Wiz
CI/CD セキュリティのベスト プラクティス [チート シート]

この 13 ページのチート シートでは、CI/CD パイプラインの次の領域 (インフラストラクチャ セキュリティ、コード セキュリティ、シークレット管理、アクセスと認証、監視と応答) のベスト プラクティスについて説明します。

チートシートをダウンロード無料体験版を入手
すべての記事

インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)とは?

IAST(Interactive Application Security Testing)は、実行時にアプリケーションをリアルタイムで監視し、ライブ環境でのコードの動作とデータフローを分析することで脆弱性を検出するセキュリティテスト手法です。

Wiz エキスパートチーム
8 分で読めます

IAST(Interactive Application Security Testing)は、Webアプリケーションの脆弱性を特定するためのセキュリティテスト手法です。 これは、アプリケーションが実行され、アクティブにテストされている間、多くの場合、QAまたは自動テストプロセス中に、アプリケーションをリアルタイムで監視することで機能します。 IAST ツールはアプリケーションと統合し、その動作を分析します。 データフロー セキュリティの問題を検出し、特にコードベースの潜在的な脆弱性に関する洞察を提供します。

問題が存在する場合、IAST は、失敗したテスト・ケース、コード・ロケーションのコンテキスト、およびアプリケーションに関する情報を開発チームに警告します's の状態になります。

DevOps Security Best Practices [Cheat Sheet]

In this 12 page cheat sheet we'll cover best practices in the following areas of DevOps: secure coding practices, infrastructure security, monitoring and response.

Download Cheat Sheet

IASTが重要な理由

開発速度は最も重要です。 新機能をリリースし、バグを迅速に修正すると、プロジェクトの成否が左右されます'の成功。 しかし、開発速度の名の下にセキュリティを犠牲にすることは、長期的には開発プロセスを悩ませる可能性があります。 安全なシステムを構築すると、テストの実行が長くなったり、本番環境でのセキュリティ問題につながらない誤検知で開発者に負担をかけたりして、余分な作業が増える可能性があります。 幸いなことに、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)を使えば、配信を遅らせることなく脆弱性を特定する方法があります。 

IASTについて、その仕組み、そしてシステムを安全に保つためにIASTを検討する理由を詳しく見てみましょう。

IASTはどのように機能しますか?

IAST は、テスト中のアプリの動作を追跡するセンサー ライブラリを使用します。 このプロセスでは、セキュリティテストをセキュリティチームから開発チームに移行し、開発者にこれらのライブラリをアプリケーションのコードに統合するように要求します。未変更のアプリケーションで IAST を使用しても機能しません。

センサーは、IAST がアプリケーション・コード、データ・フロー、システム構成、コンポーネント、およびネットワーク接続にアクセスできるようにし、ソフトウェアを追跡できるようにします'は、テスト中に動作を完了し、脆弱な動作が検出された場合はアラートを送信します。

IAST は、 DevSecOps(デブセックオプス) パイプライン (テストが機能するためにはアプリケーションを実行する必要があるため)。

IASTは他のセキュリティテスト方法とどのように異なりますか?

静的アプリケーション・セキュリティ・テスト(SAST) 動的アプリケーションセキュリティテスト(DAST)と ソフトウェア構成分析 (SCA) は、さまざまな長所と短所を持つ人気のあるアプリケーションセキュリティテストツールです。 IASTをそれらと比較して、セキュリティテストの全体像にどのように適合するかを見てみましょう。

SASTとIASTの比較

DefinitionComparison with IAST
SAST scans source code for suspicious patterns. It’s very fast and can run without compiling or executing an application, enabling it to run inside an IDE, as seen in figure 2.Still, it can’t catch all security vulnerabilities; some are too complex or manifest only in specific security contexts.IAST is slower than SAST because it requires execution for its sensors to work. However, this also gives IAST the context that SAST is missing and allows IAST to report fewer false positives, a major pain point with SAST scanning.
Figure 2: Security scan inside an IDE

IASTとDASTの比較

DefinitionComparison with IAST
DAST is a black-box testing method and therefore doesn’t see the code. DAST only executes the application and checks its outputs for vulnerabilities. It’s much slower than SAST but catches different application vulnerabilities.In contrast to IAST, DAST doesn’t require changes to the code, considering it doesn’t use sensor libraries. However, because of the missing sensors, it has less context than IAST and requires many more test cases, which gives IAST a speed advantage over DAST.

