IAST: 次世代のWebアプリケーション・セキュリティ・テスト手法
- SAST(静的解析)とDAST(動的診断)のギャップの解消

アプリケーション・セキュリティ・テストの代表的な手法にSASTとDASTがあります。 ソースコードから不具合や脆弱性を検出するSASTは開発段階で早期に不具合を除去できますが、最終的には実際の挙動を確認する動的診断は欠かせません。 一方で実際に動作をさせるDASTは、テストケースの開発やトリアージの手間、解析結果の判別に高度なセキュリティ知識を要するなどハードルが高くCI/CDなどのプロセスにも統合させずらいなどの課題があります。

こうしたSASTとDASTのギャップを埋める新たなテスト手法として注目されているのが、IASTです。

自動化された動的診断から開発者にも分かりやすい静的解析ライクな診断結果を提供するので、利用の負担も低く、CI/CDにも統合可能でビルド・QA中のセキュリティ・テストを充実させることができます。

そこで、IASTの解析の仕組みや解析結果の見え方、検出精度向上の仕組みなどをデモを交えて紹介するセミナーを開催します。

• SASTとDASTの特徴の整理とテストのギャップ
• 新たなテスト手法IASTの解析の仕組み、解析結果の見え方
• CI/CDへの統合を含む運用イメージ
• Q&A

講演者

日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールスエンジニア 吉井 雅人