)やソフトウェア・コンポジション解析(SCA)に加えて、Webアプリケーション、モバイル・アプリケーション、APIアプリケーションの動的アプリケーション・セキュリティ・テスト(DAST)を継続的に実施する必要があります。
アプリケーションが世界経済を動かすデジタル社会が加速するにつれ、企業は時代を先取りしなければならないという大きなプレッシャーにさらされています。脅威アクターが容赦なく高度な手口を用いて重要性の高いデータに混乱や脅威をもたらし、損害を与える機会を狙っている環境にあって、企業はイノベーションを継続していく必要があります。このような新しい状況をうまく乗り切るには、アプリケーション・セキュリティの確保を計画的に実行することが重要です。
DASTは、アプリケーションに対する自動化された攻撃をシミュレーションし、悪意のある攻撃者の振る舞いを模倣します。これは想定外の結果を発見し、それが攻撃者によってアプリケーション侵害に利用されることを未然に防止することを目的としています。DASTツールにはアプリケーションやソースコードに関する内部情報が存在しないため、外部の脅威アクターと同じように、アプリケーションに関する知識や情報が制限された状態で攻撃を行います。
セキュリティ侵害の原因
オープンソース・ライブラリは開発・運用工程でのクラウド・アプリケーションの構築を迅速化するために役立ちますが、オープンソース・コードにセキュリティの脆弱性が含まれていた場合、脆弱性をまき散らしてしまうリスクもあります。ソフトウェア・コンポジション解析(SCA)などのテスト・ツールを使用すると、アプリケーションに統合されたサードパーティー製およびオープンソースのコンポーネントを検出できます。SCAソリューションでは通常、これらのコンポーネントをスキャンして、既知の共通脆弱性識別子(CVE)、およびライセンスが期限切れまたは欠落している古いソフトウェアやライブラリを検出します。ほとんどのオープンソース・ライブラリは別のオープンソース・ライブラリで構成されており、複雑な推移的依存関係があります。この目に見えない複雑さによって、開発・運用面のセキュリティ上の問題が引き起こされる可能性があります。最新のセキュリティ・プラットフォームには、使用されているすべてのライブラリの脆弱性と、オープンソース・ライブラリに組み込まれている推移的な依存関係を特定する機能を備えたSCAソリューションを装備する必要があります。セキュリティを重視するDevOpsチームは、多くの場合、SCAスキャンを継続的デリバリー(CD)・プロセスに組み込んでいます。
実行中のアプリケーションをビルドした後、クラウドにデプロイする前に一連のブラックボックス・テストを実行する必要があります。このテストでは、攻撃者がアプリケーションの潜在的なセキュリティ上の弱点を探し出すために利用する手口を模倣します。DASTソリューションを利用することで、認証エラーやサーバーの設定ミス、コード・インジェクション、SQLインジェクション、クロスサイト・スクリプティング・エラーなど、SCAでは見つけにくいランタイムの脆弱性を発見できます。DASTツールは、ソフトウェアに様々な悪意のあるデータを挿入するなど、アプリケーションにフォルト・インジェクション技術を用いて一般的なセキュリティ脆弱性を特定します。DASTスキャンは実行中のソフトウェアを検査する機能であるため、DevOpsパイプラインの終盤の運用前環境または運用環境で実行できます。
成果を上げるためにWebアプリケーションやモバイル・アプリケーションを利用する企業が増加していることに伴い、アプリケーション・セキュリティの脆弱性が急速に蔓延し、データ侵害の主な原因となっています。このような状況下で、アプリケーションとコードを保護することの重要性がますます高まっています。
組織が現在直面している課題:
コード変更のスピードアップ、アプリケーションをホストする基盤となるアーキテクチャの変化、アプリケーションに対する攻撃の増大という 3つのパラダイム・シフトは、情報セキュリティ・チームとアプリケーション開発チームが連携して作業を進めるための、両者のニーズを満たす軽量でありながら包括的な使いやすいアプリケーション・セキュリティ・ソリューションが必要であることを如実に表しています。これを実現するには、作業中のプロジェクトのコンテキストでアプリケーション・セキュリティ・ツールを効率的に実行し、脆弱性とアプリケーションのセキュリティ状態を正確に報告する必要があります。また、特に困難な問題に関する相談に対応するエキスパートとSDLCに簡単に組み込めるソリューションを用意して、開発者教育をサポートする必要があります。
DASTの実装は、運用環境で実行されているアプリケーションのセキュリティ体制やエンドユーザーとのコミュニケーション方法を決定するために必要であるだけでなく、アプリケーションの進化や、絶えず変化する攻撃の手口に関する情報に後れを取らないようにするためにも不可欠になりました。効果的なDevSecOpsは、DASTで生成されたフィードバックを取得し、それをSecOpsおよびDevOpsツールに統合することから始まり、最終的に、組織とエンドユーザーをリスクにさらす実在の脆弱性を発見します。
組織のクラウド・プラットフォームへの依存度が高まる中、セキュリティのあらゆる側面を考慮し、アプリケーション・セキュリティ層を見落とさないように注意する必要があります。新しいアプリケーション、API、機能の発展が進むにつれ、アプリケーションのアタックサーフェスは急速に拡大しています。これに伴い、悪意のあるアクターが食指を動かし、簡単にアクセスできるツールやユーティリティを利用して、既知の脆弱性や影響を受けやすいコードが存在するアプリケーションを悪用しようと狙っています。ひとたびアプリケーションが侵害されると、悪意のあるアクターは重要な顧客データ、個人識別情報、その他の悪用可能な企業資産に密かにアクセスできるようになり、組織は情報漏洩の被害を受けて顧客の信頼を裏切ることにもなりかねません。
開発環境のみでアプリケーションをテストしても、運用環境でのセキュリティ侵害からアプリケーションを保護することはできません。全体的なビジネス・リスクを軽減するためには、正式なアプリケーション・セキュリティ・プログラムが不可欠です。適切な戦略とテクノロジーにより、アプリケーションに対する攻撃に利用される可能性があるエクスプロイトを特定し、アプリケーションの侵害を未然に防止する方法を示すことができます。これが正しく実践されれば、チームに権限を与えて責任を持たせ、潜在的な問題を混乱なく速やかに修正することが可能になります。
WhiteHat Dynamicを利用することにより、DevOpsのスピードで大規模なDASTを実施して開発をスピードアップできます。また、アプリケーション・ポートフォリオ全体のセキュリティ・リスクを特定するために必要な拡張性と俊敏性により、Webサイトやアプリケーションの脆弱性を迅速かつ正確に検出することができます。
2001年から事業を展開しているWhiteHat Security社は、アプリケーション・セキュリティの分野で約20年の経験を持ち、クラウドとオンプレミスの両方で実行されるエンタープライズ・アプリケーションのセキュリティ脆弱性を検出するSaaS(Software-as-a-Service)ベースの最先端セキュリティ・プラットフォームを開発しました。
同社は、ソフトウェア・セキュリティの分野で業界リーダーとして評価されているSynopsysに買収されました。Synopsysは、2022年のガートナー・マジック・クアドラントのアプリケーション・セキュリティ・テスト(AST)部門において6年連続でリーダーに選ばれました。
