DAST

DASTとは「動的アプリケーションセキュリティテスト」のことを指します。動いているWebアプリケーションに対して、外部から疑似的な攻撃を行い、脆弱性がないかを確認する検査手法です。

例えば、すでに公開されているWebサイトに対して、「ログインページに不正な入力をしてみる」「URLのパラメータを変えて挙動を観察する」など、実際の攻撃者と同じ視点でアプリケーションを調べます。そのうえで、セキュリティ上の弱点が見つかれば報告し、対応を促すのがDASTの役割です。

診断の対象は、アプリケーションがユーザーからの入力を受け取り、反応するあらゆる場所です。入力フォーム、クエリパラメータ、Cookieなども含まれます。特にクロスサイトスクリプティング（XSS）やSQLインジェクションといった、入力を利用して不正な動作を引き起こす攻撃に対して高い検出力を発揮します。

DASTのメリットは、ソースコードを見なくても診断ができること。つまり、開発元ではない第三者でも、対象の動作を観察してリスクを洗い出すことができます。また、実際の動作環境でテストを行うため、「現場で本当に危険な状態かどうか」を見極めやすいのも特徴です。

一方で、アプリケーション内部のロジックまでは把握できません。そのため、コードそのものを分析するSAST（静的アプリケーションセキュリティテスト）や、設計・構成を確認する手法と組み合わせることで、より精度の高い診断が実現します。

Webアプリケーションが日々進化する中で、DASTは実戦的な視点からのチェック手段としてとても有効です。外からどう見えるか、どう攻撃されるか──その観点で安全性を確認する。まさに、“攻撃者の視点で守りを固めるテスト”といえるのではないでしょうか。