今回の動画では、情報処理安全確保支援士試験の午後II対策として、脆弱性診断ツール(DAST)の活用と限界、そしてWebアプリケーションの主要な脆弱性であるSQLインジェクション、XSS、アクセス制御の回避(IDOR)について学びます。さらに、現場で重要となる診断の内製化や、ツールでは見抜けない偽陰性のメカニズムといった、技術と運用の両面から合格に必要な重要キーワードを徹底解説します。
DASTは動的な診断に有効ですが、JavaScriptによる動的URLや状態依存の画面遷移に弱いため、設計書を確認するなどの手動補完が不可欠です。SQLiはエラーや結果ゼロから脆弱性を炙り出し、XSSはCookie盗聴以外に画面改ざんのリスクも伴います。アクセス制御の回避を防ぐには、クライアントの値を過信せずサーバー側で認可を行うことが基本です。これらを理解し、ツールに頼り切らない診断体制の構築を目指しましょう。
