DevSecOps
DevSecOpsとは、DevOpsのパイプラインにセキュリティ対策を最初から組み込み、開発・セキュリティ・運用の3領域を統合するアプローチである。
## セキュリティを「後付け」にしない 従来の開発プロセスでは、セキュリティレビューはリリース直前のゲートとして機能していた。完成したコードをセキュリティチームに渡し、脆弱性スキャンを実行し、問題が見つかれば差し戻す。リリーススケジュールが圧迫され、開発チームとセキュリティチームの関係も悪化しがちだった。
DevSecOpsの「シフトレフト」とは、このセキュリティチェックを開発の初期段階——つまりタイムライン上の「左側」——に移動させることだ。コードを書いた瞬間にSAST(静的解析)が走り、PRレビューの時点でセキュリティリスクが検出される。リリース直前に慌てる状況をそもそも作らない。
## パイプラインに組み込むもの **SAST(Static Application Security Testing)**: ソースコードを解析し、SQLインジェクション、XSS、ハードコードされたシークレットなどを検出する。CI/CDの初期段階で実行する。**DAST(Dynamic Application Security Testing)**: 実行中のアプリケーションに対して攻撃パターンを試行し、脆弱性を発見する。
ステージング環境でのテスト段階で実行する。**SCA(Software Composition Analysis)**: サードパーティライブラリの既知の脆弱性(CVE)を検出する。依存関係の更新タイミングで自動チェックする。
**Policy as Code**: OPA(Open Policy Agent)やCedarのようなツールで、セキュリティポリシーをコードとして管理する。「本番DBへの直接アクセスは禁止」「暗号化されていないストレージの作成は拒否」といったルールがデプロイ時に自動適用される。## AI開発との関係 LLMを組み込んだアプリケーションでは、プロンプトインジェクション、モデルの情報漏洩、訓練データの汚染など従来のWebアプリにはなかった攻撃ベクトルが存在する。
EU AI Actのような規制もあり、AI固有のセキュリティチェックをDevSecOpsパイプラインに追加する動きが2026年に入って急速に広がっている。
関連する用語
DevOps
DevOpsとは、ソフトウェアの開発(Development)と運用(Operations)を統合し、CI/CDパイプラインや自動化ツールを通じてリリースサイクルの高速化と品質向上を同時に実現する文化・プラクティスの総称である。
シフトレフト(Shift Left)
シフトレフトとは、テスト・セキュリティチェック・品質検証などの工程を開発ライフサイクルの早い段階に前倒しすることで、欠陥の発見と修正のコストを下げる開発手法である。
SSM(AWS Systems Manager)
AWS Systems Manager(SSM)とは、EC2 インスタンスやオンプレミスサーバーをまとめて運用・管理するための AWS マネージドサービスである。パッチ適用、コマンド実行、パラメータ管理、インベントリ収集といった運用タスクを、SSH や RDP で個別接続することなく一元的に実行できる。
