用語集 › 🔒 セキュリティ › DevSecOps
【でぶせっくおぷす】

DevSecOps とは?

最終更新:
💡 セキュリティを「後付け」から「最初から」に
📌 このページのポイント
DevSecOpsの流れ Dev Ops Sec 全段階 Plan 計画 🔒 Code 開発 🔒 Build 構築 🔒 Test テスト 🔒 Release リリース 🔒 Deploy 配備 🔒 Operate 運用 🔒 Monitor 監視 🔒 各段階のSec Plan: 脅威モデリング Code: コードレビュー Build: 依存関係スキャン Test: SAST/DAST Release: 署名検証 Deploy: 設定監査 Operate: アクセス制御 Monitor: 異常検知 従来: 最後にセキュリティ検査 → 手戻りが大きい DevSecOps: 全段階でセキュリティ → 早期発見・自動化で効率的
DevSecOpsはDevOpsの全フェーズにセキュリティを組み込み、開発初期から脆弱性を防ぐ手法
ひよこ ひよこ

DevOpsとの違いは?

ペンギン先生 ペンギン先生

DevOpsは開発と運用の壁を取り払う。DevSecOpsはさらにセキュリティの壁も取り払う。従来は開発が完了してからセキュリティチームが検査していた。DevSecOpsではCIパイプラインにセキュリティスキャンを組み込んで、コードを書いた段階で脆弱性を検出する。「セキュリティは最後」から「セキュリティは最初から」への転換だよ

ひよこ ひよこ

CIに何を組み込むの?

ペンギン先生 ペンギン先生

①SAST(Static Application Security Testing):ソースコード脆弱性静的解析、②SCA(Software Composition Analysis):依存ライブラリ脆弱性をチェック(Dependabot、Snyk)、③シークレットスキャン(ハードコードされたAPIキーの検出)、④コンテナイメージスキャン(Trivy)。全部CIで自動実行するよ

ひよこ ひよこ

Shift Leftって何?

ペンギン先生 ペンギン先生

開発プロセスタイムラインを左(早い段階)にセキュリティテストを移動すること。設計段階で脅威モデリング、コーディング段階でSAST、テスト段階でDAST(Dynamic AST)、リリース前にペンテスト。問題の発見が早いほど修正コストは低い。本番で見つかるバグの修正は設計時の100倍のコストがかかるという研究もあるよ

ひよこ ひよこ

文化面で大事なことは?

ペンギン先生 ペンギン先生

セキュリティを「ブロッカー」ではなく「イネーブラー(実現者)」と位置づける、②開発者にセキュリティトレーニングを提供、③セキュリティチームが自動化ツールを提供して開発者のセルフサービスを促進、④脆弱性を報告した人を責めない文化。「セキュリティは全員の仕事」という意識改革が最も重要だよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「DevSecOps」って出てきたら「開発プロセスセキュリティを最初から組み込む手法」と思えればだいたいOK!
📖 おまけ:英語の意味
「Development, Security, Operations」 = 開発・セキュリティ・運用
💬 DevOpsにSecurity(セキュリティ)を挟み込んだ造語だよ
🔗 あわせて読みたい
← 用語集にもどる