NEC サイバーセキュリティ戦略本部 セキュリティ技術センターの山本和也です。セキュリティサービスのアジャイル開発業務を担当しており、スクラムマスター[1]として活動しております。今週のセキュリティブログでは、アジャイル開発におけるセキュリティテストのいくつかの方法と、その中でも特に、リアルタイムに繰り返し検証が可能とされるIASTというテスト方式を紹介します。 セキュリティテストにはSAST/DAST/IAST他複数のカテゴリが存在し、組み合わせて実施する。 SASTは静的検査、DASTは動的検査、IASTはシステムの動作に合わせて検査を実施する。 アジャイル開発においては「検出精度」及び「繰り返し検証しやすい」ことが特に重要で、IASTの今後の発展が期待される。 本記事で取り扱う開発は、スクラム[2]を用いたソフトウェアのアジャイル開発を想定します。スクラムとは「経験主義」と「リーン思