AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)
インタラクティブ・アプリケーション・セキュリティー・テスト (IAST) 技術は、テスト対象のアプリケーションの Web サーバーに配置されたエージェントを使用して、ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートします。DAST スキャンとは異なり、IAST 監視セッション自体はトラフィックを生成しませんが、システム・テスト、マニュアル探査、DAST または SAST スキャン中に送信されるトラフィックを監視します。したがって、問題の監視のために専用のテスト要求をアプリケーションに送信することなく、実行時の問題を継続的に確認できます。
DAST スキャンがアプリケーションを「ブラック・ボックス」として見るのに対し、IAST エージェントはそのボックスの「内側」を見るため、コード内の脆弱性の位置、URL、特定の脆弱性エンティティー (パラメーター、ヘッダー、Cookie など) など、脆弱性に関するより詳細な情報を提供することができます。また、SAST は場所のみを提供するのに対し、DAST は URL とエンティティーのみを提供します。
Web サーバーに IAST エージェントをインストールし、IAST 監視セッションを開始すると、エージェントはアプリケーションに送信されるトラフィック (要求、コール・スタック、変数など) を監視し、検出された脆弱性について AppScan Enterprise にレポートします。SAST および DAST スキャンとは異なり、IAST セッションは無限に実行できます。
UI または REST API のいずれかにより AppScan Enterprise と通信している IAST エージェントを設定できます。IAST REST API の詳細については、REST API の資料を参照してください。
AppScan Enterprise における IAST の使用方法
| 方法.. | 詳細 |
|---|---|
| AppScan Enterprise Server で IAST Communication Service を設定する | このプロセスでは、AppScan Enterprise で IAST Communication Service を設定する手順を示します。 |
| IAST エージェントをダウンロードし、Web サーバーに展開する | このプロセスでは、テスト・アプリケーションがインストールされている Web サーバーに IAST エージェントを展開する手順を示します。 |
| AppScan Enterprise で IAST エージェントを管理する | このプロセスでは、単一のアプリケーションで複数のエージェントを作成および管理する方法を説明します。 |
IAST エージェントのシステム要件
- Tomcat バージョン 7 以降
- WebSphere バージョン 8.5 以降
- Websphere Liberty バージョン 19 以降
- Open Liberty バージョン 19 以降
- JBoss/Wildfly バージョン 10 以降
- Weblogic バージョン 12 以降
- JRE/JDK 1.8 以上を実行する Web アプリケーション・サーバー
- Struts
- Spring Boot
- Java versions 8 以上
- 「CPU」: 推奨 4、最小 2
- 「RAM」: 最小 8GB
- IIS 7 以上を実行しているサーバー
- .NET Framework 4.5、4.72、4.8
- JavaScript ECMAScript 6
- アプリケーション・フレームワーク: Express 4