gists

IAST（Interactive Application Security Testing）って何？AWS の X-Ray もこれに含めていい？

IAST（Interactive Application Security Testing）は、アプリを実際に動かしながら（テスト実行中やステージング環境など）、アプリ内部の挙動を観測して脆弱性を検出する手法です。一般的には、アプリにエージェント／ライブラリを組み込んで実行時の情報（入力→処理→DB/外部呼び出しまでのデータフロー、サニタイズ有無、スタックトレース等）を取り、SQLi / XSS / コマンドインジェクションのような問題を「どのコード行が原因か」まで特定しやすいのが特徴です。

IASTの位置づけ（ざっくり）

• SAST: ソースコードを静的解析（実行しない）
• DAST: 外からHTTP等で攻撃っぽい入力を投げて挙動を見る（中身は見ない）
• IAST: 中（アプリの実行時）も見ながらテストする（SASTとDASTの中間的）

AWS X-Ray は IAST に含めていい？

結論：通常は「IASTとは言わない」です。

AWS X-Rayは主に 分散トレーシング／APM（可観測性） のための仕組みで、以下を可視化します：

• リクエストのトレース（サービス間の呼び出し）
• レイテンシ、エラー率
• どの下流サービスに時間がかかっているか など

一方、IASTのツールが主眼にするのは：

• 脆弱性検出（セキュリティ診断）
• taint tracking（汚染データ追跡）や、危険APIへの到達判定
• 「この入力がこのSQL/コマンド/テンプレートに未エスケープで入った」等の検知

X-Ray単体は、脆弱性を検出する設計ではなく、入力汚染やサニタイズの有無を解析して「SQLiの可能性」を直接指摘する類のものではないので、分類としては IASTではなく観測（Tracing/APM） に寄ります。

ただし「広義に実行時観測」なら近いところはある

• エージェントを入れて実行時情報を取る点は似ています
• でも目的と検出ロジックが違うので、セキュリティ文脈で「IASTです」と言うと誤解されやすいです

どう呼ぶのが無難？

• X-Ray：Distributed Tracing / APM / Observability
• IAST：Runtime Application Security Testing（実行時の脆弱性検出）

もし「AWSでIAST相当をやりたい」意図なら、対象言語/環境（Java/.NET/Node/Python など）と、CI/CDかステージングか、本番での検知も含むかを教えてください。目的に近い構成（例：RASP系、WAF、SAST/DAST/依存関係スキャンの組み合わせ）で整理できます。

This site is open source. Improve this page.