DevSecOps (セキュリティのシフトレフトと自動化)

定義

**DevSecOps (セキュリティのシフトレフトと自動化)**は、脅威モデルに基づいて攻撃可能性と防御の有効性を検証する活動である。ここでの「セキュリティのシフトレフトと自動化」が対象範囲または成立条件を具体化する。

仕組みと具体例

SASTでデータフロー、DASTで稼働境界、fuzzingで予期しない入力処理を補完的に調べる。通常時だけでなく、境界値、失敗、並行実行、依存先の変化が結果へ及ぼす影響も追跡する。

実践と検証

認可や業務ロジックは手動シナリオも用い、発見事項を再現試験と修正期限へ結び付ける。期待結果を観測可能な条件で記述し、最小例から異常系へ広げる。

トレードオフ

適用により再現性や分離性が高まる一方、構成、抽象、運用対象が増える場合がある。解決するリスクと維持コストを比較し、例外には理由、期限、代替策を記録する。