SAST(静的アプリケーション・セキュリティ・テスト)は、アプリケーションのソースコード、バイナリ、オブジェクトコードを解析します。
SASTを実行することで、SQL インジェクション、バッファーオーバーフローなどセキュリティリスクを検知します。
ソフトウエアの開発プロセスに組み込むことで、脆弱性を早期に発見します。それにより、後々の修正や情報セキュリティインシデントのリスクを減少させます。
脆弱性を検出する類似した手法としては、DAST(動的アプリケーション・セキュリティ・テスト)もあります。
こちらは、実行中のアプリケーションを解析します。
人気の高いSAST 用テストツール
- Klocwork:C、C++、C#、Java、JavaScript、Python に対応した静的コード分析ツール
- Checkmarx:複数のプログラミング言語に対応したツール
情報セキュリティにおける脅威と脆ぜい弱性のうち、脆弱性に該当するものはどれか。
~「ITパスポート・平成29年春期」より
ア | コンピュータウイルス |
イ | ソーシャルエンジニアリング |
ウ | 通信データの盗聴 | エ | 不適切なパスワード管理 |
答え:エ
情報セキュリティにおける脅威と脆弱性について、JIS Q 27000では以下のように書かれています。
- 脅威:システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因
- 脆弱性:一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点