ITパスポート｜IT全般

静的解析・動的解析とは？自分ごと体験で覚えるITパスポート対策

ITパスポート対策 / 読了：約3分

静的解析・動的解析 IT全般 ITパスポート

🎬 こんなシーン、想像してみて

セキュリティ担当の自分。「リリース前にコードのセキュリティ脆弱性を検査→プログラム実行せずスキャン」する手法。DAST？

✅ 静的解析（SAST：Static Application Security Testing）
❌ 動的解析（DAST：Dynamic Application Security Testing）
→ DASTは起動状態の外部攻撃模倣テスト。「コード実行せずスキャン」がSAST

✅ 正解：静的解析（SAST：Static Application Security Testing）

静的=実行せずコードを検査、動的=実際に動かして検査

静的解析（SAST）：ソースコードを実行せずにスキャンして脆弱性パターン（SQLインジェクション箇所・ハードコードされたパスワード等）を検出。開発初期段階で実施できる。動的解析（DAST）：アプリを実際に動かし、HTTPリクエストを送って挙動を解析する。本番に近い環境でのテスト。

SAST→コード段階で早期発見、DAST→実行時の脆弱性発見、という組み合わせが理想的。ファジング（Fuzzing）：予測不能な入力データを大量に送ってクラッシュや異常を見つける動的テスト手法。SCA（ソフトウェアコンポジション解析）：使用OSSの既知脆弱性を検出する。

静的（Static）＝「止まった状態でコードを読む」。動的（Dynamic）＝「実際に動かして見る」。試験では「コードを動かさずに→静的」「実際に起動して→動的」が判断のポイント。

**SAST＝Static（止めて読む・早期）／DAST＝Dynamic（動かして見る・実行時）**。両方併用が理想。

静的解析・動的解析はITパスポートのIT全般分野で頻出（high）。ITパスポート過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。

知識をクイズで確認しよう！