叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

DAST(動的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語

DAST(動的アプリケーション・セキュリティ・テスト)は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。

脆弱性を検出する別の方法であるSAST(静的アプリケーション・セキュリティ・テスト)と比較すると、以下のようになります。

  • アプローチ:SASTは静的にコードを解析するのに対し、DASTは実行中のアプリケーションを解析する。
  • 視点:SASTは開発者の視点、DASTは攻撃者の視点でテストを行う。
  • 検出可能な脆弱性:SASTはコードベースの問題を、DASTはランタイム環境での問題を検出する。

OWASP ZAP (Zed Attack Proxy)は、オープンソースのセキュリティテストツールで、多機能かつ広く使用されています。

SASTとDASTを組み合わせて使用することで、より包括的なセキュリティテストを実現できます。

情報セキュリティマネジメントにおける、脅威と脆弱性に関する記述のうち、最も適切なものはどれか。

管理策の欠如によって脅威が高まり,脆弱性の深刻度が低くなる。
脅威が存在しないと判断できる場合,脆弱性に対処する必要性は低い。
脅威のうち,脆弱性によってリスクが顕在化するのは環境的脅威である。
脆弱性の有無にかかわらず,事故の発生確率は脅威の大きさで決まる。
~「情報セキュリティマネジメント・平成29年秋期」より





答え:イ
脅威がなさそうなときは脆弱性への対処の必要性は低くなります。