SASTとDAST: 違いと両方を使用すべき理由

概要

• SAST (静的アプリケーションセキュリティテスト)は、アプリケーションが実行される前にソースコード、依存関係、バイナリをチェックします。
• DAST (動的アプリケーションセキュリティテスト)は、アプリが実行中にリアルな攻撃をシミュレートするために分析します。例えば、SQLインジェクション、XSS、または認証問題などです。
• SASTとDASTの主な違い
  • SAST = コード内（開発者側）
  • DAST = コード外（攻撃者側）
• **ベストプラクティス：**セキュリティテストの両方の方法、またはASPMプラットフォームのような統合されたAppSecワークフローを使用して、コードからクラウドまでのソフトウェア開発ライフサイクル全体をカバーする。
• 人気のツール: Plexicus, Checkmarx, OWASP ZAP, Burp Suite。

SASTとDASTは、アプリケーションを攻撃から保護するために使用されるセキュリティテスト方法です。それぞれがアプリケーションセキュリティにどのように役立つかを見るために、違いとワークフローにおける位置を見てみましょう。

各テスト方法は異なる方法で脆弱性を発見します。一つはコードをチェックし、もう一つは実行中のアプリをテストします。SASTとDASTの違いを知ることは、安全なアプリケーションを構築するための鍵です。

この記事では、次のことを学びます：

• SASTとDASTとは何か
• それぞれを使用する場所と時期
• SDLCにおけるそれらの適合方法を示す明確な図
• 各方法の最適なツール
• 完全なカバレッジのためにそれらを組み合わせる方法

SAST（静的アプリケーションセキュリティテスト）とは？

SASTはホワイトボックステストとも呼ばれ、ソースコード、バイナリ、またはバイトコードを分析して脆弱性を検出するセキュリティテストアプローチであり、アプリケーションを実行せずに行います。アプリの設計図の内部を検査するようなものです。

仕組み

• 開発者がコードをコミット → SASTツールがそれをスキャン（IDE、CIパイプライン）
• SASTツールはハードコードされた資格情報、SQLインジェクション、不安全なAPI使用などの問題をフラグします
• チームはデプロイ前に早期に問題を修正します。

利点

• 開発の初期段階で脆弱性を発見し、修正コストが最も低い時期に対応可能
• 開発ワークフロー（IDE、CI）に統合され、即時フィードバックを提供

欠点

• 言語とフレームワークに依存
• 実行時テストと比較して誤検知が発生する可能性
• 実行時/環境固有の問題を検出できない

最適な使用ケース

SASTを「シフトレフト」戦略の一部として使用：コードのコミット/ビルド時にスキャンし、デプロイ前の最終テストとして脅威を扱うのではなく、早期にバグを発見するのに役立ちます。

DAST（動的アプリケーションセキュリティテスト）とは？

DASTはブラックボックステストとも呼ばれ、アプリケーションを実行中にスキャンし、攻撃者の視点からの実際の攻撃をシミュレートして、実行中に見える脆弱性を特定する方法です。

仕組み

• デプロイ済み/テスト環境がアプリケーションを実行します。
• DASTツールはHTTP/APIリクエストを送信し、入力を操作し、攻撃をシミュレートします。
• 認証の破損、XSS、公開されたAPI、または設定ミスなどの問題を特定します。

長所

• テクノロジーに依存しない（言語やフレームワークを超えて機能する）
• 実行時および環境固有の脆弱性を発見する

短所

• コードロジックの深部にある問題を見逃す可能性がある
• SDLCの後半に行われるため、修正コストが高くなる。

最適な使用例

テスト/プレプロダクション中、または実行時のセキュリティ検証のために本番環境で継続的にDASTを使用します。

DevOpsチームによるSASTとDASTの使用頻度はどのくらいですか？

GitLabのグローバルDevSecOps調査によると、約53%の開発チームがSASTスキャンを実行し、55%がDASTスキャンを実行しています。

SASTとDASTの違い: 主要なポイント

各テスト方法がどのように異なり、また互いに補完し合うかを明確に比較します:

