DevSecOps

## セキュリティを「後付け」にしない 従来の開発プロセスでは、セキュリティレビューはリリース直前のゲートとして機能していた。完成したコードをセキュリティチームに渡し、脆弱性スキャンを実行し、問題が見つかれば差し戻す。リリーススケジュールが圧迫され、開発チームとセキュリティチームの関係も悪化しがちだった。

DevSecOpsの「シフトレフト」とは、このセキュリティチェックを開発の初期段階——つまりタイムライン上の「左側」——に移動させることだ。コードを書いた瞬間にSAST（静的解析）が走り、PRレビューの時点でセキュリティリスクが検出される。リリース直前に慌てる状況をそもそも作らない。

## パイプラインに組み込むもの **SAST（Static Application Security Testing）**: ソースコードを解析し、SQLインジェクション、XSS、ハードコードされたシークレットなどを検出する。CI/CDの初期段階で実行する。**DAST（Dynamic Application Security Testing）**: 実行中のアプリケーションに対して攻撃パターンを試行し、脆弱性を発見する。

ステージング環境でのテスト段階で実行する。**SCA（Software Composition Analysis）**: サードパーティライブラリの既知の脆弱性（CVE）を検出する。依存関係の更新タイミングで自動チェックする。

**Policy as Code**: OPA（Open Policy Agent）やCedarのようなツールで、セキュリティポリシーをコードとして管理する。「本番DBへの直接アクセスは禁止」「暗号化されていないストレージの作成は拒否」といったルールがデプロイ時に自動適用される。## AI開発との関係 LLMを組み込んだアプリケーションでは、プロンプトインジェクション、モデルの情報漏洩、訓練データの汚染など従来のWebアプリにはなかった攻撃ベクトルが存在する。

EU AI Actのような規制もあり、AI固有のセキュリティチェックをDevSecOpsパイプラインに追加する動きが2026年に入って急速に広がっている。