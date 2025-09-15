SDLC内でテストをシフトレフトする。一般に、IASTはソフトウェア開発ライフサイクル（SDLC）のテスト/QA工程で行われます。IASTはテストを事実上シフトレフトして問題を開発サイクルの早期段階で捕捉し、修正に伴うコストと遅延を削減します。多くのツールは継続的インテグレーション/継続的デリバリー（CI/CD）ツールに統合できます。最新の生成ツールは変更したソースコードを再コンパイルして、実行中のアプリケーションを再テストした時点ですぐに結果を返し、開発プロセスのさらに早期段階での脆弱性の発見を支援します。

迅速なトリアージを可能にする高精度な結果を提供する。Webアプリケーションの迅速な開発の必要性への対応に後れを取らないためには、数十万件単位のHTTPリクエストを処理するスケーラビリティを備え、誤検知率の低い結果を得ることができる高精度な自動セキュリティ・テスト・ツールが必要です。動的解析(DAST)ツールは誤検知が多くなりがちで、発見された脆弱性のコード行を示さないため、結果のトリアージが難しく、誤検知を簡単に排除できません。IASTおよび静的解析(SAST)では、開発チームとセキュリティ・チームがテスト結果をトリアージするために役立つ詳細な情報（コード行など）を得ることができます。

脆弱性の原因を突き止めることができる。アプリケーション内部から解析を行うIASTでは、アプリケーション・コード、実行時の制御およびデータフロー情報、メモリーおよびスタック・トレース情報、HTTPリクエスト/レスポンス、ライブラリ、フレームワークなどのコンポーネントにSCAツールを介してアクセスできます。この解析により、開発チームは発見された脆弱性の原因を突き止め、迅速に修正することができます。

CI/CDとの統合が容易。Webアプリケーション開発チームとDevOpsチームには、誤検知を削減するための面倒なコンフィグレーションやチューニングが不要で、標準的なビルド、テスト、QAツールとシームレスに統合するアプリケーション・セキュリティ・ツールが必要です。これらのツールは大規模エンタープライズの要件に対応するためにデプロイ、更新、スケーリングが容易であることが求められます。IASTはCI/CDパイプラインにシームレスに統合する唯一のタイプの動的テスト手法です。

代償が比較的小さい早期のうちに修正が可能。セキュリティおよび開発チームには、リソースおよびセキュリティ・リスク体制の観点から、開発チームがソースコードとエラーを熟知している時点で、しかも脆弱性の修正コストが最小限で済むSDLCの早期段階で脆弱性を発見し、修正することができるアプリケーション・セキュリティ・ツールが必要です。静的解析およびSCAツールは一般に開発工程で利用され、IASTはテスト/QA工程で用いられます。結果は開発チームにフィードバックされ、開発チームは発見された脆弱性を開発工程で修正します。