IASTとSCAの比較

DefinitionComparison with IAST

SCA detects potential security vulnerabilities in your application's third-party source components. It scans the packages you use, checks which have entries in the list of known vulnerabilities, and reports these issues. SCA is a very fast process because it doesn’t evaluate or scan your application code.

In short, SCA only checks if you use dependencies with vulnerabilities. Nonetheless, SCA usually has a high rate of false positives, as it doesn’t check if you use a dependency's vulnerable parts.

SCA is much faster than IAST but only reports vulnerabilities in third-party code. It also tends to have a high rate of false positives.While IAST is slower, it covers your own code and that of third parties. Its sensors ensure that only vulnerabilities in executed code lead to an alert, minimizing false positives.

IASTの利点と制限は何ですか?

IASTは、SASTやDASTのより優れた代替手段のように聞こえるかもしれませんが、すべてのセキュリティ問題に対する完璧なソリューションではありません。 その適用性をよりよく理解するために、その利点と制限を探ってみましょう。

IASTの利点

  • オートメーション: 他のセキュリティテスト方法と同様に、IASTプロセスを自動化してCI/CDパイプラインに統合し、新しいコードが本番環境にデプロイされる前に常に実行されるようにすることができます。 

  • ランタイムでの完全なカバレッジ: IAST センサーは、実行時にアプリケーション全体を追跡します。 これは、独自のコードの動作とサードパーティのライブラリ内のコードをカバーしていることを意味します。 IAST は、ネットワーク要求を行ったり、特定のロケーションにアクセスしたりした場合に報告します。

  • 透明性: センサーは、IAST がデバッガーのように実行コンテキストにアクセスできるようにします。 これにより、IASTは脆弱性をソース・コード内の特定のセクションにリンクすることができるため、開発者は脆弱性を見つけて修正しやすくなります。

  • リアルタイムでのフィードバック: テストが人間によって行われ、自動的に行われるわけではないとします。 CI/CD パイプライン. その場合、IAST は、センサーが潜在的な脆弱性を検出したときに、その脆弱性についてテスターに警告することで、リアルタイムのフィードバックを提供できます。

  • 本番環境のユースケース: IAST の実行要件は、開発者がバグ・レポートに記載されている問題を再現し、ランタイム・センサーでテストすることができるため、利点にもなり得ます。 

IAST の制限事項

  • プログラミング言語のユニバーサルサポートの欠如: IAST ツールの最大の制約は、プログラミング言語に依存していることです。 IASTに必要なコンテキストを提供するためにはセンサー・ライブラリーをインストールする必要があるため、選択したプログラミング言語がIASTツールでサポートされていない場合は運が悪いです。 一般的なプログラミング言語を使用しない限り、IASTは単に'オプションではありません。

  • SDLC後半のフィードバック: IAST では、アプリケーションをコンパイルして実行し、後で ソフトウェア開発ライフサイクルこれにより、ソースコードを直接操作するセキュリティスキャナーよりもフィードバックが大幅に遅くなります。 IAST は、機能の実装中に IDE 内で開発者にフィードバックを提供することはできません。

  • 高労力の実装: IASTの統合作業は、センサー・ライブラリのインストールと設定が必要なため、SASTやDASTの統合作業よりもはるかに高くなります。 SASTまたはDASTは、変更を加えずにアプリケーションをそのままテストできます。

  • 偽陰性: IAST センサーは実行されたコードのみを追跡するため、テストで実行されなかったコードの問題は検出されません。 これにより、テストが困難な大きなコードベースで偽陰性が発生するリスクが高まります。

  • 高コスト: テスト用のコードのコンパイルと実行は、コードをそのままスキャンするだけの SAST を単に実行するよりもはるかにコストがかかります。 また、IASTセンサーからのリアルタイム情報も無料で得られるわけではありません。

CI/CD Pipeline Security Best Practices [Cheat Sheet]

In this 13 page cheat sheet we'll cover best practices in the following areas of the CI/CD pipeline: Infrastructure security, code security, secrets management, access and authentication, monitoring and response.

