IT用語
(
ひよぺん
)
Home
コラム
用語集
About
検索
Ctrl K
Esc
見つかりませんでした
調べたいIT用語を入力してね
DevSecOps
でぶせっくおぷす
セキュリティ
用語集
› 🔒 セキュリティ › DevSecOps
【でぶせっくおぷす】
DevSecOps とは?
最終更新:
2026年3月25日
💡 セキュリティを「後付け」から「最初から」に
📌 このページのポイント
Dev(開発)+ Sec(
セキュリティ
)+ Ops(運用)の統合
Shift Left:
セキュリティテスト
を開発
プロセス
の早い段階に移動
SAST(
静的解析
)、DAST(動的解析)、SCA(
ソフトウェア
構成分析)をCIに統合
セキュリティ
はチーム全員の責任という文化
DevSecOpsの流れ
Dev
Ops
Sec
全段階
Plan
計画
🔒
Code
開発
🔒
Build
構築
🔒
Test
テスト
🔒
Release
リリース
🔒
Deploy
配備
🔒
Operate
運用
🔒
Monitor
監視
🔒
各段階のSec
Plan: 脅威モデリング
Code: コードレビュー
Build: 依存関係スキャン
Test: SAST/DAST
Release: 署名検証
Deploy: 設定監査
Operate: アクセス制御
Monitor: 異常検知
従来: 最後にセキュリティ検査
→ 手戻りが大きい
DevSecOps: 全段階でセキュリティ
→ 早期発見・自動化で効率的
DevSecOpsはDevOpsの全フェーズにセキュリティを組み込み、開発初期から脆弱性を防ぐ手法
ひよこ
DevOps
との違いは?
ペンギン先生
DevOps
は開発と運用の壁を取り払う。DevSecOpsはさらに
セキュリティ
の壁も取り払う。従来は開発が完了してからセキュリティチームが検査していた。DevSecOpsではCIパイプラインにセキュリティスキャンを組み込んで、コードを書いた段階で
脆弱性
を検出する。「
セキュリティ
は最後」から「
セキュリティ
は最初から」への転換だよ
ひよこ
CIに何を組み込むの?
ペンギン先生
①SAST(Static Application Security Testing):
ソースコード
の
脆弱性
を
静的解析
、②SCA(Software Composition Analysis):依存
ライブラリ
の
脆弱性
をチェック(
Dependabot
、Snyk)、③
シークレットスキャン
(ハードコードされた
APIキー
の検出)、④
コンテナイメージ
の
スキャン
(
Trivy
)。全部CIで自動実行するよ
ひよこ
Shift Leftって何?
ペンギン先生
開発
プロセス
の
タイムライン
を左(早い段階)に
セキュリティテスト
を移動すること。設計段階で
脅威モデリング
、コーディング段階でSAST、テスト段階でDAST(Dynamic AST)、
リリース
前にペンテスト。問題の発見が早いほど修正コストは低い。本番で見つかるバグの修正は設計時の100倍のコストがかかるという研究もあるよ
ひよこ
文化面で大事なことは?
ペンギン先生
①
セキュリティ
を「ブロッカー」ではなく「イネーブラー(実現者)」と位置づける、②開発者にセキュリティトレーニングを提供、③セキュリティチームが自動化ツールを提供して開発者のセルフサービスを促進、④
脆弱性
を報告した人を責めない文化。「
セキュリティ
は全員の仕事」という意識
改革
が最も重要だよ
まとめ:ざっくりこれだけ覚えればOK!
「DevSecOps」って出てきたら「開発
プロセス
に
セキュリティ
を最初から組み込む手法」と思えればだいたいOK!
📖 おまけ:英語の意味
「Development, Security, Operations」
= 開発・セキュリティ・運用
💬 DevOpsにSecurity(セキュリティ)を挟み込んだ造語だよ
🔗 あわせて読みたい
CI/CD とは?
DevOps とは?
脆弱性スキャン とは?
シェアする
X
URLコピー
← 用語集にもどる