DAST
Dynamic Application Security Testing(動的アプリケーションセキュリティテスト)の略。実際にアプリを実行しながら外部から攻撃を模倣して脆弱性を検出する手法。OWASP ZAPやBurp Suiteが代表的。
DASTとは?
Dynamic Application Security Testing(動的アプリケーションセキュリティテスト)の略。実際にアプリを実行しながら外部から攻撃を模倣して脆弱性を検出する手法。OWASP ZAPやBurp Suiteが代表的。
DASTが重要な理由
DevOpsエンジニアにとって DAST は現代のインフラ・開発運用において核心的な技術です。クラウドネイティブな環境では、この概念と実装スキルを持つことが標準的に求められるようになっています。
主要なポイント
- 自動化: DASTを活用することで、繰り返し作業をコード化・自動化できます
- スケーラビリティ: 大規模システムの運用・管理が効率化されます
- 信頼性: 人的ミスを減らし、一貫した品質を保つことができます
実務での活用場面
DASTは以下のような場面で使われます:
- CI/CDパイプラインの構築・改善
- インフラのコード化(IaC)
- コンテナ環境・クラウドサービスの管理
まとめ
DAST は現代のDevOps・SRE業務に不可欠な技術です。各種ITツールも活用しながら、実践的なスキルを積み上げていきましょう。
関連用語
- DevSecOps
- SAST
- 脆弱性
- ペネトレーション
関連する用語 (DevOps)
全58件を見るIT用語: IaC(Infrastructure as Code)とは|インフラをコードで管理する
サーバー・ネットワーク・クラウドリソースをコードで定義・自動構築するIaCの概念とメリットを解説。
Blue-Green Deployment
ゼロダウンタイムデプロイ戦略の一つ。本番環境(Blue)と新バージョン(Green)を並行して稼働させ、トラフィックを切り替えてデプロイする。問題発生時に即座に切り戻せる。
ArgoCD
Kubernetesのための宣言的GitOps継続デリバリーツール。Gitリポジトリ上のマニフェストと実際のK8sクラスタの状態を常に同期させる。変更を検知して自動でデプロイする。
SAST
Static Application Security Testing(静的アプリケーションセキュリティテスト)の略。ソースコードを実行せずに静的解析して脆弱性を検出する手法。SonarQube・Checkmarx等が代表的ツール。
Terraform
HashiCorpが開発するIaC(Infrastructure as Code)ツール。HCL(HashiCorp Configuration Language)でインフラをコードとして記述し、AWS・GCP・Azureなどのクラウドリソ
GitOps
Gitをシステムの信頼できる唯一の情報源(Single Source of Truth)として扱う運用手法。インフラやアプリの設定変更をGitのPull Requestで管理し、自動デプロイを行う。ArgoCD・Fluxが普及。