Dynamic Application Security Testing

Dynamic Application Security Testing（略称:DAST、別名:動的アプリケーションセキュリティテスト）は、アプリケーションのセキュリティ上の弱点や脆弱性を特定するための非機能テストプロセスである。このテストプロセスは、手動または自動ツールを使用して実施することができる。アプリケーションの手動評価には、自動ツールが見逃す可能性のあるセキュリティ上の欠陥を特定するための人間の介入が伴う。通常、ビジネスロジックのエラー、競合状態のチェック、および特定のゼロデイ脆弱性は、手動評価を使用しなければ特定できない。

一方で、DASTツールは、Webアプリケーションやアーキテクチャの潜在的なセキュリティ脆弱性を特定するために、Webフロントエンドを通じてWebアプリケーションと通信するプログラムである^[1]。これはブラックボックステストを実行する。Static Application Security Testing（SAST）ツールとは異なり、DASTツールはソースコードにアクセスできないため、実際に攻撃を実行することで脆弱性を検出する。

DASTツールは、ホスト名、クロールパラメータ、認証情報を設定すれば、最小限のユーザー操作で高度なスキャンを行い、脆弱性を検出することができる。これらのツールは、クエリ文字列、ヘッダー、フラグメント、動詞（GET/POST/PUT）、DOMインジェクションにおける脆弱性の検出を試みる。

概要

DASTツールは、セキュリティ脆弱性を発見するという明確な目的を持ってWebアプリケーションの自動レビューを容易にするものであり、様々な規制要件への準拠に必要とされる。Webアプリケーションスキャナは、入出力バリデーション（例：クロスサイトスクリプティングやSQLインジェクション）、特定のアプリケーションの問題、サーバー設定ミスなど、多種多様な脆弱性を探すことができる。

商用スキャナとオープンソーススキャナ

商用スキャナは、購入が必要なWeb評価ツールのカテゴリである。一部のスキャナには無料機能が含まれているものもあるが、ツールの全機能にアクセスするには購入が必要なものがほとんどである。

オープンソーススキャナは、ユーザーにとって無料であることが多い。

利点

これらのツールは、出荷前の最終的なリリース候補版の脆弱性を検出できる。スキャナは悪意のあるユーザーをシミュレートして攻撃や探索を行い、期待される結果セットに含まれない結果を特定することで、現実的な攻撃シミュレーションを可能にする^[2]。この種のツールの大きな利点は、一年中スキャンを行い、常に脆弱性を探索できることである。新しい脆弱性は定期的に発見されるため、企業はそれらが悪用される前に脆弱性を発見し修正することができる^[3]。

動的テストツールとして、Webスキャナは言語に依存しない。Webアプリケーションスキャナは、エンジン駆動のWebアプリケーションもスキャン可能である。攻撃者も同じツールを使用するため、ツールが脆弱性を発見できれば、攻撃者も発見できることになる^[4]。

欠点

DASTツールによるスキャン中、データが上書きされたり、対象サイトに悪意のあるペイロードが注入されたりする可能性がある。正確な結果を保証しつつ本番環境のデータを保護するため、サイトは本番に近い非本番環境でスキャンされるべきである。

ツールは動的テスト手法を実装しているため、アプリケーションのソースコードを100%カバーすることはできず、したがってアプリケーション自体も完全にはカバーできない。ペネトレーションテスターは、ツールが正しく設定されているか、あるいはWebアプリケーションを理解できているかを知るために、Webアプリケーションのカバレッジや攻撃対象領域（アタックサーフェス）を確認する必要がある^[5]。

ツールは、特定の脆弱性に対するあらゆる攻撃バリエーションを実装できるわけではない。そのため、ツールは一般的に事前に定義された攻撃リストを持っており、テスト対象のWebアプリケーションに応じて攻撃ペイロードを生成するわけではない。一部のツールは、JavaScriptやFlashなどの動的コンテンツを持つアプリケーションの動作を理解する能力がかなり制限されている。

脚注

[脚注の使い方]

^ Web Application Security Scanner Evaluation Criteria version 1.0, WASC, 2009
^ “SAST vs DAST”. G2 Research Hub (2026年1月20日). 2020年5月3日時点のオリジナルよりアーカイブ。2026年1月20日閲覧。
^ “The Importance of Regular Vulnerability Scanning”. AppCheck Ltd. 2020年8月6日時点のオリジナルよりアーカイブ。2026年1月20日閲覧。
^ Bashvitz, Gadi. “DAST Pros and Cons”. Bright Security. 2026年1月20日閲覧。
^ “SAST vs DAST: application security testing explained – North IT” (英語). 2026年1月20日閲覧。

外部リンク

Web Application Security Scanner Evaluation Criteria from the Web Application Security Consortium (WASC)
Web Application Scanners, operated by the NIST
Challenges faced by automated web application security assessment from Robert Auger
The WASC security scanner list

[1] Web Application Security Scanner Evaluation Criteria version 1.0, WASC, 2009

[2] “SAST vs DAST”. G2 Research Hub (2026年1月20日). 2020年5月3日時点のオリジナルよりアーカイブ。2026年1月20日閲覧。

[3] “The Importance of Regular Vulnerability Scanning”. AppCheck Ltd. 2020年8月6日時点のオリジナルよりアーカイブ。2026年1月20日閲覧。

[4] Bashvitz, Gadi. “DAST Pros and Cons”. Bright Security. 2026年1月20日閲覧。

[5] “SAST vs DAST: application security testing explained – North IT” (英語). 2026年1月20日閲覧。

[1]

[2]

[3]

[4]

[5]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムランサムウェアクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール(FW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポット Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) DKIM DMARC Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングセキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデル
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

概要

商用スキャナとオープンソーススキャナ

利点

欠点

関連項目

脚注

外部リンク