IAST(Interactive Application Security Testing)は、対話型アプリケーションセキュリティテストとも訳され、静的なセキュリティ評価手法であるSAST (Static Application Security Testing)と、動的なセキュリティ評価であるDAST (Dynamic Application Security Testing)を組み合わせて、より効果的な評価を行うためのテスト手法である。
IASTで利用されるIASTツールはアプリケーションにセンサーを組み込むことで、対話的にアプリケーションの動作を追跡し、脆弱性を検出する。この対話的なセキュリティテスト手法により、SASTまたはDASTによる単独の評価手法よりも、より多くのコードをカバーし、より良い結果を生成し、幅広いセキュリティルールを迅速に検証することができる。
ソースコードをパターンマッチングして脆弱性を判定するSASTとは異なり、ソースコードの挙動により、脆弱性を判定するためSASTと比較して誤検知が少ないというメリットがある。
さらに、IASTツールはアプリケーションを部分的に動かすことができれば、診断シナリオなどを用意することなく診断することができるため、DASTとは異なり、脆弱性診断の工程やセキュリティの知識・経験が不要でも効果が期待できるというメリットがある。
IASTは近年、DXの推進などによる企業内でアプリケーション開発の内製化が進む中、開発工程におけるセキュリティ品質を担保する手法として、IASTツールとともに関心が高まっている。
