DevSecOpsの現在地 - L0 カリキュラム

ストーリー

田

田中VPoE

Month 3でエンタープライズAIシステムの構築を学んだ。AIを含む高度なシステムが増えるほど、セキュリティの重要性は指数関数的に高まる。今月のテーマは「セキュリティパイプラインの確立」だ

あなた

セキュリティですか。正直、セキュリティチームとは「リリースを止められる存在」というイメージがあって…

あ

田

田中VPoE

まさにその認識を変えるのが今月のミッションだ。「ゲートキーパー vs 開発者」という対立構造。これはセキュリティが開発プロセスの外にあるから生まれる。DevSecOpsを導入し、セキュリティを開発の一部にすることで、この構造を根本から解消する

あなた

セキュリティを「後から検査する」のではなく「最初から組み込む」ということですね

あ

田

田中VPoE

その通りだ。Shift Left Security。セキュリティをパイプラインに組み込めば、リリース直前の「セキュリティレビューで差し戻し」がなくなる。開発速度とセキュリティ品質を両立できるんだ

DevSecOpsとは何か

従来型セキュリティとDevSecOpsの比較

観点	従来型セキュリティ	DevSecOps
セキュリティの実施タイミング	リリース前のゲートレビュー	開発ライフサイクル全体
責任の所在	セキュリティチーム	全員（開発・運用・セキュリティ）
フィードバック速度	数日〜数週間	数分〜数時間（自動化）
開発者体験	「差し戻しされるもの」	「早期に気づけるもの」
スケーラビリティ	レビュー人数がボトルネック	自動化でスケール
コスト	後工程での修正コスト大	早期検出で修正コスト小

DevSecOpsの3つの柱

DevSecOps の 3 本柱:

1. Culture（文化）
   ├── セキュリティは全員の責任
   ├── 非難ではなく改善に焦点
   └── セキュリティチャンピオン制度

2. Automation（自動化）
   ├── SAST/DAST/SCA のパイプライン統合
   ├── シークレットスキャン
   ├── コンプライアンスチェック自動化
   └── セキュリティテストの自動実行

3. Measurement（計測）
   ├── MTTR（Mean Time to Remediate）
   ├── 脆弱性の検出から修正までの時間
   ├── セキュリティカバレッジ率
   └── セキュリティ成熟度スコア

セキュリティの「Shift Left」

バグ修正コストの法則

セキュリティ上の欠陥を発見・修正するコストは、開発ライフサイクルの後工程ほど指数関数的に増大します。

発見フェーズ	修正コスト（相対値）	例
要件定義	1x	セキュリティ要件の欠如を指摘
設計	5x	アーキテクチャ上の脆弱性を修正
実装	10x	コードの脆弱性をPRレビューで検出
テスト	25x	QA環境でのペネトレーションテストで発見
リリース後	100x	本番環境でのインシデント対応

「リリース後に見つかるセキュリティ問題の修正コストは、設計段階の20倍。これがShift Leftの経済的根拠だ」 — 田中VPoE

Shift Leftの実践

従来:
  [要件定義] → [設計] → [実装] → [テスト] → [セキュリティレビュー] → [リリース]
                                                      ↑
                                               ここで初めて検出
                                               → 大幅な手戻り

DevSecOps:
  [要件定義]     → [設計]        → [実装]     → [テスト]    → [リリース]
   ↑               ↑               ↑            ↑            ↑
   脅威モデリング   セキュリティ     SAST         DAST          継続的
   セキュリティ    アーキテクチャ   シークレット   ペネトレ       モニタリング
   要件定義       レビュー        スキャン      テスト

グローバルのDevSecOps動向

指標	数値
DevSecOps導入企業の割合（2025年推定）	約45%
DevSecOps導入後のセキュリティインシデント削減率	平均50%以上
自動化されたセキュリティテストを実施する企業	約60%
セキュリティ人材の不足数（グローバル）	約350万人
「セキュリティは開発者の責任でもある」と回答した開発者	約70%

Month 4のロードマップ

Step	テーマ	得られる成果
1	セキュリティ要件を体系化しよう	脅威分析、セキュリティ要件定義、コンプライアンスマッピング
2	SAST/DAST/SCAを統合しよう	セキュリティテスト自動化パイプライン
3	シークレット管理を設計しよう	Vault設計、ローテーション、ゼロスタンディング権限
4	ID管理基盤を構築しよう	認証・認可・フェデレーション設計
5	セキュリティメトリクスを定義しよう	KPI設計、ダッシュボード、成熟度モデル
6	セキュリティパイプラインを完成させよう	統合DevSecOps導入計画書

「AIシステムの基盤ができた。次はその基盤を守る仕組みだ。セキュリティなきAIは、鍵のかかっていない金庫と同じだ」 — 田中VPoE

まとめ

ポイント	内容
DevSecOps	セキュリティを開発ライフサイクル全体に組み込むアプローチ
Shift Left	早期にセキュリティ問題を検出し、修正コストを削減する
3つの柱	文化（Culture）、自動化（Automation）、計測（Measurement）
Month 4の目標	セキュリティパイプラインを確立し、開発とセキュリティの対立を解消する

チェックリスト

DevSecOpsの基本概念を理解した
従来型セキュリティとDevSecOpsの違いを説明できる
Shift Leftの経済的根拠を理解した
Month 4のロードマップを把握した

次のステップへ

次は「脅威ランドスケープの理解」を学びます。組織が直面する脅威を体系的に分析するフレームワークを身につけましょう。

推定読了時間: 15分