IAST

IASTとは、「インタラクティブ アプリケーション セキュリティ テスト」の略称です。日本語では「対話型アプリケーションセキュリティテスト」と訳されます。アプリケーションを実行しながら、内部の挙動を観察して脆弱性を検出する診断手法です。

「静的（SAST）」「動的（DAST）」ときて、なぜ“対話型”なのでしょうか？それは、IASTがSASTとDASTの特徴を兼ね備えているからです。IASTの場合はアプリケーションを動かした状態で、内部のコードや変数、構成ファイルなどの情報をリアルタイムで取得し、脆弱性を検出します。

例えば、自動化ツールでWebアプリケーションのテストを実施しているとき、IASTのセンサーがアプリケーションの内部に組み込まれていれば、その実行中にデータの流れや入力チェックの有無などを観察し、不適切な処理を検出してくれます。

IASTの利点は、高い精度とスピードにあります。実際のアプリケーションの動作をもとに診断するため、誤検知や見落としが少なく、現実的な脆弱性を効率よく洗い出すことができます。また、開発中のテスト環境で自動化されたテストに組み込むこともできるため、「開発の流れを止めないセキュリティ対策」として注目されています。

一方で、IASTには実行環境が必要なため、事前にアプリケーションを動かせる状態にしておく必要があります。また、IASTを使うにはある程度の技術的な準備が求められます。例えば、専用のエージェントをアプリケーションに組み込んだり、テストを通じて十分な動作をさせたりする必要があります。

とはいえ、SASTやDASTと比べても、より実用的で現場の開発フローに溶け込みやすいのがIASTの魅力です。安全性を確保しながらスピーディーに開発を進めたい、そんな現場にぴったりの手法ではないでしょうか。