DevSecOpsとは？

詳細解説

DevSecOps（Development + Security + Operations）は、DevOps（開発と運用の統合）のCI/CDパイプラインにセキュリティテスト・脆弱性チェックを最初から組み込み、リリース後ではなく開発の早期段階からセキュリティ問題を検出・修正する考え方と実践です。「Shift Left Security（セキュリティの左シフト）」とも呼ばれ、問題を早期発見することでコストと影響を大幅に削減できます。DevSecOpsのCI/CDへの組み込みポイントは次の通りです。コーディング時：IDEのセキュリティプラグインによるリアルタイム脆弱性指摘。コミット時：SAST（Static Application Security Testing: 静的解析）でソースコードの脆弱性を自動検出。ビルド時：SCA（Software Composition Analysis）でOSSライブラリの既知脆弱性（CVE）を自動チェック。テスト時：DAST（Dynamic Application Security Testing: 動態テスト）で実行中アプリへの疑似攻撃テスト。デプロイ後：コンテナイメージスキャン・IaCのセキュリティ設定チェック・本番環境の継続的監視。代表的なDevSecOpsツールはSnyk（SCA・コンテナスキャン）・SonarQube（SAST）・OWASP ZAP（DAST）・Trivy（コンテナ脆弱性スキャン）です。ITパスポート試験では「DevSecOpsの概念」「Shift Left Securityの意味」「DevOpsとの関係」が出題されます。

ITパスポートでの出題ポイント

• 1DevOpsのCI/CDパイプラインにセキュリティを統合する考え方
• 2Shift Left：開発の早期段階でセキュリティ問題を検出してコスト削減
• 3SAST（静的解析）・DAST（動的テスト）・SCA（ライブラリ脆弱性）を自動化
• 4リリース後に脆弱性発見するより早期発見がコストを大幅に削減

関連用語