なぜSASTとDASTの両方を使用するのか？

SASTとDASTは互いのギャップを埋めます。

• SASTはコード内の脆弱性を早期に検出します（修正が安価）
• DASTは実行時の動作を検証し、SASTでは検出できない問題を捕捉します

例えば、SASTはコード内のSQLインジェクションの欠陥を検出できないかもしれませんが、DASTはその欠陥が実際にライブアプリで悪用可能であることを検出するかもしれません。

両方を組み合わせることで、コードから実行時までのカバレッジを得ることができます。アプリケーションを強化しましょう。

この簡単なフローは、SASTとDASTがどこに適合するかを示しています。

SAST vs DASTツール

考慮すべきトップツールはこちらです:

ツール比較表

市場で利用可能な最高のSASTツールとDASTツールもチェックしてください。

ベストプラクティス: SAST + DASTワークフロー

• SASTをCI/CDにできるだけ早く統合する（プリマージまたはビルド）
• DASTをテスト/ステージング、理想的には本番環境で実行し、ランタイム検証を行う。
• 壁を設置する：コードを保護するための壁を作成する。SASTツールで重大な問題が見つかった場合、コードはマージできない。DASTツールが脆弱性を発見した場合、アプリはデプロイできない。
• 開発チームとセキュリティチームが協力して結果を解釈し、セキュリティ修復を実行する。
• スキャナーのルールと脆弱性の定義を更新し（SAST）、DASTスキャンプロファイルを調整してノイズを減らす。

課題と落とし穴

• ツールの過剰使用：複数のスキャナーがオーケストレーションなしで使用されると、チームにノイズとアラート疲労を引き起こす可能性がある
• 誤検知：特にSASTは、調整されていない場合、多くの無関係な発見を生む可能性がある
• 遅いテスト：DASTにのみ依存すると修復が遅れ、リスクが増大する
• 分断されたワークフロー：SDLCの各段階（開発、ビルド、ランタイム環境）での可視性が欠如している

適切なプラットフォームがどのように役立つか

SASTとDASTの両方をサポートするプラットフォームを選ぶことで、ワークフローが合理化されます。例えば、静的および動的テストを統合し、発見を関連付け、リスクを優先し、自動修復を提供するPlexicus ASPMのようなプラットフォームは、開発チームとセキュリティチーム間の摩擦を減らします。

SASTとDASTの理解は、効果的なアプリケーションセキュリティ（AppSec）のベストプラクティスの基礎です。

• SASTはコード内の問題を早期にキャッチします
• DASTはランタイムで攻撃がどれほど現実的かをテストします

一緒に、彼らは層状の防御を形成します：コードからクラウドへ。

アプリケーションのセキュリティを真剣に考えているなら、SASTとDASTの統合は必須です。DASTとSASTを統合できるプラットフォーム、例えばASPMを検討してください。また、最高のASPMツールもご紹介していますので、ご検討ください。

A: 一般的に、SASTはコードベースの分析と実行時コンテキストの欠如により、より多くの誤検知を生み出す可能性があります。

執筆者

José Palanco

José Ramón Palancoは、2024年に設立されたASPM（アプリケーションセキュリティポスチャ管理）の先駆的企業であるPlexicusのCEO/CTOです。この企業はAIを活用した修正機能を提供しています。以前は、2014年に設立した脅威インテリジェンスのスタートアップであるDinofluxを創業し、Telefonicaに買収され、2018年から11pathsで働いています。彼の経験には、EricssonのR&D部門やOptenet（Allot）での役割が含まれています。彼はアルカラ・デ・エナレス大学で通信工学の学位を取得し、デウスト大学でITガバナンスの修士号を取得しています。サイバーセキュリティの専門家として認められており、OWASP、ROOTEDCON、ROOTCON、MALCON、FAQinなどの様々な著名な会議で講演を行っています。サイバーセキュリティ分野への貢献として、複数のCVEの公開や、nmap-scada、ProtocolDetector、escan、pma、EKanalyzer、SCADA IDSなどの様々なオープンソースツールの開発があります。

さらに読む José