02. 脆弱性スキャン

アプリケーションセキュリティテストはコンピュータ、アプリケーション、エンドポイント、IT インフラストラクチャ (ネットワークを含む) 上の潜在的なエクスプロイトポイントを検査して、防御を検証し、セキュリティ上の問題を特定します。

アプリケーションセキュリティテストの実施は規制遵守のための一般的な要件であり、組織のサイバーセキュリティリスクを最小限に抑えるのに役立ちます。たとえば Approved Scanning Vendor (ASV) は Payment Card Industry (PCI) からペイメントカードネットワークをスキャンすることを認定および認可されているサービスプロバイダです。

以降では、以下のようなさまざまなタイプの脆弱性スキャンについてみていきます。

1. 静的アプリケーションセキュリティテスト (Static Application Security Testing) - SAST

2. 動的アプリケーションセキュリティテスト (Dynamic Application Security Testing) - DAST

3. インタラクティブアプリケーションセキュリティテスト (Interactive Application Security Testing) - IAST

4. ソフトウェア構成分析 (Software Composition Analysis) - SCA

5. Infrastructure as Code 脆弱性スキャン (Infrastructure as Code Vulnerability Scanning) - IAC

6. コンテナ脆弱性スキャン (Container Vulnerability Scanning)

参考情報

• Wikipedia - Vulnerability Scanner

• Techtarget - Vulnerability Scanning

• Checkpoint - Vulnerability Scanning