インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)とは？

2021年06月14日
インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)とは？

Author

奥村和彦 Kazuhiko Okumura

このブログはアプリケーション・セキュリティ・テストツールの市場分類を紹介する、WhiteSoure社のブログ翻訳シリーズの第６回です。
本シリーズも今回の IAST の紹介で最後となります。

IAST は他のツールと比べると新しい分野で多くの導入事例や製品も出ておらず、実を言うと私自身も触れたことはもちろん目にしたこともありません。
ですが、SASTやDASTがカバーできなかった部分を補うことが出来るツールになりますので、IASTのことを知ることでDevSecOpsを次の段階に進めることができるかもしれません。

アプリケーションとソフトウェアの脆弱性は、外部からの攻撃が最も一般的なので、アプリケーションのセキュリティを確保するには、多くの組織にとって最優先事項です。
このリスクを低減するために不可欠な要素が、アプリケーション・セキュリティ・テスト（AST）です。

このブログでは、AST市場の中でも比較的新しい、インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）に焦点を当てます。
IASTは、よく知られていて成熟している静的アプリケーション・セキュリティ・テスト（SAST）と動的アプリケーション・セキュリティ・テスト（DAST）ツールの後に続くもので、両方の要素のいくつかが組み合わさっています。

ASTツールの中でIASTがどこに位置付けられているかを理解することは、アプリケーションのリリース前に徹底的にテストし、可能な限りセキュアであることを確認するためには重要なことです。
また他のASTツールと同様、IASTにも利点と限界がありますので、このブログではその両方を探っていきます。

■IASTとは何か？

IASTは、最新のWebおよびモバイルアプリケーション用に設計されたASTツールで、アプリケーション内で動作し、アプリケーションの実行中に問題を検出して報告します。
IASTを完全に理解するには、まず、SASTとDASTを知る必要があります。

SASTは、ホワイトボックステストの一種で、静止状態のソースコードを内側から分析します。
ASTツールの中では最も成熟しており、導入も簡単ですが、スキャンには時間がかかり、潜在的な脆弱性を特定する時の偽陽性率が高い傾向にあります。

DASTは、ブラックボックステストの一種で、テスト環境で動作しているアプリケーションに対して外部からの攻撃をシミュレートすることで脆弱性を発見します。
DASTは、アプリケーションが公開しているインターフェイスに脆弱性が無いかをチェックするために、外部からアプリケーションを攻撃しますが、アプリケーションのコードレベルで可視化することはできません。
DASTは、経験豊富なセキュリティ専門家がこれらのテストツールを書く必要があり、自動化や拡張も困難です。

IASTは、SASTとDASTの制限のいくつかを克服する試みとして開発されました。DASTのように、テストは、アプリケーションがQAやテスト環境で実行している間にリアルタイムで行われます。
しかし、DASTとは異なり、IASTは問題のあるコードの場所を特定し、修復するために開発者に通知することができます。

また、IASTはSASTと同じ様にコードをチェックしますが、それはビルドした後にコードに追加したインスツルメンテーションを通じて動的環境で実行されます。
IASTは、CI/CDパイプラインに統合し易く高いスケーラビリティを持ち、テストを自動化することも手動で実行することもできます。

■IASTはどのように機能しますか？

IASTは通常、ビルド後のアプリケーションにエージェントとセンサーを埋め込むことで実装します。
エージェントは、アプリケーションの動作を観察したり、トラフィックの流れを分析して、セキュリティの脆弱性を特定します。
これは、外部の署名やパターンをソースコードにマッピングすることで行われ、より複雑な脆弱性を特定することができます。

IASTのテスト結果は、通常、CI/CDパイプラインに余計な時間を費やすことなく、Webブラウザ、ダッシュボード、またはカスタマイズされたレポートを介してリアルタイムに報告されます。
IASTの結果は、他の課題管理ツールと組み合わせることもできます。

IASTが、SASTやDASTと最も異なることは、アプリケーションの内部で動作することです。
しかし、IASTはコードベース全体をスキャンするわけではありません。テスターが定義した特定のポイントに対する機能性をテストします。
こうすることで、SASTよりも実行速度が大幅に速くなりますが、SASTのように完全なカバレッジは提供できません。

