DAST(動的アプリケーション・セキュリティ・テスト)は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。
脆弱性を検出する別の方法であるSAST(静的アプリケーション・セキュリティ・テスト)と比較すると、以下のようになります。
- アプローチ:SASTは静的にコードを解析するのに対し、DASTは実行中のアプリケーションを解析する。
- 視点:SASTは開発者の視点、DASTは攻撃者の視点でテストを行う。
- 検出可能な脆弱性:SASTはコードベースの問題を、DASTはランタイム環境での問題を検出する。
OWASP ZAP (Zed Attack Proxy)は、オープンソースのセキュリティテストツールで、多機能かつ広く使用されています。
SASTとDASTを組み合わせて使用することで、より包括的なセキュリティテストを実現できます。
情報セキュリティマネジメントにおける、脅威と脆弱性に関する記述のうち、最も適切なものはどれか。
~「情報セキュリティマネジメント・平成29年秋期」より
ア | 管理策の欠如によって脅威が高まり,脆弱性の深刻度が低くなる。 |
イ | 脅威が存在しないと判断できる場合,脆弱性に対処する必要性は低い。 |
ウ | 脅威のうち,脆弱性によってリスクが顕在化するのは環境的脅威である。 | エ | 脆弱性の有無にかかわらず,事故の発生確率は脅威の大きさで決まる。 |
答え:イ
脅威がなさそうなときは脆弱性への対処の必要性は低くなります。