動的アプリケーションセキュリティテスト（DAST）は、外部ソースからの攻撃をシミュレートすることでアプリケーションのセキュリティをテストする手法です。DASTは、コードの脆弱性を分析する静的アプリケーションセキュリティテスト（SAST）とは異なり、アプリケーションのソースコードやバイナリにアクセスする必要はありません。つまり、DASTはブラックボックステスト手法であり、アプリケーションの内部構造、設計、実装に関する知識は一切必要ありません。また、DASTはプログラミング言語に依存しないため、あらゆる言語、フレームワーク、プラットフォームで記述されたアプリケーションをテストできます。これにより、DASTはより柔軟で、さまざまな種類のアプリケーションや環境に適応できます。ただし、DASTには、速度が遅く、精度が低く、アプリケーションの可用性と構成に大きく依存するなどの制限もあります。参考：
SAST と DAST: 違いは何ですか?
SAST と DAST: 違いは何ですか?
SAST vs. DAST: アプリケーションセキュリティの強化

クラウド監査人は、本番環境データをテスト環境へ転送することでデータが影響を受けるすべての顧客から、明確な文書化された承認があるかどうかを確認する必要があります。これは、本番環境データには、一般データ保護規則（GDPR）や医療保険の携行性と責任に関する法律（HIPAA）などのプライバシーおよびセキュリティ規制の対象となる機密情報や個人情報が含まれている可能性があるためです。したがって、データ所有者の同意なしに本番環境データをテスト目的で使用すると、データ所有者の権利が侵害され、組織が法的リスクや風評リスクにさらされる可能性があります。これは、データセキュリティと情報ライフサイクル管理ドメインの一部であるクラウドコントロールマトリックス（CCM）コントロールDSI-04：本番環境/非本番環境12にも記載されています。CCMは、クラウドコンピューティング向けのサイバーセキュリティコントロールフレームワークであり、クラウド顧客が運用上のクラウドリスク管理プログラムを構築するために使用できます。
その他の選択肢は、質問とは直接関係ありません。選択肢A「変更諮問委員会による変更の承認」は、システムまたはソフトウェアへの変更を本番環境に実装する前に、その変更を審査し承認するプロセスを指します。これは、システムまたはソフトウェアの品質と信頼性を確保するための良い慣行ですが、本番環境データをテスト目的で使用するという問題には対処していません。選択肢C「司書のトレーニング」は、異なる環境間でのデータの管理と転送を担当するスタッフに適切な教育と意識向上を提供するプロセスを指します。これは、スタッフの能力と説明責任を確保するための良い慣行ですが、データ所有者からの同意を得るという問題には対処していません。選択肢D「テスト環境と本番環境のハードウェアの互換性の検証」は、システムまたはソフトウェアが両方の環境でスムーズかつ一貫して動作することを保証するプロセスを指します。これは、システムまたはソフトウェアのパフォーマンスと機能性を確保するための良い慣行ですが、本番環境データのプライバシーとセキュリティの保護という問題には対処していません。参照:= クラウド監査知識証明書 (CCAK) 学習ガイド、第 6 章: クラウド セキュリティ コントロール クラウド コントロール マトリックス (CCM) - CSA3 DSI-04: 運用 / 非運用環境 - CSF ツール - Identity Digital1 DSI: データ セキュリティと情報ライフサイクル管理 - CSF ツール - Identity Digital

説明
動的アプリケーションセキュリティテスト（DAST）は、外部ソースからの攻撃をシミュレートすることでアプリケーションのセキュリティをテストする手法です。DASTでは、コードの脆弱性を分析する静的アプリケーションセキュリティテスト（SAST）とは異なり、アプリケーションのソースコードやバイナリにアクセスする必要はありません。
したがって、DASTはブラックボックステスト手法であり、アプリケーションの内部構造、設計、実装に関する知識を必要としません。また、DASTはプログラミング言語に依存しないため、あらゆる言語、フレームワーク、プラットフォームで記述されたアプリケーションをテストできます。これにより、DASTはより柔軟で、さまざまな種類のアプリケーションや環境に適応できます。ただし、DASTには、速度が遅い、精度が低い、アプリケーションの可用性と構成に大きく依存するなどの制限もあります。参考資料：
SAST と DAST: 違いは何ですか?
SAST と DAST: 違いは何ですか?
SAST vs. DAST: アプリケーションセキュリティの強化