■IASTの長所と短所

IASTは、開発者中心の技術であり、組織におけるセキュリティテストのシフトレフトを支援します。
IASTには多くの利点がありますが、欠点がないわけではありません。ここでは、IASTの長所と短所を見てみましょう。

【長所】

#1 偽陽性が少ない

IASTは偽陽性率が非常に低く、偽陽性率が高くなりがちなSASTとは異なります。かなり多くの組織が、毎日何千ものセキュリティアラートに直面しています。このようなボリュームに対して、ノイズを削減し、アラートの疲労を軽減するためには、テストの精度が非常に重要です。

#2 フィードバックがすぐに行える

昨今の開発ペースに合わせて、開発者はタイムラグのない迅速なテストソリューションを求めています。IASTは、テスト結果をリアルタイムに開発者へ直接提供することで実現します。また、IASTはCI/CDツールとの連携にも優れています。ソフトウェア開発ライフサイクル(SDLC)の早い段階で脆弱性を修正し、クリーンなコードであることを確認することで、組織は時間とコストを削減することができます。

#3 スケールし易い

IASTは高いスケーラビリティを持ち、組織内のすべての開発者は簡単に導入することができます。テスト結果は問題のあるコードの行を開発者に示し、セキュリティ専門家の介入を必要とせずに直ちに修正することができます。

【短所】

#1 カバーしているプログラミング言語が限定的

IASTはテスト対象のアプリケーションに組み込まれるため、プログラミング言語固有のサーバーサイドアーキテクチャを持っています。
IASTは、特定の言語をカバーしておらず、最新の技術フレームワークしかサポートしていません。
IAST単独では十分なカバレッジが提供できないので、他のASTソリューションと組み合わせることで効果を発揮します。

#2 成熟したテスト環境が必要

IASTから最大限の価値を得るためには、成熟したテスト環境が必要です。
IASTは、最新のソフトウェア開発環境とアーキテクチャを必要とします。

#3 広く採用されていない

IASTは登場してから数年が経過しているいますが、いまだに市場でその力を確立できていません。
その理由は、それだけでは十分なカバレッジを得られないからなのか、測定可能なROIが無いからなのか、あるいは適切なユースケースを見つけられていないからなのか、まだ明らかになっていません。

■IAST バランスの取り方

IAST は効果的な AST ツールであり、そのダイナミックな性質は、セキュアなアプリケーションを開発する際に多くの利点をもたらします。
SAST や DAST ツールと比較して、IAST は最も速く、最も正確な結果を提供します。
また、CI/CDビルドパイプラインに簡単に統合することができます。

残念ながら、IASTには限界があります。組織で使用しているすべてのプログラミング言語言語と技術スタックをカバーしていないかもしれません。
また、SASTとは異なり、コードの全ての行をチェックすることはできません。
要するに、IASTはSASTやDASTのソリューションと一緒に使用することが最も効果的だということです。

正しいASTソリューションを選択するには、スピード、精度、カバレッジ、コストのバランスを見つけることが必要です。
IASTは強力なツールですが、残念ながらそれだけではすべてを解決することはできません。

これは私個人の感想になりますが、IASTはこれまで紹介したSASTとDAST、それぞれの長所を取り入れただけでなく、短所も補ったハイブリッドなツールという印象を受けました。
更に IASTツールによっては利用しているオープンソースコンポーネントもスキャンする SCA の機能も持ち合わせているようです。

これだけを読むと「セキュリティテストは、IASTだけで十分ではないか？」と思えたりもしますが、実際には対応してるプログラミング言語やフレームワークが限定できなので該当する技術でないと利用できなかったり、全てのセキュリティテストをIASTだけで賄おうとすると逆に時間が掛かってしまう、あるいはそもそも不可能だったりもします。
ですので、IASTを採用する場合は、IASTの能力が最大限となる範囲で利用し、その他を SAST、DAST、あるいは SCA を併用するのが結果的にベストな選択になるのだと思いました。