DevSecOps

セキュリティを「後付け」にしない

従来の開発プロセスでは、セキュリティレビューはリリース直前のゲートとして機能していた。完成したコードをセキュリティチームに渡し、脆弱性スキャンを実行し、問題が見つかれば差し戻す。リリーススケジュールが圧迫され、開発チームとセキュリティチームの関係も悪化しがちだった。

DevSecOpsの「シフトレフト」とは、このセキュリティチェックを開発の初期段階——つまりタイムライン上の「左側」——に移動させることだ。コードを書いた瞬間にSAST（静的解析）が走り、PRレビューの時点でセキュリティリスクが検出される。リリース直前に慌てる状況をそもそも作らない。

パイプラインに組み込むもの

SAST（Static Application Security Testing）: ソースコードを解析し、SQLインジェクション、XSS、ハードコードされたシークレットなどを検出する。CI/CDの初期段階で実行する。

DAST（Dynamic Application Security Testing）: 実行中のアプリケーションに対して攻撃パターンを試行し、脆弱性を発見する。ステージング環境でのテスト段階で実行する。

SCA（Software Composition Analysis）: サードパーティライブラリの既知の脆弱性（CVE）を検出する。依存関係の更新タイミングで自動チェックする。

Policy as Code: OPA（Open Policy Agent）やCedarのようなツールで、セキュリティポリシーをコードとして管理する。「本番DBへの直接アクセスは禁止」「暗号化されていないストレージの作成は拒否」といったルールがデプロイ時に自動適用される。

AI開発との関係

LLMを組み込んだアプリケーションでは、プロンプトインジェクション、モデルの情報漏洩、訓練データの汚染など従来のWebアプリにはなかった攻撃ベクトルが存在する。EU AI Actのような規制もあり、AI固有のセキュリティチェックをDevSecOpsパイプラインに追加する動きが2026年に入って急速に広がっている。