回帰テストは、最近のプログラムまたはコードの変更が既存の機能に悪影響を与えていないことを確認するソフトウェアテストの一種です1。機能テストと非機能テストを再実行し、以前に開発およびテストされたソフトウェアが変更後も期待どおりに動作することを確認します2。回帰テストは、欠陥の検出と防止、品質の向上、安全なソフトウェアの迅速な提供に役立つため、完了までの時間が重要な環境における大規模なコードセットに適しています。回帰テストを自動化することで、手動エラーの削減、フィードバックループの高速化、効率性と信頼性の向上を図ることができます3。その他の選択肢は、以下の理由により正しくありません。
* 選択肢Aは不正解です。並列テストは、複数のアプリケーションまたはサブシステムを同時にテストすることでテスト時間を短縮するソフトウェアテストの一種です。4 並列テストは、各アプリケーションまたはサブシステムで使用されるテストケースとシナリオの品質とカバレッジに依存するため、必ずしもセキュリティテストの統合を保証するものではありません。並列テストでは、テスターと開発者間の同期、調整、コミュニケーションといった課題が生じる場合もあります。5
* 選択肢Bは不正解です。フルアプリケーションスタックユニットテストは、アプリケーションの個々のユニットまたはコンポーネントを個別にテストし、その機能、ロジック、インターフェース、パフォーマンスを検証するソフトウェアテストの一種です。6 フルアプリケーションスタックユニットテストでは、ユニットまたはコンポーネント間の相互作用や依存関係、あるいはアプリケーション全体の動作が考慮されないため、セキュリティテストの統合が保証されません。ユニットテストは通常、開発者がソフトウェア開発ライフサイクルの初期段階で実行し、アプリケーションのセキュリティ面や要件をすべて網羅しているとは限りません。7
* 選択肢Cは不正解です。機能検証は、ソフトウェアが指定された要件を満たし、ユーザーのニーズを満たしているかどうかを検証するソフトウェアテストの一種です。機能検証では、ソフトウェアの設計や構成、あるいは悪意のある入力や予期しない入力への対応方法に焦点を当てていないため、セキュリティテストの統合が保証されません。機能検証は通常、ソフトウェア開発ライフサイクルの後の段階で品質保証チームによって実施されますが、ソフトウェアのセキュリティ上の脆弱性やリスクをすべて検出できるとは限りません。
参考文献：1: Wikipedia. 回帰テスト - Wikipedia. [オンライン]. 公開日: 3. [アクセス日: 2023年4月14日]. 2:
Katalon。回帰テストとは？定義、ツール、例 - Katalon。
[オンライン]. 入手可能: 4. [アクセス日: 2023年4月14日]. 3: BMC Software. シフトレフトテスト：シフトレフトとは何か、なぜ、そしてどのように行うのか - BMC Software | ブログ. [オンライン]. 入手可能: 3. [アクセス日: 2023年4月14日]. 4: Guru99. 並列テストとは何か？ 例付きで解説 - Guru99. [オンライン]. 入手可能: . [アクセス日: 2023年4月14日]. 5: LambdaTest.
Selenium WebDriver での並列テスト | LambdaTest ブログ。[オンライン]。入手可能: [アクセス日:
2023年4月14日]。6: Guru99. ユニットテストとは何か？種類と例 - Guru99. [オンライン]。入手可能:
. [アクセス日: 2023年4月14日]. 7: ソフトウェアテストヘルプ. 単体テストと統合テスト：この2つの違い - SoftwareTestingHelp.com ブログ. [オンライン]. 入手可能: . [アクセス日: 2023年4月14日]. :
Guru99. 機能テストとは何か？種類と例 - Guru99. [オンライン]. 入手可能日：. [アクセス日：
2023年4月14日]. : ソフトウェアテストヘルプ。機能テストと非機能テスト - SoftwareTestingHelp.comブログ。[オンライン]. 入手可能: . [アクセス日: 2023年4月14日].