Download Cheat Sheet

概要

IASTは、アプリケーション・セキュリティ・テスト・エコシステムに強力に加わる製品です。 誤検知と長時間実行されるテストスイートは、開発速度にとって大きな問題であり、IASTはこれらの問題に対処します。 SAST や SCA とは対照的に、IAST センサーは、実行されたコードの脆弱性のみがアラートを発生させることを保証します。 これにより、デッド コードの問題が無視されるため、誤検出の割合が低くなります。 また、センサーはDASTに欠けているコンテキストを追加し、DASTをブラックボックスからグレーボックスのテスト方法に変え、ランタイム環境への洞察を提供します。 より多くのコンテキストにより、DASTよりも少ないテストでより多くの脆弱性をカバーできます。

Wizコード + IAST

Wiz Codeは、IASTを含むさまざまなアプリケーションセキュリティテストツールからの結果を取り込んで統合する機能を提供します。 Wiz CodeのIASTの調査結果を取り込む機能は、包括的なクラウドネイティブ・アプリケーション保護を強化するように設計されています。 

IASTの結果を統合することで、Wiz Codeはランタイムの脆弱性に関する洞察をプラットフォームに直接取り込むことができ、クラウド環境で実行されるアプリケーションの潜在的なリスクをより詳細に把握することができます。

ここは'IASTの結果をWiz Codeに取り込むことで、ユーザーがどのようなメリットを得ることができるかを以下に示します。

  • プリプロダクション環境での検出の強化: IASTの調査結果は、本番環境ではなく、プリプロダクションまたはQAテスト中のアプリケーションのランタイム脆弱性に焦点を当てています。 IASTの結果をWiz Codeに統合することで、ユーザーは、インジェクションの欠陥やアプリケーションロジックの設定ミスなど、現実的なランタイム条件下で現れる脆弱性を、本番環境に到達する前に発見することができます。 この先手を打つ洞察は、ライブ環境でコストのかかる、または破壊的な脆弱性につながる可能性のある問題を防ぐのに役立ちます。

  • アプリケーションレベルの脆弱性を超えた包括的なビュー: IASTの調査結果は、クラウドインフラストラクチャやワークロードから切り離してアプリケーションレベルの脆弱性を対象としていますが、Wiz Codeは、これらの調査結果をWiz Cloudの洞察と関連付けることで全体像を完成させます。 この広範な視点により、ユーザーはアプリケーションの問題が基盤となるクラウドコンポーネントとどのように相互作用するかを確認し、包括的なクラウドセキュリティに沿ったフルスタックビューを提供します。

  • セキュリティ グラフの取り込みによる精度: IAST の結果は、通常、静的アプリケーション セキュリティ テスト (SAST) と同様に、脆弱性を特定のコード行に関連付けます。 これらの調査結果をWiz Codeのセキュリティグラフにマッピングすることで、ユーザーはコードベース内で直接脆弱性を特定して対処するためのピンポイントの精度を得ることができます。 一方、Wiz Cloudは、追加のセキュリティインテリジェンスを提供し、これらのアプリケーションレベルの問題がクラウド環境にどのような影響を与えるか、またはクラウド環境に関連するかについてのコンテキストを提供します。

WizでのIASTインジェストにより、ユーザーは、アプリケーションとクラウドインフラストラクチャの両方にわたるWiz Cloudのエンドツーエンドの可視性によって、プリプロダクションでアプリケーションの脆弱性に関する的を絞った洞察を得ることができます。 Wiz Codeの実際の動作をご覧になりたいですか? デモを依頼する では、コードでセキュリティ保護を開始することで、クラウドでのセキュリティを維持する方法を確認します。

Secure your cloud from code to production

Learn why CISOs at the fastest growing companies trust Wiz to accelerate secure cloud development.

デモを見る